En el mundo digital, las estafas a través de correos electrónicos están a la orden del día, y las empresas son un objetivo frecuente debido a la cantidad de transacciones que manejan. Una de las modalidades más comunes es el phishing usando el nombre de PayPal, en la cual los delincuentes buscan robar información confidencial y dinero. Pero ¿cómo logran hacerlo y, peor aún, utilizar datos reales para ganar tu confianza? Yo te lo cuento, pardiez:

¿Cómo Funciona la Estafa?
El correo «oficial»: Te envían un correo electrónico que parece legítimo. Puede incluir el logo de PayPal, un diseño profesional y hasta tu nombre o algunos datos básicos de tu empresa (obtenidos de fuentes públicas como redes sociales o sitios web corporativos).

El gancho de urgencia: Estos mensajes suelen tener un tono alarmista, indicando problemas con tu cuenta o una oportunidad que debes aprovechar «de inmediato». Por ejemplo, una oferta para mejorar las condiciones de tu cuenta empresarial. Esta es la que reciben habitualmente mis clientes y claro, pagar una comisión más pequeña en Paypal siempre es caramelito.

El enlace fraudulento: Al hacer clic en el enlace proporcionado, llegas a un sitio web que imita perfectamente la página oficial de PayPal. Allí te solicitan datos como tu usuario, contraseña o información financiera. Ahí es ná.

Confirmación falsa: En algunos casos, si llamas al supuesto número de soporte, los estafadores incluso pueden responder de manera profesional para ganar tu confianza, utilizando información real que ya tienen sobre tu negocio. Esto suele impresionar bastante a la víctima de la estafa porque ¿Cómo es que tienen mis datos reales? ¿Acabo, Mabelita, no quieres que me salga más barato el servicio?

Los estafadores no sacan información de la nada. Gran parte de los datos utilizados en estas estafas provienen de tres fuentes principales:

¿Cómo obtienen los datos reales?

  • Brechas de seguridad en otras empresas:
    Los delincuentes acceden a bases de datos comprometidas en ciberataques a otras compañías. Por ejemplo, en incidentes recientes, grandes empresas han sufrido robos masivos de información, como correos electrónicos, nombres, direcciones, e incluso credenciales de acceso. Estas filtraciones son publicadas o vendidas en mercados clandestinos en la dark web. Si tu empresa o uno de tus proveedores utiliza servicios afectados por estas brechas, los datos pueden terminar en manos equivocadas​.
    Caso real: En 2021, un ataque masivo a LinkedIn expuso datos de más de 700 millones de usuarios, incluyendo nombres y correos electrónicos, que luego se utilizaron en ataques de phishing. Aunque no incluían contraseñas, bastaron para personalizar correos engañosos​.
  • Información pública y redes sociales:
    Los ciberdelincuentes también recopilan datos de sitios web corporativos, perfiles en redes sociales o incluso registros públicos. Por ejemplo, si tu empresa publica en su página nombres de empleados o clientes, esa información puede ser utilizada para dar credibilidad a un correo falso.
  • Ingeniería social:
    Además de las brechas, los atacantes aprovechan el descuido humano. Por ejemplo, se hacen pasar por clientes o proveedores y solicitan datos «necesarios» para cerrar una operación. Esta técnica es efectiva porque parece inofensiva y no depende de acceso previo a bases de datos.

¿Cómo detectar y evitar estas estafas?
Revisa los detalles del remitente: Los correos de PayPal auténticos provienen de dominios oficiales como paypal.com o paypal.es. Desconfía de variantes sospechosas.

No te precipites: PayPal nunca te pedirá que tomes decisiones inmediatas sobre tu cuenta a través de un correo electrónico.

Evita los enlaces en correos: En lugar de hacer clic en el enlace proporcionado, ve directamente al sitio oficial de PayPal ingresando la dirección en tu navegador.

No compartas datos confidenciales: PayPal nunca solicitará información sensible como contraseñas o códigos de verificación por correo o teléfono.

Busca errores en el mensaje: La mala gramática o los saludos genéricos («Estimado cliente») suelen ser señales claras de phishing.

Qué hacer si recibes un correo sospechoso:
No respondas ni interactúes con el correo.
Reenvíalo a phishing@paypal.com para que la empresa pueda investigarlo.
Elimínalo de tu bandeja de entrada.
Si ingresaste tus datos en un sitio sospechoso, cambia tu contraseña de inmediato y comunícate con tu banco.
Estas acciones no solo te protegen a ti, sino también a tus clientes y empleados. La educación es clave para evitar caer en este tipo de fraudes.

Te dejo un enlace a la web en la que Paypal habla de las estafas más habituales: