Blog

Principales riesgos al pagar con PayPal en Internet

Principales estafas relacionadas con PayPal

Aunque todas las transacciones y detalles financieros de los usuarios de PayPal están cifrados para ayudar a prevenir el fraude y el robo de identidad, debido a sus 227 millones de usuarios en todo el mundo, la compañía propiedad de e-Bay atrae a los ciberdelincuentes como la miel a las moscas.

Básicamente, si algo es popular se convierte en un objetivo en potencia para los villanos.

Según la compañía, la incidencia de fraude en línea se mantiene en un dos por ciento, lo cual es bastante decente, considerando que procesa 235 mil millones de dolares en pagos por año y tiene vínculos con unos 17 millones de sitios web y organizaciones.

Las estafas de PayPal pueden perpetrase mediante diferentes técnicas.

Ha habido un problema con su cuenta de PayPal.

Posiblemente sea una de las estafas más persistentes que podemos encontrar en la actualidad.

Un usuario recibe un correo electrónico supuestamente procedente del servicio de atención al cliente de PayPal, afirmando que hay un problema con su cuenta, y por motivos de seguridad, esta se cerrará.

A continuación, el estafador le solicita que actúe con urgencia para resolver el problema.

Para ello, lo habitual es que junto al correo electrónico, el villano facilite un enlace a través del cual el usuario puede iniciar sesión en su cuenta.

Al pulsar en el enlace e introducir sus credenciales, los ladrones pueden vaciar su cuenta, o hacer compras con la tarjeta asociada a PayPal antes de que la víctima se de cuenta.

Hay un par de aspectos a considerar para evitar caer en esta estafa.

  1.  PayPal nunca le pedirá a nadie que ingrese su nombre de usuario y contraseña en un enlace enviado por correo electrónico, mensaje de texto u otro tipo de comunicación.
  2. Solo hay que ingresar las credenciales en la página de inicio de la empresa o en la aplicación instalada en el teléfono móvil.

Y si observamos de cerca la dirección de correo electrónico desde la que se envió ese mensaje, veremos que se parece a la direccion oficial, pero contiene errores tipográficos.

Por ejemplo payypal.com en vez de paypal.com.

Suplantación de identidad.

Es una variante de la estafa anterior.

En este caso, se informa al usuario mediante un SMS (una variante de phishing llamada smishing) supuestamente procedente de PayPal, de que alguien ha accedido a su cuenta desde una ubicación desconocida.

Avisan de que será suspendida o limitada permanentemente, a menos que verifique que es el propietario haciendo clic en un enlace específico adjunto al mensaje.

Suplantación de identidad.

Una vez que el objetivo realiza el paso, las credenciales de su cuenta de PayPal caen directamente en manos de los piratas informáticos.

La página de phishing, también intentará recopilar más detalles como nombre y apellidos, fecha de nacimiento, dirección postal, datos bancarios etc.

La información recopilada puede utilizarse para realizar ataques de robo de identidad, u obtener acceso otras cuentas del usuario.

Si recibiste este mensaje de texto e iniciaste sesión en tu cuenta de PayPal mediante el enlace de phishing, o proporcionaste otra información personal, debes cambiar inmediatamente tu contraseña de este servicio.

Si usas la misma contraseña en otros sitios (una mala idea) cámbiala también.

La conclusión de esto es la misma que en el caso anterior.

  1.  PayPal nunca le pedirá a nadie que ingrese su nombre de usuario y contraseña en un enlace enviado por correo electrónico, mensaje de texto u otro tipo de comunicación.
  2. Solo hay que ingresar las credenciales en la página de inicio de la empresa o en la aplicación instalada en el teléfono móvil.

Pagos por adelantado.

Posiblemente sea la estafa más antigua que podemos encontrar en la red (y fuera de ella), aunque sorprendentemente todavía hay personas que caen en ella.

En este caso se le envía a una persona un correo electrónico diciendo que ha ganado la lotería (en la que posiblemente nunca a jugado) o que ha recibido una herencia de un pariente lejano que vivía en el Desierto de Atacama.

En cualquier caso, se le dice que ha ganado una gran cantidad de dinero y para poder recibirlo es necesario realizar toda una seríe de complicado papeleo, que por supuesto, tiene un coste, que hay que pagar a través de PayPal.

Nunca hay que emocionarse, correr al concesionario para encargar el Bugatti La Voiture Noire, ni responder a tales correos electrónicos.

Bloquear al remitente y marcar el mensaje como spam es la mejor manera de lidiar con estos sinvergüenzas que insultan nuestra inteligencia.

El comprador pagó de más por un producto a través de PayPal.

Esta es una de las estafas de PayPal más recientes, es muy sofisticada y todavía pasa desapercibida para muchos.

Según los informes, se destaca por ser muy eficaz.

Para aquellos usuarios que venden productos en plataformas como eBay u otros sitios de este tipo, es algo a tener en cuenta.

Funciona de la siguiente manera:

  • Alguien vende un producto mediante un sitio web.
  • El comprador realiza el pago a través de PayPal.
  • Paga una cantidad mayor a la pactada o a la del precio real del producto.
  • El comprador luego le pide al vendedor que le devuelva el dinero extra que ha pagado.

¿Dónde está el tongo esta vez?

  • El comprador solicita que el dinero se transfiera a una cuenta diferente a la utilizada para realizar el pago de dicho producto.
  • Cuando el vendedor transfiere el dinero que supuestamente a cobrado de más, el comprador cancela el pago que ha realizado anteriormente.
  • Por lo tanto, el vendedor pierde el dinero que en teoría cobró de más y también el dinero de la venta.

Si vendes productos en cualquier sitio web y utilizas PayPal para recibir pagos, debes tener cuidado con esto.

Normalmente, nadie te va a pagar dinero extra. Si alguien lo hace seguramente te saldrá más barato cancelar la venta.

Cambio de dirección de envío

Si tienes una tienda en línea o vendes productos en cualquier sitio web una dirección de envío no válida o un cambio repentino de la misma es otra estafa bastante común.

El comprador elige el método de envío entre las opciones disponibles en el momento de la compra, que el vendedor tiene que cumplir para envíar el producto.

Sin embargo, si el comprador es un estafador, puede ponerse en contacto con la empresa de mensajería sin conocimiento del vendedor para cambiar la dirección de entrega.

Después se quejará de que el producto que pidió nunca llegó, y pedirá que se le devuelva el dinero.

Dado que la Protección al vendedor de PayPal no cubre un envío realizado a una dirección que no está registrada, el vendedor perderá tanto el dinero que ha reembolsado como el artículo que envió.

Si vendes productos en línea, la recomendación es tener muy clara la dirección de envío.

Es mejor negarse a vender un producto, si la dirección de entrega es diferente a la que se muestra en la cuenta de PayPal del comprador potencial.

Desafortunadamente, esta estafa es difícil de evitar y el vendedor siempre corre un riesgo.

Estafa de phishing

El phishing es una forma de estafa mediante ingeniería social dirigido tanto a usuarios particulares como corporativos, con el objetivo de obtener acceso a contraseñas de diferentes servicios en línea u otra información confidencial.

Los mensajes de phishing, simulan proceder de una entidad legítima (compañia telefónica, red social, banco, institución pública, etc.) e intentan infundir al destinatario una sensación de urgencia para no darle tiempo a reflexionar, y que haga clic en un enlace malicioso, que les redirigirá a una página web falsa.

PayPal phishing

Pero si tiendes a prestar atención a los detalles, es fácil detectar y evitar las estafas de phishing.

En el caso de PayPal, la URL del sitio web falso en la que los estafadores te pedirán que hagas clic para ingresar tus credenciales, no tendrá nada que ver con el nombre de dominio  de PayPal, o estará mal escrita.

Por ejemplo, en lugar de PayPal.com, el dominio del estafador será algo así como PayPall.com o PayyPal.net.

Para rastrear a los spammers y piratas informáticos, puedes utilizar un servicio como Robtex e investigar la prodedencia del coreo electrónico introduciendo su nombre de dominio en un buscador.

Aprovechar vulnerabilidades de día cero

Una vulnerabilidad de día cero es un error o agujero de seguridad en una pieza de software, hardware o firmware que todavia no ha sido detectado ni corregido.

Algo similar a un desgarro en el bolsillo trasero de tu pantalón que aún no has notado, pero un villano se ha dado cuenta y está esperando a que tu cartera acabe en el suelo para hacerse con ella.

Los kits de exploits de día cero se venden y compran en la web oscura.

En 2016, los analistas de Proofpoint informaron de un posible ataque a los servicios legítimos de correo electrónico de PayPal que permitía a los atacantes entregar contenido malicioso utilizando correos electrónicos oficiales.

Esta es una de las estafas más difíciles de detectar.

Sin embargo, puedes evitar caer en la trampa siguiendo una regla simple pero efectiva: si alguna vez recibes una alerta o notificación, de PayPal (por la vía que sea) siempre es mejor iniciar sesión directamente en tu cuenta y ver las notificaciones.

Engaño de un sitio no oficial de apariencia legítima.

Uno de los eventos más frecuentes en los que puedes ser víctima de una estafa en línea es al crear una cuenta en una plataforma.

Puedes encontrar el enlace para suscribirte en una página web maliciosa o comprometida sin el conocimiento de su propietario, y no saber que te está llevando al destino incorrecto.

Mediante el uso de algun script de clonación de PayPal, los villanos pueden crear muy  facilmente una página clavada a la legítima.

Cuando el usuario se registra en ella, en realidad, está facilitando sus datos (nombre y apellidos, dirección de correo electrónico y datos bancarios) a los ciberdelincuentes.

Si tienes que registrarse en PayPal, hazlo visitando directamente su página oficial. Nunca lo hagas mediante botones ni enlaces insertados en páginas de terceros.

Vishing

Vishing es la versión de voz del phishing pero por lo demás, el intento de estafa es el mismo.

El delincuente usa el teléfono (principalmente utilizando el Protocolo de Internet o VoIP) para engañar a la víctima y que le entregue información confidencial.

En el siguiente video, aunque no tiene nada que ver con una estafa de PayPal, podemos ver como se perpetra un ataque de este tipo.

En el caso que nos ocupa, un delincuente podría llamar por teléfono argumentando que por un error del sistema se ha producido un cargo no autorizado en una cuenta.

Seguidamente pedirá a la víctima sus credenciales de inicio de sesión para poder bloquear la transacción y asegurar la cuenta.

Una vez que les proporcione la contraseña, los estafadores obtienen la información necesaria para vaciar el saldo de la cuenta.

Parece obvio, ¿verdad?

Por lo tanto, nunca proporciones la información de tu cuenta a terceros.

Tampoco confíes en el ID de la persona que llama, incluso si parece provenir de PayPal.

PayPal nunca solicita credenciales por teléfono o correo electrónico.

Incluso si necesitan verificar cualquier cosa, solo pedirán los últimos dígitos de la tarjeta asociada a la cuenta.

En cualquier caso, esto es lo que nunca solicitarán.

  • Tu número completo de la tarjeta de crédito o débito.
  • Tus datos bancarios.
  • Tu nombre completo registrado en PayPal.
  • Una lista de todas las direcciones de correo electrónico vinculadas a la cuenta.
  • Tus dirección física.
  • Tus preguntas y respuestas de seguridad.
  • La contraseña de tu cuenta.

El mismo tipo de estafa puede perpetrarse también mediante mensajes de texto.

Poder vender y comprar en línea es una de las ventajas de la era digital, y más a hora en tiempos de COVID, pero hay que estar muy atentos a las estafas.

Para una capa extra de seguridad, deberías habilitar alguna de las formas de autenticación en doble factor (2FA) que PayPal ofrece al usuario.  

Si estás utilizando PayPal desde tu smartphone, también puedes incrementar tu seguridad bloqueando la aplicación mediante un código de 4 a 8 dígitos o incluso añadir un candado biométrico como la huella digital.

¿Qué piensas?

¡Envianos tus comentarios!

Temas:

Avisos de seguridad

Relacionados

Electronic Frontier Foundation

LibreOffice