Hay un correo que casi todos hemos recibido alguna vez. Asunto: "Hemos limitado tu cuenta de PayPal". Logo perfecto, colores corregidos, un botón azul que dice "Verificar mi cuenta". Y un nudo en el estómago, porque PayPal es donde tienes enlazada la tarjeta. Ese momento de duda es justo lo que busca el phishing de PayPal, ese que muchos tecleáis en Google, con prisa, como "paypal fishing".
Te voy a ser sincero: las imitaciones de 2026 son buenísimas. Ya no tienen faltas de ortografía evidentes ni logos pixelados. Pero siguen teniendo grietas, y una vez sabes mirarlas, no vuelves a caer. Y si ya has caído, no estás solo ni estás sin opciones. Vamos por partes.
Qué es exactamente el phishing de PayPal
Es un fraude de suplantación en el que alguien finge ser PayPal para que entregues tus credenciales, los datos de tu tarjeta o autorices un pago. Llega por tres caminos principales:
- Correo falso (el clásico): un email que imita a PayPal con un enlace a una web calcada. Es el más buscado como "paypal fishing".
- Factura o pago falso: recibes una "factura de PayPal" por una compra que no hiciste, con un teléfono para "cancelar". Si llamas, te guían para que les des acceso o pagues.
- Vishing (llamada): te llaman diciendo que hay un cargo sospechoso. Si te ha pasado por teléfono, amplía con nuestra guía de vishing en PayPal, donde lo desgranamos a fondo.
Las siete señales de un correo de PayPal falso
Mira, te lo digo como se lo digo a mi madre: ante la duda, no pinches nada y entra tú mismo a paypal.com escribiéndolo a mano. Pero si quieres afinar el ojo, estas son las grietas que delatan un phishing.
- El saludo genérico. PayPal se dirige a ti por tu nombre y apellido reales. Un "Estimado cliente" o "Estimado usuario" es bandera roja.
- El remitente real no es de PayPal. No mires el nombre que se muestra; despliega la dirección completa. Verás dominios raros tipo "paypal-seguridad.com" o subdominios extraños.
- La urgencia y la amenaza. "Tu cuenta será suspendida en 24 horas". El miedo y la prisa son la herramienta principal del estafador.
- El enlace no lleva a paypal.com. Pasa el ratón por encima sin pinchar (en el móvil, mantén pulsado) y comprueba la URL real.
- Te piden datos que PayPal nunca pide por correo. Contraseña completa, PIN de la tarjeta, código de un solo uso. PayPal jamás solicita eso por email ni por teléfono.
- Adjuntos inesperados. PayPal no envía facturas en archivos adjuntos para que los abras y rellenes.
- Pequeñas incoherencias. Un símbolo de moneda mal puesto, un importe en otro idioma, una hora que no cuadra con tu zona.
Truco infalible
PayPal tiene una dirección oficial para denunciar: reenvía cualquier correo sospechoso a [email protected]. Si era falso, ayudas a que lo retiren. Y si tienes dudas sobre un movimiento, no uses los teléfonos del correo: entra a tu cuenta y revisa la actividad real desde dentro.
Ya he picado: qué hacer en las primeras horas
Si has metido tus claves o has pagado en una web falsa, respira y actúa rápido. Las primeras horas son las que más cuentan.
- Cambia tu contraseña de PayPal y la del correo asociado. Activa la verificación en dos pasos.
- Llama a tu banco y a la entidad de tu tarjeta. Pide el bloqueo y la retrocesión de los cargos. Si el dinero no ha salido aún de destino, a veces se frena.
- Comunica el fraude por escrito a tu banco. Deja constancia con fecha de que no autorizaste la operación. Este documento es decisivo después.
- Reúne las pruebas. Capturas del correo (con remitente y hora), de la web falsa, de los cargos no reconocidos. No borres nada.
- Reenvía el correo a [email protected] y revisa la actividad de tu cuenta de PayPal por si han enlazado algo.
Cómo recuperar el dinero: tres escenarios distintos
Aquí es donde la gente se confunde, porque "recuperar el dinero de PayPal" no es una sola cosa. Depende de cómo pagaste.
Escenario 1: te sacaron dinero del banco sin tu autorización real
Si el phishing logró una operación que tú no autorizaste de verdad, es una operación de pago no autorizada. El Real Decreto-ley 19/2018 (que traspuso la PSD2) obliga a tu banco a reembolsarte salvo que pruebe negligencia grave por tu parte. La carga de la prueba es del banco. Tienes hasta 13 meses para reclamar.
Escenario 2: pagaste tú, engañado, en una pasarela falsa
Si introdujiste los datos de la tarjeta en una web fraudulenta, hay que valorar la contracargo (chargeback) ante la entidad emisora de la tarjeta y, en paralelo, la vía penal por estafa. La denuncia aquí es imprescindible.
Escenario 3: era una compra dentro de PayPal que resultó fraudulenta
Si la compra se hizo realmente dentro de PayPal con la opción de "bienes y servicios", puedes abrir una disputa por el Programa de Protección al Comprador de PayPal. Importante: esa protección no cubre los pagos entre "amigos y familiares" ni el phishing que te sacó las claves; para eso, la vía es la bancaria y la denuncia.
Lo que aprendimos de un caso reciente
Un autónomo de Málaga recibió una "factura de PayPal" por 780 euros y un teléfono para cancelar. Llamó, y le convencieron de "verificar" sus datos. Reaccionó el mismo día: bloqueó la tarjeta, reclamó por escrito al banco y denunció. El banco devolvió el importe en seis semanas. Su frase fue clara: "lo que me salvó fue no esperar al día siguiente".
Las modalidades de estafa con PayPal que más crecen
El correo falso es la punta del iceberg. Como abogada, veo llegar variantes nuevas cada temporada, y casi todas comparten el mismo truco: usar el nombre de PayPal para darse una pátina de seguridad. Estas son las que más están creciendo.
El "sobrepago" en compraventa de segunda mano
Vendes algo en Wallapop o Vinted y el "comprador" insiste en pagar por PayPal. Recibes un correo (falso) que dice que el pago está "retenido" hasta que envíes el producto o devuelvas un supuesto exceso pagado. No hay tal pago: es una imitación del aviso de PayPal para que entregues la mercancía o transfieras dinero. Si vendes por internet, lee también nuestra guía sobre estafas de envío falso en Wallapop y Vinted.
La factura fantasma con teléfono de "soporte"
Recibes una factura de PayPal por una compra que no hiciste, normalmente de un importe alarmante, con un número para "cancelar la operación". Ese teléfono no es de PayPal: al llamar, te guían para instalar una app de control remoto o para que confirmes datos. La factura es real como correo, pero el cobro no existe; el objetivo es que llames presa del pánico.
El falso reembolso
Te dicen que te han cobrado por error y que van a devolverte el dinero, pero "necesitan" que confirmes los datos de tu cuenta o que aceptes una solicitud de dinero. En realidad estás autorizando un envío, no recibiéndolo. Recuerda: para recibir dinero en PayPal nunca tienes que dar tu contraseña ni aceptar una "solicitud de cobro".
Phishing real frente a comunicación legítima: tabla comparativa
| Señal | PayPal legítimo | Phishing |
|---|---|---|
| Saludo | Tu nombre y apellido reales | "Estimado cliente" |
| Remitente | Dominio @paypal.com | Dominios raros o subdominios |
| Te pide | Que entres tú a tu cuenta | Contraseña, PIN o código |
| Tono | Informativo | Urgencia y amenaza |
| Enlaces | Llevan a paypal.com | Llevan a otra web |
Qué dice la ley sobre tu derecho a recuperar el dinero
Mucha gente da por perdido el dinero porque "fui yo quien metió los datos". Conviene matizarlo, porque el marco legal es más favorable de lo que parece. La norma de referencia es el Real Decreto-ley 19/2018 de servicios de pago, que traspuso la directiva europea PSD2.
Su lógica es clara: cuando se produce una operación de pago no autorizada, el proveedor de servicios de pago (tu banco) debe reembolsarla, salvo que demuestre fraude o negligencia grave del usuario. Y esa prueba le corresponde a la entidad, no a ti. La jurisprudencia de las audiencias provinciales viene aplicando este principio con dureza hacia los bancos cuando el engaño era sofisticado o cuando la entidad no tenía sistemas antifraude razonables.
El plazo para reclamar al banco una operación no autorizada es de 13 meses desde el cargo. Si te dan largas o te niegan el reembolso, el camino es: reclamación al servicio de atención al cliente del banco, después el Servicio de Reclamaciones del Banco de España y, si hace falta, la vía judicial. En paralelo, si pagaste con tarjeta en una web falsa, la figura del contracargo ante la entidad emisora puede ser una vía adicional.
Cómo proteger tu cuenta de PayPal a partir de hoy
Que no te haya pasado todavía no significa que estés a salvo. Estos ajustes, que tardas cinco minutos en hacer, cierran las puertas más usadas.
- Activa la verificación en dos pasos en tu cuenta de PayPal y en el correo asociado.
- No reutilices contraseñas. Si la de PayPal coincide con la de otro servicio filtrado, estás vendido. Un gestor de contraseñas resuelve esto.
- Revisa las apps y comercios con permiso en tu cuenta y elimina los que no reconozcas.
- Configura las notificaciones de cada movimiento para detectar un cargo extraño al instante.
- Marca como spam y borra cualquier correo que pida acción urgente, después de reenviarlo a [email protected].
Dónde denunciar el phishing de PayPal
- A PayPal: reenvío del correo a [email protected] para que lo retiren.
- A la Policía Nacional o Guardia Civil: denuncia presencial u online si ha habido pérdida económica. Te darán número de denuncia.
- A INCIBE (Línea 017): asesoramiento técnico gratuito.
- A tu banco: reclamación formal por la operación no autorizada. Es la vía que recupera el dinero.
Si quieres el detalle del proceso de denuncia, lo tienes en nuestra guía de cómo denunciar phishing en España.
Checklist: qué hacer en las primeras 24 horas, en orden
Si te abruma todo lo anterior, quédate con esta lista. Imprímela mentalmente, porque el orden importa tanto como las acciones.
- Bloquea la tarjeta y la banca online llamando al teléfono oficial de tu entidad.
- Cambia las contraseñas de PayPal y del correo asociado, y activa la verificación en dos pasos.
- Comunica el fraude a tu banco por escrito, con fecha y hora, dejando claro que no autorizaste la operación.
- Guarda todas las pruebas: correo, web falsa, cargos, conversaciones. No borres nada.
- Reenvía el correo a [email protected] y revisa la actividad de tu cuenta.
- Denuncia ante Policía o Guardia Civil si ha habido pérdida económica.
- Reclama formalmente el reembolso al banco. Si te lo niegan, escala al Banco de España.
¿Cuándo conviene ponerse en manos de un abogado?
No todos los casos necesitan abogado. Si el importe es pequeño y el banco reembolsa sin discutir, puedes gestionarlo tú con esta guía. Pero hay tres situaciones en las que merece la pena que un profesional tome el timón: cuando el importe es relevante, cuando el banco se niega alegando negligencia grave, y cuando han pasado semanas y nadie te da una respuesta clara.
En esos escenarios, la diferencia entre redactar bien la reclamación o mal puede ser recuperar todo el dinero o quedarte sin nada. Un abogado especializado conoce la jurisprudencia aplicable a cada modalidad de fraude, sabe qué argumentos desmontan la acusación de negligencia y elige la vía más rápida. Para estos casos colaboramos con el despacho RLex Abogados, especializado en reclamaciones bancarias y fraude online, que estudia tu caso de forma gratuita y te dice con franqueza si tienes opciones reales.
¿Has caído en un phishing de PayPal?
Cuéntanos qué pasó. Un abogado especializado valora gratis si puedes recuperar tu dinero.
Valoración gratuita del casoPreguntas frecuentes sobre el phishing de PayPal
Temas relacionados
- Vishing en PayPal: el fraude telefónico que suplanta a PayPal.
- Cómo denunciar phishing en España: el proceso completo paso a paso.
- Recuperar dinero de una estafa online: las vías para reclamar tu importe.
Abogada · Derecho del consumidor y fraude digital
Especializada en reclamaciones por estafas online y operaciones no autorizadas. Acompaña a víctimas de phishing en plataformas de pago hasta la recuperación del importe.