(https://i.postimg.cc/T3cRb7fM/Scam.jpg) (https://postimg.cc/nXCbb1X0)
Una nueva estafa de phishing está aprovechando el sistema de facturación legítimo de PayPal para engañar a usuarios desprevenidos, apareciendo incluso con la codiciada "marca de verificación azul" en sus bandejas de entrada. Este sofisticado ataque está eludiendo los filtros de seguridad tradicionales del correo electrónico y confundiendo incluso a usuarios con conocimientos técnicos.
Hackread[.]com ha obtenido evidencia directa de esta creciente amenaza, confirmando que los atacantes están explotando los propios servicios de PayPal para enviar solicitudes de dinero fraudulentas, haciéndolas parecer totalmente auténticas.
El Engaño: Por Qué la Marca Azul es una Mentira
Se nos ha enseñado a buscar señales de alerta: errores ortográficos, enlaces sospechosos y remitentes no verificados. Pero esta estafa se aprovecha de la confianza. Hoy mismo, un miembro de nuestro equipo en Hackread recibió un correo electrónico de factura con una marca de verificación azul de PayPal, dirigido a una dirección de correo electrónico completamente desconocida: Alexzander@arnilserver[.]com. Parecía completamente legítimo, directamente de service@paypal[.]com, pero el contenido era claramente malicioso.
Así funciona este phishing "sin phishing":
Fuente legítima: Los estafadores crean una cuenta comercial legítima (aunque fraudulenta) en PayPal.
Facturas reales: Utilizan la función "Solicitud de dinero" o "Factura" de PayPal. Dado que PayPal envía el correo electrónico, este supera todas las comprobaciones de autenticación (SPF, DKIM, DMARC) y obtiene la "marca azul" (Indicadores de marca para la identificación de mensajes - BIMI) en su bandeja de entrada. En este caso, el correo electrónico eludió los filtros de seguridad de Google Workspace.
La trampa oculta: La estafa real no reside en un enlace malicioso (aunque sí incluye un enlace a una factura legítima de PayPal). En su lugar, se encuentra en la sección "Nota para el cliente" de la factura. Aquí, los estafadores insertan mensajes como: "Se ha cargado $843.29 a su cuenta. Si no lo aprobó, contacte con el servicio de atención al cliente al +1-805-400-3162".
El truco del destinatario equivocado: Al dirigir el correo electrónico a una dirección de correo electrónico desconocida o de un grupo (como Alexzander@arnilserver[.]com), los atacantes buscan confundir a los destinatarios. Los usuarios suelen pensar: "Esto no es para mí, pero es de PayPal... ¡Algo anda mal!". Esta confusión tiene como objetivo que llames al número de teléfono fraudulento.
Captura de pantalla del correo electrónico con copia real
(https://hackread.com/wp-content/uploads/2026/01/paypal-scam-verified-invoices-fake-support-numbers-1-768x1342.png)
El verdadero peligro: Phishing de devolución de llamada
Se trata de un ataque de phishing de devolución de llamada directo. El FBI ha emitido múltiples advertencias sobre esta táctica. El número de teléfono proporcionado en la nota de la factura NO pertenece a PayPal. Se conecta directamente a un centro de llamadas fraudulento. Una vez al teléfono, los estafadores emplearán tácticas de ingeniería social para:
Obtener acceso remoto a su computadora (por ejemplo, solicitándole que instale "AnyDesk" o "TeamViewer").
Engañarle para que inicie sesión en su cuenta bancaria u otras plataformas financieras sensibles.
"Ayudarlo" a revertir el cargo fraudulento, a menudo haciéndole creer que accidentalmente transfirió demasiado dinero, lo que les lleva a exigirle que les devuelva el dinero.
Qué DEBE hacer para mantenerse seguro:
NO llame a ningún número del correo electrónico: Esta es la trampa principal. PayPal nunca le pedirá que llame a un número de una nota de factura.
NO haga clic en ningún enlace del correo electrónico (aunque parezca real): Aunque el enlace pueda dirigirle a una factura real de PayPal, interactuar con él puede generar confusión. Acceda a PayPal directamente: Si recibe un correo electrónico de este tipo, abra inmediatamente su navegador web, escriba www.paypal.com manualmente e inicie sesión en su cuenta.
Verifique las solicitudes pendientes: Busque cualquier "solicitud de dinero" o "factura" inesperada en su actividad de PayPal. Si encuentra la fraudulenta, no la pague.
Denuncie el fraude: En el sitio web legítimo de PayPal, generalmente puede "Cancelar" o "Denunciar" la factura directamente. También debería reenviar el correo electrónico fraudulento (como archivo adjunto si es posible) al equipo de phishing de PayPal: phishing@paypal[.]com.
Instruya a los demás: Advierta a sus amigos, familiares y colegas sobre esta amenaza en constante evolución. La "marca de verificación azul" ya no garantiza la seguridad.
PayPal actuó con rapidez
Hackread[.]com reportó el incidente a PayPal, que respondió en cuestión de horas eliminando la factura y reemplazando su contenido con una advertencia de estafa: "Eliminamos esta factura porque podría haber sido una estafa. Nuestras herramientas de detección de fraude funcionan las 24 horas para garantizar la seguridad del comercio en línea para todos".
La factura ha sido eliminada y reemplazada con una advertencia
(https://hackread.com/wp-content/uploads/2026/01/paypal-scam-verified-invoices-fake-support-numbers-3.png)
Sin embargo, esta estafa muestra una tendencia creciente: los atacantes encuentran maneras de usar plataformas y servicios legítimos para distribuir sus cargas maliciosas. Por lo tanto, confíe en su instinto y verifique siempre la información a través de canales oficiales, nunca haciendo clic en enlaces ni llamando a números de correos electrónicos inesperados.
Fuente:
HackRead
https://hackread.com/paypal-scam-verified-invoices-fake-support-numbers/