Alerta: estafadores usan «Subscriptions» de PayPal para enviar correos de compra falsos

diciembre 15, 2025

Alerta: estafadores usan «Subscriptions» de PayPal para enviar correos de compra falsos

Resumen del incidente

Se ha detectado una campaña de fraude en la que los atacantes abusan de la función «Subscriptions» (suscripciones) de PayPal para que la propia plataforma genere correos electrónicos legítimos que contienen notificaciones de compra falsas. Según el informe original, los estafadores insertan contenido malicioso o engañoso en el campo «Customer service URL» de la suscripción; ese campo aparece en las comunicaciones automáticas de PayPal, lo que permite que el correo parezca auténtico incluso cuando notifica de una compra que el destinatario no ha realizado.

“An email scam is abusing PayPal’s ‘Subscriptions’ billing feature to send legitimate PayPal emails that contain fake purchase notifications embedded in the Customer service URL field.”

Cómo funciona la estafa (mecanismo observado)

La técnica aprovecha que PayPal envía correos automáticos relacionados con cobros recurrentes y suscripciones. En vez de recurrir a suplantación directa del remitente, los atacantes crean una suscripción o modifican sus detalles para incluir un enlace o contenido en el campo de atención al cliente que, al ser mostrado en el correo legítimo de PayPal, contiene texto o redirecciones que simulan una transacción válida.

  • El correo sale desde los sistemas de PayPal, por lo que pasa controles básicos del usuario sobre remitente y cabeceras.
  • La interfaz del mensaje incorpora el campo manipulado, mostrando importes, referencias o botones que inducen a la acción.
  • El objetivo es que la víctima pulse el enlace o contacte a un número/servicio falso, con resultados que pueden incluir robo de credenciales, confirmación de número de tarjeta o instalación de malware.

Por qué importa: contexto y antecedentes

Es una preocupación relevante porque altera un principio básico de confianza: que los avisos enviados por un proveedor de pago fiable sean fidedignos. Los atacantes han venido aprovechando canales legítimos —servicios de correo transaccional, plataformas de pago y servicios en la nube— para aumentar la eficacia de sus fraudes. Utilizar la propia infraestructura de PayPal reduce señales de sospecha para el usuario (SPF/DKIM/DMARC y el dominio remitente están en regla), lo que hace más probable que el destinatario actúe precipitadamente.

Históricamente, los delincuentes han explotado dos vectores complementarios:

  • Suplantación directa (phishing clásico) con correos falsos desde dominios similares.
  • Abuso de servicios legítimos para enviar contenido malicioso o engañoso (p. ej., alojar formularios falsos en plataformas de confianza o manipular metadatos públicos).

Ambos enfoques buscan explotar la confianza en marcas conocidas; esta variante es significativa porque utiliza comunicación genuina del proveedor de pagos como vehículo del engaño.

Análisis técnico y recomendaciones para profesionales

Para responsables de seguridad y equipos técnicos, este incidente subraya la necesidad de revisar tanto los controles internos de la plataforma (en el caso de PayPal y proveedores) como las defensas perimetrales y de detección en las organizaciones receptoras de correos.

  • Auditoría de entradas de usuario: controlar y validar campos configurables que puedan aparecer en correos transaccionales (URLs, textos libres, números de contacto). Aplicar saneado y límites de contenido, y bloquear patrones de URL que apunten a dominios de baja reputación.
  • Validación de comercios y suscripciones: exigir verificación adicional para la creación de cuentas que generen comunicaciones a terceros (KYC/AML reforzado para emisores de facturas o suscripciones).
  • Filtrado avanzado de correo: en organizaciones, complementar SPF/DKIM/DMARC con análisis del contenido contextual del mensaje y heurísticas que detecten discrepancias entre la marca aparente y los enlaces o dominios incluidos.
  • Monitoreo de API y eventos: detectar picos inusuales en la creación de suscripciones, cambios en campos de atención al cliente o patrones repetidos en URLs asociadas a cuentas nuevas.
  • Reputación de enlaces: integrar soluciones que evalúen la reputación de destinos incluidos en correos transaccionales y que bloqueen redirecciones a páginas de phishing conocidas.

Medidas prácticas para usuarios y empresas

Usuarios finales:

  • No asumir que un correo es seguro solo por provenir de PayPal; revisar la actividad real en la cuenta iniciando sesión desde el sitio oficial (tecleando la URL o usando la app), no desde enlaces del correo.
  • Cuando reciba una notificación de compra desconocida, comprobar el historial de actividad y cancelaciones de suscripciones en la cuenta PayPal antes de proporcionar datos o llamar a números incluidos en el mensaje.
  • Habilitar la autenticación multifactor (2FA) en PayPal y en direcciones de correo asociadas, y rotar contraseñas si hay signos de acceso no autorizado.
  • Denunciar el correo a PayPal mediante su canal de reportes y eliminar o marcar como phishing si el proveedor de correo lo facilita.

Empresas y equipos de TI:

  • Formar a empleados sobre esta variante de fraude que utiliza correos legítimos, insistiendo en comprobar transacciones en el portal oficial, no en enlaces.
  • Configurar políticas de correo que muestren advertencias a usuarios al detectar enlaces externos o dominios no coincidentes con el remitente visible.
  • Coordinar con proveedores de servicios (como PayPal) para entender qué campos de sus APIs se reflejan en comunicaciones y solicitar mitigaciones si es posible (por ejemplo, limitar la longitud/formatos permitidos en el campo Customer service URL).
  • Implementar soluciones anti-phishing que analicen comportamientos posteriores al clic (redirecciones, formularios que solicitan credenciales o datos financieros).

Casos comparables y panorama general

Si bien este informe concreto se refiere a PayPal y a su campo de «Subscriptions», el patrón es conocido en el sector: actores maliciosos aprovechan la confianza en plataformas legítimas para alojar contenido o enviar mensajes que facilitan el fraude. Plataformas de correo transaccional, servicios de almacenamiento y sistemas de facturación han sido usados en el pasado para hacer más creíbles los fraudes.

Las estadísticas públicas y los informes de organismos de seguridad muestran que el phishing y el fraude relacionado con pagos continúan siendo vectores de alto impacto. Por ejemplo, las autoridades de ciberseguridad y organizaciones anti-phishing han repetido que los ataques que explotan la confianza en marcas son especialmente efectivos y están entre los incidentes más reportados cada año.

Conclusión

La campaña detectada demuestra que los atacantes evolucionan hacia tácticas que usan la infraestructura legítima de proveedores para aumentar la credibilidad de sus fraudes. Tanto usuarios como organizaciones deben mantener prácticas de verificación frente a notificaciones transaccionales: comprobar siempre la actividad en el portal oficial, proteger las cuentas con 2FA, auditar y restringir campos visibles en comunicaciones automáticas, y aplicar controles técnicos que identifiquen y bloqueen el abuso de plataformas. La colaboración entre proveedores de servicios de pago y equipos de seguridad es clave para cerrar estos vectores de ataque.

Source: www.bleepingcomputer.com

Comparte este Blog

LinkedIn
X
WhatsApp
Facebook
Telegram
Email

Más de la categoría

ChatGPT añade «formatting blocks» para adaptar su interfaz a tareas específicas
Noticias Ciberseguridad
MacSync para macOS se distribuye como app firmada y notarizada para eludir Gatekeeper
Noticias Ciberseguridad
Dos extensiones de Chrome detectadas robando credenciales en más de 170 sitios
Noticias Ciberseguridad
Revisiting CVE-2025-50165: fallo crítico en Windows Imaging Component y su alcance real
Noticias Ciberseguridad