Aunque todas las transacciones y los detalles financieros de los usuarios de PayPal están cifrados para ayudar a prevenir el fraude y el robo de identidad, debido a sus 350 millones de usuarios en todo el mundo, la compañía propiedad de e-Bay atrae a los delincuentes como la miel a las moscas.
Básicamente, si algo es popular se convierte en un objetivo en potencia para los villanos.
Según la compañía, la incidencia de fraude en línea se mantiene en un dos por ciento, lo cual es bastante decente, considerando que procesa unos cuantos miles de millones de dolares en pagos por año, y tiene vínculos con unos 17 millones de sitios web y organizaciones.
Las estafas de PayPal pueden perpetrase mediante diferentes técnicas.
Hemos sufrido un problema técnico
Posiblemente sea una de las estafas más persistentes que podemos encontrar en la actualidad.
Un usuario recibe un correo electrónico supuestamente procedente del departamento de atención al cliente de PayPal, afirmando que hay un problema con el servicio.
A continuación, el estafador le solicita que actúe con urgencia.
Estimado usuario de PayPal.
Hemos sufrido algunos problemas en uno de nuestros servidores. Si bien parece que no es nada grave preferimos no correr riesgos.
Por lo tanto hemos decidido desconectarlo temporalmente del sistema y reemplazarlo por uno nuevo.
Desafortunadamente, esto a hecho que perdiéramos algunos datos de nuestros usuarios.
Para asegurarse de que su información no se ha visto afectada, pulse en el enlace que le mostramos continuación, e inicie sesión en su cuenta.
Al pulsar en el enlace e introducir sus credenciales, los ladrones pueden vaciar su cuenta, o hacer compras con la tarjeta asociada a PayPal antes de que la víctima se de cuenta.
Hay un par de aspectos a considerar para evitar caer en esta estafa.
- PayPal nunca le pedirá a nadie que ingrese su nombre de usuario y contraseña en un enlace enviado por correo electrónico, mensaje de texto u otro tipo de comunicación.
- Solo hay que ingresar las credenciales en la página de inicio de la empresa o en la aplicación instalada en el teléfono móvil.
Y si observamos de cerca la dirección de correo electrónico desde la que se envió ese mensaje, veremos que se parece a la dirección oficial, pero contiene errores tipográficos.
En el caso de duda PayPal recomienda encarecidamente enviar el mensaje a Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo..
El soporte de PayPal determinará si es fraudulento o no.
Suplantación de identidad.
Es una variante de la estafa anterior.
En este caso, se informa al usuario mediante un SMS (una variante de phishing llamada smishing) supuestamente procedente de PayPal, de que alguien ha accedido a su cuenta desde una ubicación desconocida.
Avisan de que será suspendida o limitada permanentemente, a menos que verifique que es el propietario haciendo clic en un enlace específico adjunto al mensaje.
Una vez que el objetivo realiza el paso, las credenciales de su cuenta de PayPal caen directamente en manos de los piratas informáticos.
La página de phishing, también intentará recopilar más detalles como nombre y apellidos, fecha de nacimiento, dirección postal, datos bancarios etc.
La información recopilada puede utilizarse para realizar ataques de robo de identidad, u obtener acceso otras cuentas del usuario.
Si recibiste este mensaje de texto e iniciaste sesión en tu cuenta de PayPal mediante el enlace de phishing debes cambiar inmediatamente la contraseña de este servicio.
Si usas la misma contraseña en otros sitios (una mala idea) cámbiala también.
La conclusión de esto es la misma que en el caso anterior.
- PayPal nunca le pedirá a nadie que ingrese su nombre de usuario y contraseña en un enlace enviado por correo electrónico, mensaje de texto u otro tipo de comunicación.
- Solo hay que ingresar las credenciales en la página de inicio de la empresa o en la aplicación instalada en el teléfono móvil.
Pagos por adelantado.
Posiblemente sea la estafa más antigua que podemos encontrar en la red (y fuera de ella), aunque sorprendentemente todavía hay personas que caen en ella.
En este caso se le envía a una persona un correo electrónico diciendo que ha ganado la lotería (en la que posiblemente nunca a jugado) o que ha recibido una herencia de un pariente lejano que vivía en el Desierto de Atacama.
En cualquier caso, se le dice que ha ganado una gran cantidad de dinero y para poder recibirlo es necesario realizar toda una seríe de complicado papeleo, que por supuesto, tiene un coste, que hay que pagar a través de PayPal.
Nunca hay que emocionarse, correr al concesionario para encargar el Bugatti La Voiture Noire, ni responder a tales correos electrónicos.
Bloquear al remitente y marcar el mensaje como spam es la mejor manera de lidiar con estos sinvergüenzas que insultan nuestra inteligencia.
El comprador pagó de más por un producto a través de PayPal.
Esta es una de las estafas de PayPal más recientes, es muy sofisticada y todavía pasa desapercibida para muchos.
Según los informes, se destaca por ser muy eficaz.
Para aquellos usuarios que venden productos en plataformas como eBay u otros sitios de este tipo, es algo a tener en cuenta.
Funciona de la siguiente manera:
- Alguien vende un producto mediante un sitio web.
- El comprador realiza el pago a través de PayPal.
- Paga una cantidad mayor a la pactada o a la del precio real del producto.
- El comprador luego le pide al vendedor que le devuelva el dinero extra que ha pagado.
¿Dónde está el tongo esta vez?
- El comprador solicita que el dinero se transfiera a una cuenta diferente a la utilizada para realizar el pago de dicho producto.
- Cuando el vendedor transfiere el dinero que supuestamente a cobrado de más, el comprador cancela el pago que ha realizado anteriormente.
- Por lo tanto, el vendedor pierde el dinero que en teoría cobró de más y también el dinero de la venta.
Si vendes productos en cualquier sitio web y utilizas PayPal para recibir pagos, debes tener cuidado con esto.
Normalmente, nadie te va a pagar dinero extra. Si alguien lo hace seguramente te saldrá más barato cancelar la venta.
Cambio de dirección de envío
Si tienes una tienda en línea o vendes productos en cualquier sitio web una dirección de envío no válida o un cambio repentino de la misma es otra estafa bastante común.
El comprador elige el método de envío entre las opciones disponibles en el momento de la compra, que el vendedor tiene que cumplir para envíar el producto.
Sin embargo, si el comprador es un estafador, puede ponerse en contacto con la empresa de mensajería sin conocimiento del vendedor para cambiar la dirección de entrega.
Después se quejará de que el producto que pidió nunca llegó, y pedirá que se le devuelva el dinero.
Dado que la Protección al vendedor de PayPal no cubre un envío realizado a una dirección que no está registrada, el vendedor perderá tanto el dinero que ha reembolsado como el artículo que envió.
Si vendes productos en línea, la recomendación es tener muy clara la dirección de envío.
Es mejor negarse a vender un producto, si la dirección de entrega es diferente a la que se muestra en la cuenta de PayPal del comprador potencial.
Desafortunadamente, esta estafa es difícil de evitar y el vendedor siempre corre un riesgo.
Estafa de phishing y ransomware
El phishing es una forma de estafa mediante ingeniería social dirigido tanto a usuarios particulares como corporativos, con el objetivo de obtener acceso a contraseñas de diferentes servicios en línea u otra información confidencial.
Los mensajes de phishing, simulan proceder de una entidad legítima (compañía telefónica, red social, banco, institución pública, etc.) e intentan infundir al destinatario una sensación de urgencia para no darle tiempo a reflexionar, y que haga clic en un enlace malicioso, que les redirigirá a una página web falsa.
Pero si tiendes a prestar atención a los detalles, es fácil detectar y evitar las estafas de phishing.
En el caso de PayPal, la URL del sitio web falso en la que los estafadores te pedirán que hagas clic para ingresar tus credenciales, no tendrá nada que ver con el nombre de dominio de PayPal, o estará mal escrita.
Por ejemplo, en lugar de PayPal.com, el dominio del estafador será algo así como PayPall.com o PayyPal.net.
Para rastrear a los spammers y piratas informáticos, puedes utilizar un servicio como Robtex e investigar la procedencia del coreo electrónico introduciendo su nombre de dominio en un buscador.
Si se trata de un ataque de ransonware, el correo electrónico seguramente contendrá un archivo adjunto que al ser abierto infectará el dispositivo.
Aprovechar vulnerabilidades de día cero
Una vulnerabilidad de día cero es un error o agujero de seguridad en una pieza de software, hardware o firmware que todavía no ha sido detectado ni corregido.
Los kits de exploits de día cero se venden, compran o alquilan en la web oscura.
Un ataque de este tipo a los servicios legítimos de correo electrónico de PayPal puede permitir a los atacantes entregar contenido malicioso utilizando correos electrónicos oficiales.
Esta es una de las estafas más difíciles de detectar, ya que escapa de nuestro control.
Sin embargo, puedes evitar caer en la trampa siguiendo una regla simple pero efectiva: si alguna vez recibes una alerta o notificación, de PayPal, inicia sesión en tu cuenta para ver las notificaciones.
Engaño de un sitio no oficial de apariencia legítima.
Uno de los eventos más frecuentes en los que puedes ser víctima de una estafa en línea es al crear una cuenta en una plataforma.
Puedes encontrar el enlace para suscribirte en una página web maliciosa o comprometida sin el conocimiento de su propietario, y no saber que te está llevando al destino incorrecto.
Mediante el uso de algun script de clonación de PayPal, los villanos pueden crear muy fácilmente una página clavada a la legítima.
Cuando el usuario se registra en ella, en realidad, está facilitando sus datos (nombre y apellidos, dirección de correo electrónico y datos bancarios) a los ciberdelincuentes.
Si tienes que registrarte en PayPal, hazlo visitando directamente su página oficial.
Nunca lo hagas mediante botones ni enlaces insertados en redes sociales y páginas de terceros.
Vishing
Vishing es la versión de voz del phishing pero por lo demás, el intento de estafa es el mismo.
El delincuente usa el teléfono (principalmente utilizando el Protocolo de Internet o VoIP) para engañar a la víctima y que le entregue información confidencial.
En el siguiente video, aunque no tiene nada que ver con una estafa de PayPal, podemos ver como se perpetra un ataque de este tipo.
En el caso que nos ocupa, un delincuente podría llamar por teléfono argumentando que por un error del sistema se ha producido un cargo no autorizado en una cuenta.
Seguidamente pedirá a la víctima sus credenciales de inicio de sesión para poder bloquear la transacción y asegurar la cuenta.
Una vez que les proporcione la contraseña, los estafadores obtienen la información necesaria para vaciar el saldo de la cuenta.
Parece obvio, ¿verdad?
Por lo tanto, nunca proporciones la información de tu cuenta a terceros.
Tampoco confíes en el ID de la persona que llama, incluso si parece provenir de PayPal.
PayPal nunca solicita credenciales por teléfono o correo electrónico.
Incluso si necesitan verificar cualquier cosa, solo pedirán los últimos dígitos de la tarjeta asociada a la cuenta.
En cualquier caso, esto es lo que nunca solicitarán.
- Tu número completo de la tarjeta de crédito o débito.
- Tus datos bancarios.
- Tu nombre completo registrado en PayPal.
- Una lista de todas las direcciones de correo electrónico vinculadas a la cuenta.
- Tus dirección física.
- Tus preguntas y respuestas de seguridad.
- La contraseña de tu cuenta.
El mismo tipo de estafa puede perpetrarse también mediante mensajes de texto.
Conclusión
Poder vender y comprar en línea es una de las ventajas de la era digital, y más a hora en tiempos de COVID, pero hay que estar muy atentos a las estafas.
Para una capa extra de seguridad, deberías habilitar alguna de las formas de autenticación en doble factor (2FA) que PayPal ofrece al usuario.
Si estás utilizando PayPal desde tu smartphone, también puedes incrementar tu seguridad bloqueando la aplicación mediante un código de 4 a 8 dígitos o incluso añadir un candado biométrico como la huella digital.
Los profesionales de seguridad a menudo pueden ser percibidos como unos seres paranoicos: no hagas clic aquí o los delincuentes entrarán en tu sistema, instala al menos tres cortafuegos, cualquier contraseña de menos de 50 caracteres es tan útil como un submarino descapotable, etc.
Sin embargo, puede ser un error pensar en ello como algo contraproducente.
Un nivel saludable de paranoia es prácticamente esencial para evitar sorpresas desagradables.
