Cómo reconocer correos electrónicos y sitios web fraudulentos

Invertimos mucho tiempo y esfuerzos en garantizar que nuestros usuarios estén protegidos, y los ladrones lo saben. Tal vez intenten hacerse pasar por nosotros para ganarse tu confianza y de este modo acceder a tu cuenta, pero afortunadamente existen formas de asegurarse de que realmente somos nosotros.


Correos electrónicos sospechosos

El phishing (robo de identidad) y los correos electrónicos suplantación de identidad intentan obtener información confidencial, contraseñas o números de cuentas. Estos correos electrónicos utilizan medios fraudulentos para intentar engañarte, como por ejemplo suplantación de identidad la dirección del remitente. A menudo le solicitan al lector que responda, llame a un número telefónico o haga clic en un enlace para robarle información personal. Si recibes un correo electrónico sospechoso, REENVÍALO a phishing@paypal.com.mx. Nuestros expertos en seguridad lo examinarán para determinar si es suplantación de identidad o no. Si lo es, localizaremos el origen del correo electrónico y lo desmantelaremos lo antes posible. Reportar estos correos electrónicos no solo te protege a ti, sino también a todos los demás usuarios.
A continuación te indicamos algunas claves para identificar un correo electrónico suplantación de identidad, aunque a menudo resulta difícil saber si es real o no, ya que los estafadores mejoran cada día sus tácticas. Por lo tanto, si tienes la más mínima duda, envíaselo a nuestros expertos para que lo investiguen.

Nota: REENVÍA el correo electrónico sospechoso, no cortes ni pegues contenido, ya que podría perderse información de rastreo valiosa.

¿Qué es el phishing o robo de identidad?

El phishing es un intento de robar tu información. Los delincuentes se hacen pasar por una empresa legítima para conseguir que reveles información personal confidencial, como números de tarjetas, información de cuentas bancarias o contraseñas de cuentas.

Una de las estafas más comunes de phishing consiste en enviar un correo electrónico haciéndose pasar por una empresa reconocida. Sin embargo, el phishing también se puede llevar a cabo en persona, por teléfono, a través de ventanas emergentes maliciosas y sitios web suplantación de identidad.

Cómo funciona el phishing

  1. Un delincuente envía correos electrónicos que aparentan provenir de una empresa conocida. Un ejemplo común es inventar una historia diseñada para que hagas clic en un enlace o llames a un número de teléfono.
  2. El correo electrónico de phishing puede solicitarte llenar un formulario o hacer clic en un enlace o botón que te llevará a un sitio web fraudulento.
  3. El sitio web fraudulento se hace pasar por la empresa mencionada en el correo electrónico y te engaña para que ingreses datos personales y confidenciales.

En resumen, tú crees que estás proporcionando tu información a una empresa de confianza cuando, en realidad, se la estás suministrando a un delincuente.

Ten en cuenta que los correos electrónicos de phishing también pueden incitarte a abrir archivos adjuntos sospechosos o a visitar sitios web que pueden infectar tu computadora con software malicioso o malware.

Cómo identificar un correo electrónico suplantación de identidad

Existen varios signos que indican que un correo electrónico es fraudulento:

Un suplantación de identidad sentido de urgencia: muchos correos electrónicos fraudulentos te dicen que tu cuenta estará en peligro si no actualizas inmediatamente algún dato principal.

Enlaces suplantación de identidad: puede que tengan una apariencia real, pero pueden ocasionarte problemas. Revisa a dónde te dirige el enlace antes de hacer clic, colocando el cursor sobre la dirección URL. Si el enlace parece sospechoso, no hagas clic. Obtén más información sobre URL sospechosas en el apartado “Cómo reconocer un sitio web suplantación de identidad”.

Archivos adjuntos: un correo electrónico de PayPal real jamás incluirá archivos adjuntos o software. Los archivos adjuntos pueden contener malware, por lo que nunca debes abrirlos a menos que estés absolutamente seguro de que son legítimos.

Si no estás seguro de si un correo electrónico de PayPal es legítimo o no, esto es lo que debes hacer: no hagas clic en ningún enlace del correo electrónico. En lugar de ello, inicia sesión en paypal.com. Si hay algún mensaje urgente para ti, lo verás en las Notificaciones de tu perfil.

    A continuación te mostramos algunos ejemplos de correos electrónicos suplantación de identidad:

    Recibes un correo electrónico que dice: “Tu pedido #ZK04769 está confirmado para su envío mañana. Haz clic aquí para revisar los detalles del envío”. Tú no has realizado ningún pedido, así que haces clic en el enlace e inicias sesión para ver de qué se trata. Después, te das cuenta de que el enlace te lleva a un sitio web ficticio.

    Recibes un correo electrónico que dice: “Hemos observado movimientos sospechosos en tu cuenta. Haz clic aquí para revisar tus transacciones recientes”. De nuevo, el enlace te lleva a una página que parece ser real, pero en realidad se trata de un enlace ficticio.

    “Por ser buen cliente, te ofrecemos un cupón especial de 50 USD. Oferta limitada a las 100 primeras personas, haz clic aquí inmediatamente para recibir tu premio”. En lugar de un premio, se te redirigirá a un sitio web suplantación de identidad donde probablemente debas ingresar tu correo electrónico y contraseña, que luego los estafadores podrán utilizar para hacer compras con tu cuenta.

    Smishing (estafa mediante mensajes de texto)

    El phishing también puede llegar a través de mensajes de voz o mensajes de texto a tu teléfono. El smishing se produce cuando un estafador envía un mensaje de texto a tu número de teléfono usando una dirección URL o un número de teléfono ficticios. El mensaje suele ser urgente, como:

    “Su cuenta PayPal se ha suspendido debido a movimientos sospechosos. Comuníquese con nosotros de inmediato al 0123-4567. Necesitamos hablar con usted inmediatamente”.

    “PayPal: Ha realizado un pago de 1293.17 USD con PayPal. Si no ha realizado esta transacción, llámenos inmediatamente al 0123-4567. Gracias”.

    Si llamas al número, estás confirmando que tienes una cuenta PayPal. Hablarás con un estafador que te solicitará información de tu cuenta para poder robar con ella.

    Asimismo, un enlace a una dirección URL recibido por mensaje de texto en tu celular podría ser suplantación de identidad.

    “PayPal: Ha realizado un pago de 1293.17 USD con PayPal. Si no ha realizado esta transacción, inicie sesión en paypal.mobileservice2013.com/txn?id=178948 para cancelar esta transacción. Gracias”.

    Vishing (estafa mediante mensajes de voz)

    En ocasiones, los estafadores usan un sistema automatizado para realizar las llamadas de voz, informando de problemas urgentes en la cuenta y solicitando información de la misma: a esto se le denomina vishing. Este es un ejemplo de lo que podría escuchar en una llamada de vishing:

    "Le llamamos de PayPal para informarle acerca de una posible transacción fraudulenta en su cuenta. Ingrese su contraseña ahora para escuchar los detalles de la transacción. Necesitamos su acción inmediata para poder bloquear esta transacción".

    Cuando los usuarios ingresan su contraseña, los estafadores obtienen información esencial para obtener acceso a la cuenta. Jamás proporciones información de la cuenta, a menos que hayas iniciado tú la llamada.

    No confíes en la identificación de la persona que llama. Aunque la persona que llama diga ser de “PayPal”, esto no basta para confiar en la llamada. Los estafadores pueden suplantación de identidad fácilmente la identificación de la persona que llama, y es imposible asegurarse de que la llamada provenga de donde dice provenir.

    A veces, las llamadas automatizadas te pedirán devolver la llamada. Dejan un número o te permiten devolver la llamada con solo hacer clic en tu celular. No llames a estos números. Si necesitas comunicarte con nosotros, haz clic en el enlace Contacto y ayuda en cualquier página de PayPal para conocer el número telefónico real.

    Fíjate en la dirección URL falsa del mensaje. Debes ser precavido con los mensajes de texto que contienen enlaces. Si alguna vez tienes dudas sobre la autenticidad de un enlace, escribe manualmente www.paypal.com en tu navegador para iniciar sesión.

    Cómo reconocer un sitio web suplantación de identidad

    No siempre podrás saber si un sitio web es auténtico tan solo con mirar las páginas, ya que es muy fácil para los estafadores copiar el contenido de un sitio web real. Debes revisar la URL para asegurarte de que estás en el sitio web real.

    En nuestro sitio web, existen algunos indicadores que te confirman que efectivamente es PayPal. La URL debe comenzar con https://, no con http://, y deberías ver un icono de sitio web seguro (un candado).

    Algunos estafadores colocarán una barra de dirección falsa sobre la verdadera para que creas estar en el sitio web legítimo. Pero aunque una URL contenga la palabra «PayPal», es posible que no se trate de un sitio de PayPal. Si la dirección URL se ve demasiado compleja, es muy probable que se trate de un sitio web suplantación de identidad.

    Aquí te mostramos algunos ejemplos de direcciones de PayPal falsas:

    Las URL reales de PayPal comienzan con https://www.paypal.com. En algunas ocasiones, el “www” se puede sustituir por otras letras, pero debería ir seguido de “paypal.com” inmediatamente. El segundo ejemplo antes mostrado incluye “paypal.com", pero el sitio web en realidad es hmmmm.com, lo que es muy sospechoso.

    También tenemos direcciones con dominios de terceros que usan el formato paypal-xxxx.tld, las cuales intentan conservar el nombre PayPal antes del guion (a diferencia del primer ejemplo). Pero este formato no es exclusivo de PayPal, ya que cualquiera puede comprar un nombre de dominio y añadir “-paypal.com“ para hacerlo parecer legítimo. Así que para confirmar que el sitio es realmente de PayPal, comprueba lo siguiente:

    1. El formato se ajusta a las pautas de nombre del dominio de tercero de PayPal, por ejemplo paypal-xxxx.tld (donde “tld" se refiere a Top Level Domain). Por lo tanto, los dominios del país son aceptables en estos casos (por ejemplo, “.us,” “.cn,” “.br”, “.mx”, “.ar” o “.de”, así como también “.com” o “.net”).
    2. El logotipo de SSL EV seguro de color verde está presente. Esto identifica que el sitio es propiedad de PayPal, Inc.

    Si te encuentras con un enlace o sitio web sospechoso, infórmanos sobre ello. Copia y pega la URL del sitio web en un mensaje de correo electrónico y envíalo a phishing@paypal.com.mx. Nuestros expertos en seguridad lo investigarán y, si se trata de un sitio web malicioso, lo desmantelaremos. Reportar un enlace sospechoso no solo te protege a ti, sino también a los demás usuarios.

    Si eres víctima de phishing, vishing o smishing

    Existen muchos intentos de estafa muy astutos, y constantemente se están creando nuevos tipos. Así que, a pesar de tus mejores esfuerzos, aun así podría suceder. Si crees que has sido víctima de estafa, estos son los pasos que debes seguir para protegerte:

    1. Cambia la contraseña, NIP y preguntas de seguridad de tu cuenta inmediatamente. Haz esto con tu cuenta PayPal, cuenta de correo electrónico y otras cuentas en Internet.
    2. Ejecuta un escáner de antivirus en tu sistema para descartar que hayas sido infectado con algún virus. Asegúrate de que tu sistema y software antivirus estén actualizados.
    3. Comprueba el estado de tu cuenta en línea periódicamente durante las próximas semanas (y meses) para identificar movimientos inusuales.