Una filtración de datos en PayPal lleva a transacciones no autorizadas
Un error en su aplicación permitió a los ciberdelincuentes tener acceso a información personal de clientes durante un período de seis meses.
PayPal ha enviado notificaciones a algunos de sus usuarios informándoles de un incidente de ciberseguridad ocasionado por un fallo en la solicitud de préstamos de capital de trabajo (PayPal Working Capital) de la herramienta de pagos.
Durante casi seis meses, entre el 1 de julio y el 13 de diciembre del año pasado, la información personal de "un pequeño número de clientes" quedó expuesta.
Habría un centenar de cuentas afectadas. Así, el porcentaje es bastante reducido (0,0000231%), considerando que PayPal tiene (según datos de 2025) alrededor de 430 millones de usuarios y empresas que utilizan su servicio para pagos y transferencias.
Debido al agujero de seguridad, se comprometieron detalles personales como nombres, direcciones de email, fechas de nacimiento, números de teléfono y direcciones comerciales combinados con SSN.
Según ha comunicado la compañía en el escrito (que ha reenviado también a las autoridades de Massachusetts), el código que provocó el error se revirtió y se restablecieron las contraseñas de los clientes afectados. No obstante, la vulnerabilidad habría sido explotada antes de ser corregida.
"En cuanto tuvimos conocimiento de esta actividad no autorizada, iniciamos una investigación y pusimos fin al acceso no autorizado a los sistemas de PayPal. Restablecimos las claves de las cuentas afectadas e implementamos controles de seguridad mejorados que le exigirán establecer una nueva contraseña la próxima vez que inicie sesión en su cuenta, si aún no lo ha hecho", indican.
PayPal ha admitido que "algunos clientes experimentaron transacciones no autorizadas en sus cuentas". No obstante, la firma habría emitido un reembolsos a los mismos.
Versiones contradictorias
En un comunicado enviado a los medios la empresa de pagos asegura que sus sistemas no se vieron comprometidos, aunque en la notificación recibida por los clientes se dice lo contrario, indicando que tras detectarse la violación "finalizó el acceso no autorizado a los sistemas de PayPal".
"Le recomendamos que permanezca atento y revise la información de su cuenta, el historial de transacciones y sus informes de crédito gratuitos para detectar cualquier actividad sospechosa. Si observa transacciones fraudulentas, póngase en contacto con nosotros", aconseja.