Alerta de seguridad en PayPal: Datos sensibles expuestos durante meses
PayPal ha reconocido un incidente de seguridad derivado de un error de programación en una de sus aplicaciones.
El problema afectó a la herramienta de financiación empresarial PayPal Working Capital, un producto que ofrece adelantos de efectivo a negocios elegibles en función de su historial de ventas dentro de la plataforma. Según la compañía, el fallo dejó expuesta información sensible de algunos clientes durante varios meses.
El error fue identificado el 12 de diciembre de 2025, momento en el que se activaron las medidas de contención. La investigación interna reveló que la vulnerabilidad estuvo activa desde el 1 de julio de 2025 hasta el 13 de diciembre de 2025, lo que supone más de cinco meses de exposición potencial.
Qué tipo de datos pudieron quedar expuestos
La compañía confirmó que la filtración involucró datos personales altamente sensibles. Entre la información potencialmente accesible se incluyen nombres de usuario, direcciones de correo electrónico, números de teléfono, direcciones comerciales, números de la Seguridad Social (SSN) y fechas de nacimiento.
Este conjunto de datos representa un riesgo significativo. No se trata únicamente de información de contacto, sino de elementos clave utilizados en verificación de identidad, apertura de cuentas financieras y ataques de ingeniería social.
Riesgo de phishing y fraude financiero
La combinación de datos filtrados puede facilitar campañas de phishing altamente creíbles. Con nombres reales, correos electrónicos y otros identificadores, los atacantes pueden diseñar mensajes personalizados capaces de engañar incluso a usuarios experimentados.
Más preocupante aún es que PayPal reconoció que algunos clientes experimentaron transacciones no autorizadas. Aunque la empresa evita cuantificar el alcance exacto, sí indicó que “unos pocos clientes” resultaron afectados por accesos indebidos a sus cuentas.
Transacciones no autorizadas: qué ocurrió
PayPal aseguró haber revocado cualquier acceso malicioso detectado. Además, la empresa confirmó que las víctimas de fraude fueron reembolsadas y que sus contraseñas fueron restablecidas como medida preventiva.
El código responsable del fallo fue revertido tras el descubrimiento del problema. Según la compañía, la notificación a los usuarios no se vio retrasada por investigaciones policiales, un detalle relevante desde el punto de vista de la transparencia corporativa.
Medidas de mitigación y protección ofrecidas
Como parte de la respuesta al incidente, PayPal ofrece dos años de servicios gratuitos de monitorización de crédito y restauración de identidad a través de Equifax. Este tipo de compensación se ha convertido en una práctica habitual tras brechas de datos que implican información personal identificable (PII).
El objetivo es detectar rápidamente posibles intentos de suplantación de identidad, aperturas fraudulentas de líneas de crédito o movimientos financieros sospechosos.
Qué deben hacer ahora los usuarios
PayPal recomienda a todos sus clientes extremar la precaución ante correos electrónicos inesperados. En particular, advierte sobre mensajes que soliciten credenciales, incluyan enlaces o pidan la descarga de archivos adjuntos.
Más allá de las recomendaciones genéricas, conviene adoptar medidas concretas: utilizar contraseñas únicas, activar la autenticación en dos factores y revisar periódicamente los movimientos de la cuenta. En incidentes como este, la vigilancia del usuario es una capa crítica de defensa.
Un recordatorio sobre la fragilidad de las apps financieras
Este incidente vuelve a poner de relieve un problema recurrente en la industria tecnológica: incluso gigantes consolidados pueden introducir vulnerabilidades mediante simples errores de código. Las aplicaciones financieras, por su propia naturaleza, concentran datos especialmente valiosos para los ciberdelincuentes.
Aunque PayPal insiste en que el impacto fue limitado, la exposición prolongada durante meses subraya la importancia de auditorías de seguridad continuas, pruebas de penetración y sistemas de detección temprana.
