¿Usas PayPal? Este fallo anula tu verificación en dos pasos aunque la tengas activada
- Un error permite eludir la verificación en dos pasos
- Suplanta avisos de actividad inusual para robar credenciales
Si utilizas PayPal para tus compras online, presta mucha atención. Una vulnerabilidad crítica en la plataforma ha permanecido activa durante los últimos seis meses, permitiendo a atacantes acceder a cuentas personales incluso si tienen activada la verificación en dos pasos (2FA).
La voz de alarma ha saltado tras detectarse una campaña masiva de phishing dirigida a usuarios españoles. El objetivo es claro: vaciar el saldo de la cuenta y utilizar las tarjetas vinculadas antes de que el propietario se dé cuenta.
Este tipo de ataques no es aislado. España se ha convertido en uno de los focos europeos de delincuencia digital, con
El fallo que anula tu doble factor de seguridad
El problema no es solo un mensaje engañoso. Según los expertos, existe un error técnico en el sistema de validación que permite a los atacantes secuestrar el token de sesión, una especie de llave digital que el navegador guarda para evitar que introduzcas la contraseña cada vez.
Al clonar esta llave, los ciberdelincuentes pueden entrar en la cuenta sin que el sistema solicite el código SMS o la app de autenticación. Es decir, el doble factor queda completamente inutilizado.
Así funciona la estafa del mensaje de verificación
La puerta de entrada suele ser un SMS o un correo electrónico con redacción impecable. A diferencia de otras campañas, no presenta errores evidentes, lo que aumenta su credibilidad.
- El gancho: recibes una alerta por “actividad inusual” o una solicitud para “confirmar tu identidad”.
- La trampa: el enlace dirige a una web idéntica a la oficial de PayPal.
- El robo: al introducir tus datos, el atacante captura tus credenciales y clona tu sesión activa.
El patrón es similar al de otras estafas recientes que han vaciado cuentas en minutos, como la
Qué debes hacer ahora mismo para proteger tu cuenta
Dada la gravedad del fallo y el tiempo que lleva activo, los expertos recomiendan actuar de inmediato. No basta con cambiar la contraseña si la sesión ya ha sido comprometida.
| Medida de seguridad | Acción recomendada |
|---|---|
| Cerrar sesiones | Accede a ajustes de seguridad y selecciona “Cerrar sesión en todos los dispositivos”. |
| Notificaciones | Activa alertas push en la app oficial para recibir aviso inmediato de cualquier movimiento. |
| Tarjetas vinculadas | Valora desvincular temporalmente tu cuenta bancaria principal y usar una tarjeta prepago. |
| Doble factor (2FA) | Sustituye el SMS por una app de autenticación (Google Authenticator u otra similar). |
El peligro aumenta los fines de semana
Se ha detectado que el mayor volumen de ataques se concentra los viernes por la tarde y durante el sábado. Los ciberdelincuentes aprovechan que la atención al cliente de bancos y plataformas es más lenta o limitada en esos horarios.
También se han disparado los fraudes relacionados con
Si recibes cualquier comunicación supuestamente enviada por PayPal, no pulses en enlaces. Accede escribiendo manualmente la dirección oficial en tu navegador o utiliza exclusivamente la aplicación oficial instalada en tu móvil.
Fuente de la imagen principal: Freepik / Montaje Roams
Últimas noticias
Comentarios
