Las estafas con PayPal se han vuelto mucho más sofisticadas: ahora los ciberdelincuentes usan correos 100% reales de la propia plataforma para colarte supuestas compras de cientos o incluso miles de dólares que nunca hiciste. El truco es sencillo pero efectivo: te llega un email legítimo avisando de una suscripción o pago automático que no reconoces y, en medio del susto, te invitan a llamar a un número de “soporte” que en realidad pertenece a los estafadores.

Si haces clic, al otro lado te espera alguien dispuesto a sacarte datos bancarios, acceso a tu dispositivo o las claves de tu cuenta, todo con la excusa de “revertir” esa compra fantasma. Por eso, entender cómo funciona este método y aprender a detectar cuándo un correo de PayPal es sospechoso se ha vuelto clave para no caer en la trampa.

Qué tiene de diferente esta estafa

Lo que hace especialmente peligrosa esta estafa es que no se basa en un correo falso mal maquetado, sino en un mensaje que realmente sale de los servidores de PayPal gracias a un abuso del sistema de suscripciones de la plataforma. Los atacantes crean una suscripción fraudulenta y, a partir de ahí, logran que PayPal envíe una notificación totalmente legítima a tu bandeja de entrada, con logo oficial, formato correcto y la dirección auténtica del servicio.

En ese correo se menciona una compra o suscripción que tú nunca has hecho, normalmente por importes muy elevados que rondan entre los 1.300 y 1.600 dólares, asociada a productos tecnológicos de alto valor como ordenadores o dispositivos electrónicos. El objetivo es generarte el máximo miedo posible: ver una cantidad así vinculada a tu cuenta de PayPal hace que mucha gente actúe por impulso y siga las instrucciones del mensaje sin pararse a pensar.

Para rematar la jugada, el correo incluye un número de teléfono o, a veces, una web de “soporte” a la que se supone que debes acudir para cancelar esa compra que no reconoces. Ahí es donde los estafadores te esperan para guiarte paso a paso y conseguir que seas tú quien les entregue toda la información sensible con la que luego vaciarte la cuenta o comprometer tus otros servicios.

Paso a paso: así te intentan engañar

Detrás de esta campaña no hay magia, sino una mezcla de funciones legítimas de PayPal con mucho ingenio por parte de los delincuentes. El proceso suele ser más o menos así, aunque pueden variar los detalles de un caso a otro.

Creación de la suscripción trampa

Los estafadores configuran una suscripción desde una cuenta controlada por ellos usando la herramienta estándar de pagos recurrentes de PayPal, que está pensada para servicios por suscripción y cobros automatizados.

Descripción alarmista y manipulada

En el campo de descripción o atención al cliente, escriben un texto cargado de alarma, simulando que se ha procesado una compra muy cara con tu cuenta, normalmente de productos electrónicos y con un lenguaje muy dramático.

Correo real desde PayPal

Con esa información, el sistema de PayPal genera y envía un correo auténtico de notificación a la víctima, avisando de la supuesta suscripción o pago. Como la infraestructura es legítima, el mensaje supera sin problemas la mayoría de filtros antispam y cae de lleno en la bandeja principal.

Teléfono fraudulento dentro del mensaje

En el cuerpo del correo, los atacantes incluyen un número de teléfono o enlace de “soporte” que, en realidad, apunta directamente a ellos y no al servicio oficial de atención al cliente de PayPal.

Llamada de pánico y robo de datos

Cuando la víctima llama, pensando que habla con PayPal, los falsos agentes intentan que instale software de acceso remoto, comparta credenciales o proporcione datos de tarjetas y cuentas bancarias, usando como excusa la supuesta cancelación urgente de esa compra inexistente.

Para evitar detecciones automáticas, muchos de estos correos incluyen caracteres Unicode extraños, saltos de formato y cambios de tipografía que deforman ligeramente el texto sin romper su comprensión, lo que puede confundir a los filtros de seguridad sin espantar demasiado al usuario. Aunque a simple vista puede verse algo “raro”, el envoltorio oficial de PayPal hace que mucha gente lo deje pasar.

Cómo saber si un correo de PayPal es real

La parte delicada es que, técnicamente, el email sí procede de PayPal, pero el contenido y el contexto están manipulados por los atacantes. Aun así, hay varias formas bastante claras de detectar cuándo un correo es una señal roja y no una alerta legítima sobre tu cuenta.

Para empezar, desconfía siempre de los números de teléfono que aparecen en el propio correo, sobre todo si el mensaje insiste en que llames “de inmediato” o usa un tono muy dramático. PayPal recomienda no fiarse de esos teléfonos y, en su lugar, acudir directamente a la web o a la app oficial para comprobar el estado de tu cuenta y contactar por los canales oficiales.

La rutina ideal cuando recibes un correo sospechoso debería ser esta:

No llames, no contestes, no hagas clic en ningún enlace del mensaje.



en ningún enlace del mensaje. Abre la app de PayPal o escribe manualmente la dirección oficial en tu navegador y entra a tu cuenta por tu cuenta , nunca desde el email.



, nunca desde el email. Revisa tu historial de actividad y la sección de pagos y suscripciones: si esa compra o suscripción no aparece, lo más probable es que el correo sea parte de la estafa.

Fíjate también en detalles como:

Descripciones con textos raros, caracteres extraños o maquetación caótica , que son un síntoma claro de manipulación del contenido.



, que son un síntoma claro de manipulación del contenido. Cantidades desproporcionadas y mensajes diseñados para meter presión, del estilo “si no llamas ahora, se procesará el pago en las próximas horas”.



Instrucciones que te fuerzan a usar solo el teléfono o el enlace del correo, en lugar de dirigirte a los canales habituales de la plataforma.

PayPal ha indicado que ya está trabajando para mitigar este abuso de su sistema de suscripciones, ajustando sus mecanismos internos para que no puedan utilizarse tan fácilmente en campañas de fraude como esta. Aun así, la mejor protección sigue estando de tu lado: mantener la calma ante cualquier correo alarmante, verificar siempre desde tu propia cuenta y jamás entregar datos sensibles por teléfono solo porque un email te meta prisa.

