Aunque pueda parecer un fallo de seguridad en toda regla, la verdad es que no está relacionado con la seguridad del servicio, sino con los términos de utilización del mismo, algo que ya ha sido reconocido como tal por la propia PayPal. El fallo de ingeniería social permite obtener dinero e incrementar el dinero disponible en nuestro poder.
Podría ser considerado como un fallo legal en los términos de utilización del servicio, pero no un fallo de seguridad, ya que tal y como ha confirmado la propia compañía, este vacío se aprovecha de un procedimiento fijado que es utilizado para poder devolver el dinero a los usuario cuando han caído por ejemplo en algún engaño.
Algunos expertos en seguridad no han dudado en ponerse en contacto con la compañía para ponerlo en el conocimiento de los responsables del servicio. Sin embargo, todo parece apuntar que de momento los responsables no piensan tomar ninguna acción al respecto. Estos problemas hacen que sea esencial habilitar la 2FA de PayPal.
Proceso para conseguir el dinero extra
Es necesario utilizar una cuenta física real y dos cuentas virtuales las cuales serán utilizadas en el proceso.
- Hacemos una transferencia de la cuenta real a una de las virtuales, por ejemplo 200 dólares
- Cuando la cuenta virtual dispone del dinero hacemos una transferencia de 200 dólares a la otra cuenta virtual con motivo por ejemplo de un regalo.
- Después de tener la cuenta virtual el dinero, utilizamos la función de PayPal que posee para recuperar el dinero (en inglés «charge-back») alegando que no se ha recibido el regalo, es decir, víctimas de un engaño.
A partir de aquí comenzará el proceso para que ambas partes defiendan sus argumentos. De esta forma y pasado un breve periodo de tiempo, en nuestra cuenta real volveremos a tener los 200 euros mientras que en la cuenta virtual seguiremos teniendo los 200 euros originales, mientras que en la cuenta «denunciada» (por decirlo de una manera) nuestro saldo será -200 euros.
Mucho cuidado con el proceso
Aunque de momento PayPal parece que no va a mover ni un dedo, es probable que el apogeo de este tipo de prácticas pueda llegar a ser perseguido o investigado por la propia PayPal, a no ser que lleven a cabo una modificación de los términos de uso de la función que permite recuperar el dinero, ya que podría estar contemplado como un fraude con la pena de cárcel correspondiente.