PayPal ha notificado a algunos usuarios que información extremadamente sensible estuvo accesible por error en una de sus aplicaciones de préstamo durante varios meses del año pasado. Según la comunicación enviada a los afectados, un cambio en el código de la aplicación de préstamos PayPal Working Capital dejó expuestos datos personales desde el 1 de julio hasta mediados de diciembre de 2025, hasta que la compañía descubrió el problema y revirtió la modificación el 12 de diciembre.
Los tipos de información comprometida incluyen nombres, direcciones de correo electrónico, números de teléfono, direcciones comerciales, fechas de nacimiento e incluso números de la Seguridad Social. Estos son datos que, en manos equivocadas, facilitan fraudes de todo tipo: desde la apertura de cuentas a nombre de otra persona hasta estafas dirigidas tanto a individuos como a empresas. PayPal informó que detectó transacciones no autorizadas en algunas cuentas vinculadas al fallo y que ya ha remitido reembolsos a los clientes afectados.
La empresa ha ofrecido además dos años de monitorización de crédito con cobertura sobre las tres agencias principales y servicios de restauración de identidad proporcionados por Equifax, aunque la inscripción exige que los usuarios reclamen ese beneficio antes del 30 de junio de 2026. Para quienes necesiten orientación sobre cómo activar esas protecciones, es útil revisar la oferta y los pasos concretos que PayPal envió por carta a los afectados; la notificación formal puede consultarse en el documento público donde se reproduce la carta enviada por la compañía aquí.
La naturaleza del error descrito por PayPal —un ajuste de software que abrió involuntariamente acceso a datos personales— no es inhabitual en infraestructuras complejas donde despliegues frecuentes y dependencias entre servicios han reducido el margen para pruebas manuales. Cuando esto ocurre, el tiempo que tarda la compañía en detectar la filtración y en contenerla es clave: en este caso la exposición duró casi seis meses. La compañía afirma que la corrección se aplicó de inmediato tras el hallazgo y que no retrasó la comunicación por represalias o investigaciones externas.
Si bien PayPal aún no ha publicado una cifra oficial del número total de cuentas afectadas por este incidente, sí ha confirmado que procedió a restablecer contraseñas para las cuentas comprometidas y que los usuarios deberán establecer nuevas credenciales al iniciar sesión. Además, la compañía ha reiterado una recomendación conocida pero siempre vigente: nunca revelar contraseñas, códigos de un solo uso ni credenciales a través de llamadas, mensajes de texto o correos electrónicos, ya que los delincuentes suelen aprovechar estas situaciones para lanzar campañas de phishing dirigidas a víctimas de brechas.
Este episodio se produce en el contexto de problemas previos de seguridad para PayPal. En diciembre de 2022 se registró un ataque masivo de “credential stuffing” que afectó a decenas de miles de cuentas y, en 2025, la compañía acordó una sanción con el regulador del estado de Nueva York por no cumplir con ciertas obligaciones de ciberseguridad relacionadas con ese incidente. La recurrencia de estos episodios plantea preguntas sobre cómo las grandes plataformas gestionan el riesgo tecnológico a lo largo del tiempo y sobre si las medidas adoptadas tras cada incidente son suficientes para evitar repeticiones.
Para usuarios y pequeñas empresas que usan servicios como PayPal Working Capital, hay medidas prácticas que conviene tomar de inmediato tras una notificación de este tipo. En primer lugar, revisar con atención los movimientos bancarios y transacciones en PayPal y cuentas vinculadas; en segundo lugar, solicitar reportes de crédito y considerar alertas de fraude o congelaciones de crédito cuando sea posible; y en tercer lugar, estar atentos a intentos de phishing, que suelen incrementarse tras filtraciones masivas de datos personales. La Comisión Federal de Comercio (FTC) ofrece consejos claros sobre qué pasos seguir en caso de robo de identidad y cómo protegerse a medio plazo, una guía útil para quienes reciban una notificación similar aquí.
También es recomendable aprovechar las ofertas de monitorización y restauración que ofrezca la propia compañía, pero con cautela: leer los términos de los servicios, comprobar qué cubre exactamente la protección y por cuánto tiempo, y no depender únicamente de esa cobertura. Los servicios ofrecidos por proveedores como Equifax pueden ser útiles, pero conviene conocer alternativas y complementar esas medidas con vigilancia activa de los estados de cuenta y alertas personales. Más información sobre los servicios de protección y monitorización crediticia se puede consultar en la web de Equifax aquí.
Desde el punto de vista técnico y de gobernanza, la lección principal es que los despliegues de software en plataformas que manejan datos sensibles requieren controles de calidad y detección de anomalías robustos: auditorías de código, entornos de pruebas realistas, despliegues progresivos con monitorización en tiempo real y procesos claros para revertir cambios problemáticos. Además, la transparencia con los clientes y la coordinación con los reguladores pueden ayudar a mitigar el impacto reputacional y legal cuando se produce una filtración. Para quienes quieran seguir la cobertura del incidente, medios especializados como BleepingComputer han informado sobre la notificación y han intentado recabar declaraciones oficiales de PayPal aquí.
En última instancia, cuando una plataforma de pagos con millones de usuarios sufre una exposición de esta naturaleza, las consecuencias no solo afectan a las víctimas directas; erosionan la confianza en servicios que muchos negocios y consumidores consideran imprescindibles. La responsabilidad ahora recae en PayPal para demostrar que ha aprendido del incidente, reforzado sus procesos y, sobre todo, protegido mejor los datos que sus clientes le confían.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...