Login Probar gratis
Phishing de PayPal: protege tu cuenta de correos fraudulentos

Phishing de PayPal: protege tu cuenta de correos fraudulentos

por MataSpam Phishing y Estafas

El phishing de PayPal es el fraude por email más repetido del planeta. Cada día, millones de correos falsos imitan la interfaz de PayPal para robarte las credenciales, con plantillas que clonan el diseño original al píxel. Si alguna vez has recibido un mensaje diciendo que tu cuenta está "limitada" o que hay una "actividad sospechosa", ya has visto una estafa PayPal en acción. El correo falso PayPal estándar busca que hagas clic en un enlace, introduzcas tu usuario y contraseña, y regales tus datos a un delincuente que opera desde el otro lado del mundo. Esta guía te enseña a identificar el fraude PayPal antes de caer y a actuar si ya has picado.

Por qué PayPal es el objetivo favorito de los estafadores

PayPal tiene más de 400 millones de cuentas activas en todo el mundo. Eso significa un volumen enorme de víctimas potenciales que ya asocian la marca con dinero real. Los atacantes lo saben: un email con el logo de PayPal genera más clics que uno de un banco local.

Además, PayPal opera en decenas de países y en múltiples idiomas, lo que permite lanzar campañas masivas con plantillas traducidas automáticamente. La suplantación de PayPal funciona porque la gente confía en la marca y porque el miedo a perder dinero activa respuestas impulsivas. Exactamente lo que el atacante necesita.

Según datos del Anti-Phishing Working Group (APWG), el sector de pagos online —con PayPal a la cabeza— concentra de forma recurrente una proporción significativa de todos los ataques de phishing reportados globalmente. No es casualidad: donde hay dinero, hay fraude PayPal.

Anatomía de un correo falso de PayPal: señales que delatan la estafa

Reconocer un correo falso PayPal no requiere ser experto. Basta con fijarse en cinco elementos que los estafadores casi nunca clavan del todo.

  • Remitente sospechoso: PayPal envía desde dominios como @paypal.com o @paypal.es. Si ves @paypal-security.com, @paypa1.com (con un uno en vez de una ele) o cualquier variación, es phishing. Revisa la cabecera completa del email, no solo el nombre visible.
  • Saludo genérico: "Estimado usuario" o "Dear customer" en vez de tu nombre real. PayPal siempre usa tu nombre y apellidos en comunicaciones legítimas.
  • Urgencia artificial: "Tu cuenta será suspendida en 24 horas", "Acción requerida inmediata". La presión temporal es la herramienta favorita del phishing. Si te meten prisa, sospecha.
  • Enlaces falsos: Pasa el cursor por encima del botón sin hacer clic. Si la URL no empieza por https://www.paypal.com/, no lo toques. Los atacantes usan dominios como paypal.account-verify.com o paypal.com.login-secure.xyz.
  • Archivos adjuntos: PayPal no envía facturas ni documentos adjuntos en emails de seguridad. Si hay un PDF o un archivo .html adjunto, es una trampa. Algo similar ocurre con las facturas falsas por email, otro clásico del phishing que conviene conocer.

Los 5 tipos de phishing PayPal más habituales

No todos los intentos de estafa PayPal son iguales. Estos son los formatos que más circulan:

TipoAsunto típicoObjetivo
Cuenta limitada"Su cuenta ha sido limitada temporalmente"Robo de credenciales
Pago no autorizado"Ha realizado un pago de 499,99 €"Que llames a un número falso o hagas clic para "cancelar"
Verificación de identidad"Confirme sus datos para evitar el cierre"Robo de datos personales y documentos
Reembolso falso"Tiene un reembolso pendiente de 150 €"Robo de datos bancarios
Factura de Crypto/Gift card"Invoice for Bitcoin purchase - $500"Que llames al número del estafador

El formato de factura falsa de criptomonedas explotó a partir de 2022, cuando los atacantes empezaron a usar la propia función de facturación de PayPal para enviar invoices reales desde la plataforma. Esto complica la detección porque el email viene efectivamente de PayPal. La diferencia: tú no has comprado nada, y el "vendedor" es un desconocido.

Qué hacer si ya has picado

Si has introducido tus datos en una página falsa, no pierdas tiempo lamentándote. Actúa rápido:

  1. Cambia la contraseña de PayPal inmediatamente desde la app oficial o escribiendo paypal.com directamente en el navegador. No uses ningún enlace del email sospechoso.
  2. Activa la verificación en dos pasos (2FA) si no la tenías. Ve a Configuración → Seguridad → Verificación en 2 pasos. Usa una app autenticadora (Google Authenticator, Authy), no SMS si puedes evitarlo.
  3. Revisa los movimientos de tu cuenta. Si hay transacciones que no reconoces, abre una disputa desde el Centro de resoluciones de PayPal.
  4. Comprueba si tu email está comprometido en Have I Been Pwned (haveibeenpwned.com). Si tu dirección aparece en filtraciones, cambia también la contraseña del email.
  5. Reporta el phishing a PayPal reenviando el correo a phishing@paypal.com. Esto ayuda a bloquear la campaña para otros usuarios.
  6. Si compartiste datos bancarios, contacta con tu banco para bloquear la tarjeta asociada.

El tiempo es clave. La mayoría de atacantes procesan los datos robados en las primeras horas. Si actúas en los primeros minutos, tienes muchas más opciones de que no pase nada grave.

Cómo blindar tu cuenta de PayPal contra el phishing

Detectar correos falsos es solo la mitad. Estas configuraciones reducen tu superficie de ataque:

  • Verificación en dos pasos obligatoria. Es la barrera más efectiva. Aunque alguien robe tu contraseña, necesitará el segundo factor para entrar.
  • Pregunta de seguridad. Configúrala, pero no uses respuestas reales. Si tu ciudad de nacimiento está en tu perfil de Facebook, esa pregunta no protege nada. Usa una respuesta inventada que solo tú conozcas.
  • Notificaciones de actividad. Activa las alertas por cada pago enviado y recibido. Si alguien entra en tu cuenta, lo sabrás al instante.
  • Contraseña única. No reutilices la contraseña de PayPal en ningún otro servicio. Un gestor de contraseñas como Bitwarden o 1Password te quita la excusa de "no me acuerdo de tantas".
  • Revisa las aplicaciones conectadas. En Configuración → Seguridad → Permisos que has concedido. Si hay servicios que ya no usas, revócales el acceso.

Herramientas para verificar emails y URLs sospechosas

Cuando dudes de un correo, estas herramientas gratuitas te ayudan a confirmar si es legítimo o una suplantación PayPal:

  • VirusTotal (virustotal.com): Pega la URL sospechosa (sin hacer clic) y analízala contra más de 70 motores de detección.
  • URLScan.io: Escanea la URL y te muestra una captura de la página de destino sin que tengas que visitarla.
  • PhishTank (phishtank.org): Base de datos colaborativa de URLs de phishing confirmadas.
  • Google Safe Browsing: Integrado en Chrome y Firefox. Si intentas visitar un sitio reportado, el navegador te bloquea el acceso.
  • Cabeceras del email: En Gmail, haz clic en los tres puntos → "Mostrar original". Busca el campo Return-Path y Received. Si no coinciden con paypal.com, es phishing.

Si te llega un email con un adjunto sospechoso —un PDF, un archivo HTML o incluso un ejecutable disfrazado—, no lo abras. Puedes analizarlo en VirusTotal sin riesgo. Los gusanos informáticos y el adware también se distribuyen por email, así que la precaución con adjuntos va más allá del phishing.

Preguntas frecuentes

¿PayPal me pedirá alguna vez mi contraseña por email?

No. PayPal nunca solicita contraseñas, números de tarjeta ni datos bancarios por correo electrónico. Si un email te pide esta información, es phishing PayPal sin discusión. Accede siempre a tu cuenta escribiendo la dirección directamente en el navegador.

¿Cómo distingo un email real de PayPal de uno falso?

Fíjate en tres cosas: que el remitente sea @paypal.com (revisa la cabecera, no solo el nombre visible), que te llame por tu nombre real, y que los enlaces apunten a paypal.com sin subdominios extraños. Ante la duda, no hagas clic y entra directamente desde la app o el navegador.

¿Puedo recuperar el dinero si me estafan con un phishing de PayPal?

Depende de la rapidez con que actúes. Si reportas transacciones no autorizadas a PayPal y a tu banco en las primeras horas, la política de protección del comprador puede cubrir el importe. Cuanto más tardes, menos opciones tienes.

¿Es seguro usar PayPal si me llegan muchos emails de phishing?

Sí. Que te lleguen emails falsos no significa que tu cuenta esté comprometida; significa que tu dirección de correo circula en listas de spam. Mantén el 2FA activado, usa contraseña única y revisa los movimientos periódicamente. El correo falso PayPal es un problema de spam, no de seguridad de la plataforma en sí.

¿Debo reportar los emails de phishing de PayPal?

Sí. Reenvía el email completo a phishing@paypal.com y después elimínalo. Cada reporte ayuda a PayPal a tumbar los sitios fraudulentos más rápido y a proteger a otros usuarios que podrían caer.

El siguiente paso

Abre ahora mismo la configuración de seguridad de tu cuenta de PayPal y activa la verificación en dos pasos. Son dos minutos que pueden ahorrarte un disgusto serio. Ve a Configuración → Seguridad → Verificación en 2 pasos, elige una app autenticadora como segundo factor y guarda el código de recuperación en un lugar seguro. Hecho esto, por mucho phishing PayPal que te llegue, el atacante se quedará con la miel en los labios.

phishing paypal estafa paypal correo falso paypal fraude paypal suplantación paypal
MataSpam

Somos un equipo obsesionado con la ciberseguridad. Creamos guías prácticas para que no te la cuelen online. Sin edulcorantes, con mala leche y buen corazón.

Artículos relacionados

Whaling: ataques de phishing dirigidos a altos directivos de empresas
Phishing y Estafas

Whaling: ataques de phishing dirigidos a altos directivos de empresas

Phishing que burla el 2FA: cómo los atacantes roban tus códigos de verificación
Phishing y Estafas

Phishing que burla el 2FA: cómo los atacantes roban tus códigos de verificación

Las mejores herramientas anti-phishing para proteger tu correo electrónico
Phishing y Estafas

Las mejores herramientas anti-phishing para proteger tu correo electrónico

← Volver al blog