Brecha de datos en PayPal expone SSN por 6 meses

PayPal ha comenzado a notificar a clientes sobre una nueva brecha de datos vinculada a un error de software en su aplicación de préstamos PayPal Working Capital (PPWC), un servicio diseñado para proporcionar financiación rápida a pequeñas empresas.

El incidente, que se prolongó durante casi seis meses en 2025, permitió la exposición de información personal altamente sensible, incluidos números de la Seguridad Social (SSN), fechas de nacimiento y otros datos críticos, lo que eleva significativamente el riesgo de fraude e ataques de phishing dirigidos.

¿Qué ocurrió exactamente?

Según las notificaciones enviadas a los usuarios afectados, PayPal identificó el problema el 12 de diciembre de 2025, tras detectar que un cambio de código defectuoso en la aplicación PPWC permitió que información personal quedara expuesta a personas no autorizadas desde el 1 de julio de 2025 hasta el 13 de diciembre de 2025.

Entre los datos comprometidos se encuentran:

• Nombre completo
• Dirección de correo electrónico
• Número de teléfono
• Dirección comercial
• Número de la Seguridad Social (SSN)
• Fecha de nacimiento

La combinación de estos elementos constituye un conjunto de datos ideal para suplantación de identidad, apertura fraudulenta de líneas de crédito y campañas avanzadas de ingeniería social.

Respuesta de PayPal ante la brecha

La compañía afirmó que, tras detectar el incidente, revirtió inmediatamente el cambio de código que originó el error, bloqueando el acceso no autorizado un día después del descubrimiento.

Además, PayPal:

• Restableció las contraseñas de todas las cuentas afectadas.
• Emitió reembolsos a clientes que sufrieron transacciones no autorizadas.
• Ofrece dos años de servicios gratuitos de monitorización crediticia y restauración de identidad a través de tres agencias, incluyendo a Equifax.
• Recomienda la inscripción antes del 30 de junio de 2026 para acceder a estos beneficios.

La empresa también aclaró que la notificación no fue retrasada por investigaciones policiales y que el número exacto de clientes afectados aún no ha sido revelado.

Riesgos asociados: fraude financiero y phishing post-brecha

Las filtraciones de datos que incluyen números de la Seguridad Social representan uno de los escenarios más críticos en términos de ciberseguridad. Este tipo de información permite a los ciberdelincuentes:

• Solicitar préstamos o tarjetas de crédito fraudulentas.
• Realizar ataques de "account takeover" (ATO).
• Ejecutar campañas de spear phishing altamente personalizadas.
• Llevar a cabo fraude fiscal o reclamaciones falsas de beneficios.

PayPal recordó a los usuarios que nunca solicita contraseñas, códigos de un solo uso (OTP) ni credenciales por teléfono, SMS o correo electrónico, una advertencia clave ante el aumento de campañas de phishing que suelen seguir a incidentes de exposición masiva de datos.

En este contexto, los expertos recomiendan:

• Activar la autenticación multifactor (MFA).
• Supervisar informes de crédito regularmente.
• Configurar alertas de actividad sospechosa.
• Desconfiar de mensajes que generen urgencia o miedo.

Un historial reciente de incidentes

No es la primera vez que la fintech enfrenta problemas de seguridad. En enero de 2023, PayPal notificó a aproximadamente 35.000 clientes tras un ataque masivo de credential stuffing ocurrido entre el 6 y el 8 de diciembre de 2022, en el que actores maliciosos utilizaron combinaciones de credenciales filtradas previamente en otras plataformas para comprometer cuentas.

Posteriormente, en enero de 2025, el Estado de Nueva York anunció un acuerdo de 2 millones de dólares con PayPal por incumplimientos de las normativas estatales de ciberseguridad relacionadas con la brecha de 2022.

Este nuevo incidente podría intensificar el escrutinio regulatorio sobre la compañía y reavivar el debate sobre los controles de seguridad en aplicaciones financieras orientadas a pequeñas empresas.

Impacto en pequeñas empresas y fintech

El caso pone de relieve un riesgo estructural en el sector fintech: la exposición de datos en plataformas que procesan información financiera sensible de pymes.

Servicios como PayPal Working Capital se han convertido en herramientas clave para el acceso rápido a liquidez, pero también concentran grandes volúmenes de datos personales y financieros en entornos digitales complejos.

Un simple error de desarrollo o una mala implementación de cambios en producción puede derivar en:

• Exposición prolongada de datos
• Incumplimiento normativo
• Sanciones regulatorias
• Daño reputacional
• Pérdida de confianza del cliente

La gestión segura del ciclo de vida del software (SDLC seguro), auditorías periódicas de código y pruebas de penetración continuas son fundamentales para reducir este tipo de riesgos.

Recomendaciones de ciberseguridad para usuarios afectados

Si eres cliente de PayPal Working Capital o sospechas que podrías estar entre los afectados, considera adoptar las siguientes medidas:

• Cambia tu contraseña inmediatamente y evita reutilizar claves en otros servicios.
• Activa MFA si aún no lo has hecho.
• Inscríbete en el servicio gratuito de monitorización crediticia ofrecido.
• Revisa tus informes de crédito en busca de aperturas no autorizadas.
• Mantente alerta ante intentos de phishing que mencionen préstamos, reembolsos o "verificación urgente de identidad".

La vigilancia activa durante los meses posteriores a una filtración es clave para mitigar daños financieros y reputacionales.

Una advertencia para el ecosistema financiero digital

La brecha de datos en PayPal Working Capital demuestra cómo un error de software aparentemente aislado puede transformarse en un incidente de seguridad de alto impacto cuando se trata de plataformas que manejan información crítica.

En un entorno donde las fintech compiten por ofrecer procesos rápidos y digitales, la seguridad debe mantenerse como prioridad estratégica. La protección de datos sensibles, especialmente números de la Seguridad Social, no solo es una obligación regulatoria, sino un elemento esencial para preservar la confianza del mercado.

Mientras PayPal continúa gestionando las consecuencias de este incidente, el caso sirve como recordatorio de que la ciberseguridad no es un evento puntual, sino un proceso continuo que requiere inversión, supervisión y mejora constante.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login