AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Ciberdelincuentes aprovechan las suscripciones de PayPal para ejecutar sofisticadas campañas de phishing**

admin

### 1. Introducción

En las últimas semanas se ha detectado un repunte en el uso malicioso de la funcionalidad de «Suscripciones» de PayPal como vector para campañas de phishing altamente convincentes. Los atacantes están explotando los mecanismos legítimos de notificación de PayPal para enviar correos electrónicos que, a simple vista, pueden eludir filtros antispam y engañar incluso a usuarios experimentados. Este modus operandi representa un desafío significativo para los equipos de ciberseguridad, ya que aprovecha la confianza en las comunicaciones oficiales de una de las plataformas de pago más utilizadas del mundo.

### 2. Contexto del Incidente

Según investigaciones recientes, grupos de ciberdelincuentes están creando suscripciones falsas en PayPal y utilizando el campo «Customer Service URL» para insertar enlaces maliciosos. PayPal, al tratarse de una plataforma ampliamente utilizada tanto por particulares como por empresas, se convierte en un canal ideal para la propagación de campañas de ingeniería social. El uso de la infraestructura legítima de PayPal añade una capa adicional de credibilidad a la estafa, dificultando la identificación y neutralización temprana de los correos fraudulentos por parte de los sistemas de seguridad.

Esta técnica no es nueva, pero la sofisticación y el volumen reciente de los ataques han puesto en alerta a los equipos de respuesta ante incidentes y a los responsables de seguridad de la información (CISOs) en organizaciones de todos los tamaños.

### 3. Detalles Técnicos: Vectores de Ataque y Análisis

El vector de ataque principal explota el proceso legítimo de creación de «Subscriptions» en PayPal. Los atacantes crean una suscripción falsa con datos ficticios y configuran el campo «Customer Service URL» con un enlace a un sitio de phishing. Posteriormente, el propio sistema de PayPal envía un correo electrónico al usuario objetivo, notificando una supuesta compra o suscripción. Dado que el correo proviene de una dirección legítima de PayPal (ejemplo: service@paypal.com), los filtros tradicionales basados en reputación, DKIM o SPF suelen permitir su paso.

#### MITRE ATT&CK TTPs relevantes:

– **T1566.001 (Phishing: Spearphishing Attachment):** Aunque el vector no es un adjunto, el envío dirigido y la manipulación de confianza encajan en esta táctica.
– **T1204 (User Execution):** El engaño requiere que el usuario haga clic en el enlace.
– **T1586 (Compromise Accounts):** Utilizan cuentas legítimas de PayPal, a menudo creadas ad hoc.

#### IoCs y artefactos:

– URLs maliciosas insertadas en el campo «Customer Service URL» que redirigen a sitios clonados de PayPal o paneles de recolección de credenciales.
– Títulos de suscripción como “PayPal Security Alert” o “Invoice Notification”.
– No existen CVE asociados, ya que no se explota una vulnerabilidad técnica en el software de PayPal, sino un abuso de funcionalidad (abuse of feature).

Frameworks como Metasploit o Cobalt Strike no han sido identificados de momento en la explotación secundaria de estos casos, aunque los kits de phishing suelen evolucionar rápidamente.

### 4. Impacto y Riesgos

El principal riesgo radica en la elevada tasa de éxito del phishing, ya que el correo tiene apariencia legítima y puede engañar incluso a personal con formación básica en ciberseguridad. Una vez que el usuario accede al enlace, se expone a la captura de credenciales, datos bancarios o incluso la instalación de malware.

En términos económicos, se han reportado pérdidas individuales de hasta 2.000 euros y, en empresas, accesos no autorizados a cuentas corporativas de PayPal con consecuencias directas en la tesorería y cumplimiento normativo (GDPR, NIS2). Según datos de BleepingComputer, la incidencia ha crecido un 40% en los últimos tres meses.

### 5. Medidas de Mitigación y Recomendaciones

– **Bloqueo proactivo de URLs sospechosas:** Implementar listas negras actualizadas y análisis de reputación en los gateways de correo.
– **Formación continua:** Simulacros de phishing avanzados y campañas de concienciación para todos los empleados, especialmente en departamentos financieros.
– **Políticas estrictas de acceso:** Revisión de permisos y doble factor de autenticación (2FA) para todas las cuentas de PayPal corporativas.
– **Monitorización de transacciones:** Alertas en tiempo real ante movimientos inusuales o creación de nuevas suscripciones.
– **Revisión de los procesos internos:** Establecimiento de canales alternativos de verificación de compras y suscripciones.

### 6. Opinión de Expertos

Expertos en ciberseguridad como Kevin Mitnick (KnowBe4) y analistas de Threat Intelligence de empresas como Proofpoint y Palo Alto Networks subrayan que el abuso de funcionalidades legítimas marca un nuevo paradigma en la evolución del phishing. “Los atacantes ya no dependen sólo de vulnerabilidades técnicas; el abuso de servicios de confianza requiere una respuesta coordinada entre proveedores y empresas”, señala Mitnick.

### 7. Implicaciones para Empresas y Usuarios

Para las empresas, este tipo de amenaza implica una revisión urgente de las estrategias de defensa en profundidad y una mayor colaboración interdepartamental. Los usuarios finales, por su parte, deben desconfiar incluso de los correos aparentemente legítimos y verificar siempre cualquier notificación de pago a través del portal oficial, evitando hacer clic en enlaces de correos electrónicos.

El impacto en cumplimiento normativo (GDPR, NIS2) es significativo: una brecha de datos derivada de este tipo de ataques puede acarrear sanciones de hasta el 4% del volumen de negocio anual.

### 8. Conclusiones

El abuso de la funcionalidad de suscripciones de PayPal para campañas de phishing representa una amenaza sofisticada que explota tanto la confianza en la plataforma como las debilidades humanas. Es esencial actualizar las políticas de ciberseguridad, fortalecer la formación y mejorar la monitorización para mitigar el riesgo. El sector debe adaptarse a este tipo de técnicas híbridas que combinan ingeniería social y abuso de servicios legítimos.

(Fuente: www.bleepingcomputer.com)