PayPal revela filtración de datos que expuso información de usuarios durante 6 meses

 (bleepingcomputer.com)
2 puntos por GN⁺ 2026-02-22 | 1 comentarios | Compartir por WhatsApp
  • Un error en el sistema de solicitudes de préstamos expuso información personal sensible de clientes al exterior durante aproximadamente 6 meses
  • La información expuesta incluye nombre, correo electrónico, número de teléfono, dirección comercial, número de Seguro Social y fecha de nacimiento
  • PayPal indicó que al día siguiente de detectar el problema revirtió el cambio de código para bloquear el acceso y procesó reembolsos por transacciones no autorizadas en algunas cuentas
  • La empresa ofrece a los clientes afectados 2 años de monitoreo de crédito y servicios de restauración de identidad a través de Equifax sin costo
  • La compañía explicó que no hubo una intrusión al sistema y que solo se expusieron datos de unos 100 clientes

Resumen de la filtración de datos

  • Un error de software en PayPal Working Capital (aplicación de préstamos) expuso información de clientes al exterior
    • Se confirmó que el período de exposición fue del 1 de julio al 13 de diciembre de 2025
    • La información expuesta incluye nombre, correo electrónico, número de teléfono, dirección comercial, número de Seguro Social y fecha de nacimiento
  • PayPal detectó el problema el 12 de diciembre de 2025 y al día siguiente revirtió el cambio de código para bloquear el acceso
  • La empresa señaló que, debido a este error, la información personal identificable (PII) de un pequeño número de clientes quedó expuesta a personas no autorizadas

Medidas de respuesta y protección para clientes

  • PayPal ofreció reembolsos a algunos clientes que sufrieron transacciones no autorizadas
  • La empresa ofrece a los clientes afectados servicios de monitoreo en las tres principales agencias de crédito de Equifax y restauración de identidad sin costo durante 2 años
    • La fecha límite para registrarse al servicio es el 30 de junio de 2026
  • Se restablecieron las contraseñas de todas las cuentas afectadas y se exigirá crear nuevas credenciales en el siguiente inicio de sesión
  • Se recomienda a los clientes monitorear sus reportes de crédito y la actividad de sus cuentas
  • PayPal volvió a enfatizar que no solicita contraseñas ni códigos de autenticación por teléfono, SMS o correo electrónico

Postura de la empresa y explicación adicional

  • Tras la actualización del artículo, un vocero de PayPal afirmó que el sistema en sí no fue comprometido
    • Los clientes expuestos fueron alrededor de 100, y se recalcó que fue una exposición causada por un error de código, no por una intrusión al sistema
    • Explicó que “si existe la posibilidad de que se haya expuesto información de clientes, hay una obligación legal de notificarlo”
  • Es decir, el sistema de seguridad se mantuvo intacto, pero un defecto en el código permitió que los datos pudieran verse desde el exterior

Casos similares en el pasado

  • En diciembre de 2022, hubo un caso en el que 35,000 cuentas fueron comprometidas por un ataque masivo de credential stuffing
  • En enero de 2025, el gobierno del estado de Nueva York impuso a PayPal un acuerdo de 2 millones de dólares relacionado con ese incidente
    • La sanción se debió a que en ese momento PayPal no cumplió con las regulaciones estatales de ciberseguridad

Resumen de la reacción de la comunidad

  • Algunos usuarios preguntaron “cómo se filtraron los datos si el sistema no fue comprometido”
  • Como explicación, se presentó la analogía de que “el sistema de seguridad era seguro como una bóveda, pero la puerta quedó abierta por un error de código
    • En otras palabras, se interpreta como un caso en el que la información quedó expuesta al exterior no por un hackeo, sino por un error en el código de desarrollo

Lecturas relacionadas

1 comentarios

 
GN⁺ 2026-02-22
Comentarios en Hacker News
  • Hace casi 20 años, PayPal me quitó 15 dólares sin ninguna razón
    Compré un juego una vez y dejé el saldo restante durante 6 meses; cuando intenté usarlo en eBay, la cuenta quedó bloqueada de inmediato
    Me pidieron hasta una identificación notariada, así que simplemente me rendí. Desde entonces juré “no volver a usarlo nunca” y hasta hoy no me he arrepentido ni una sola vez
    Cada año sale algún incidente nuevo, y eso me hace sentir que esa decisión fue la correcta
    Ojalá algún día alguien le meta una demanda millonaria a esta empresa y la cierre
    • Una vez vi en Reddit una publicación que decía “PayPal me congeló 600 mil dólares”
      Resultó que era justamente la historia de cuando Notch vendía la versión alfa de Minecraft en su sitio web personal. En ese momento de verdad parecía una estafa
    • Según entiendo, una empresa no puede lucrar con dinero abandonado
      Normalmente ese dinero se transfiere a la agencia estatal de bienes no reclamados
      Si es así, quizá no sea tanto un tema de codicia sino de simple incompetencia
    • Yo también intenté crear una cuenta de PayPal para reunir dinero para un regalo entre compañeros, pero apenas terminé la verificación bancaria me bloquearon la cuenta
      Como me pedían llamar a soporte y hasta escanear mi identificación, mejor borré la cuenta y lo reemplacé con una tarjeta de regalo digital
    • PayPal tiene una posición monopólica y casi no hay alternativas reales
  • Hubo una época en que PayPal era el método de pago más confiable de internet
    Pero ahora ya se puede reemplazar con Stripe, Plaid, Google Pay, Apple Pay y otros, y PayPal es lento y además su soporte es pésimo
    Desde el punto de vista del consumidor, ya no hay razón para usarlo
    • Aun así, gracias a la función G&S (bienes y servicios) alguna vez me devolvieron el dinero cuando me estafaron
      F&F (envíos a amigos y familiares), Venmo o Zelle no tienen esa protección, así que son más riesgosos
    • PayPal todavía tiene una estructura de comisiones para micropagos favorable
      Por ejemplo, en ardour.org reciben miles de pagos de 1 dólar al mes, y gracias a PayPal se ahorran 23 centavos por transacción
    • Stripe y Plaid tienen países compatibles limitados
      PayPal sigue teniendo reconocimiento global
    • Cuando pago en Best Buy con mi tarjeta de crédito, casi siempre se cancela, pero con PayPal pasa sin problema
      Parece ser por el algoritmo de detección de fraude
    • Antes, PayPal era prácticamente la única forma fácil de hacer pagos internacionales
      Stripe en algún momento era solo para Estados Unidos
  • Según el artículo, PayPal dijo que “revirtió el error causado por un cambio de código, y la notificación no se retrasó por una investigación de las autoridades”
    Pero la razón del retraso de 2 meses sigue sin estar clara
    Como mínimo, parecería que al menos pudieron haber revelado primero que hubo una filtración de datos
    • Eso de “no fue por una investigación de las autoridades” es una negación sospechosamente específica
      Solo significa “no fue por la investigación”, pero pudo haberse retrasado por muchas otras razones — por ejemplo, “por vergüenza”
    • ¿Y si fue justo antes de Navidad? Yo no creo que lo hubieran anunciado en ese momento
  • La frase “nuestros sistemas no fueron comprometidos” es un encuadre muy mañoso
    Hubo un error de código que expuso números de SSN durante 6 meses, pero como no hubo intrusión externa lo llaman “no fue una intrusión”
    El mismo patrón se repite con Firebase, Supabase, apps de préstamos y otros casos
    Ya sea que haya sido un hackeo o simplemente la puerta estaba abierta, para la víctima es exactamente el mismo problema
  • Hace poco intenté registrarme en PayPal, pero fracasé por su desastroso proceso de verificación
    Viendo ese nivel de capacidad para captar clientes, ni sorprende que tengan incidentes de seguridad
    • Hoy en día cada vez es más difícil crear una cuenta nueva o volver a una cuenta que estuvo mucho tiempo inactiva
      El problema es el exceso de automatización y los procedimientos de verificación intrusivos
      Quise pagar Minecraft para mi hijo con una cuenta de Microsoft, y desde el inicio de sesión hasta el pago todo estuvo bloqueado por verificaciones y errores de todo tipo
      Al final, la seguridad termina dominando la experiencia de usuario
  • Había una línea que decía que ofrecerían servicio de monitoreo de crédito de Equifax por 2 años a las víctimas. Qué medida tan “elegante”
    • Si piensas en la filtración de datos de Equifax de 2017, es irónico
    • La mayoría de las empresas parece creer que “si hay un incidente de seguridad, basta con ofrecer monitoreo de crédito y ya”
      A las víctimas les cuesta muchísimo presentar una demanda real y al final en una demanda colectiva los únicos que ganan son los abogados
  • En Europa, ojalá WERO reemplace a PayPal. Aunque el nombre da un poco de risa
    • Wero en realidad no es tan diferente de las transferencias SEPA que ya existen
      PayPal al menos tiene protección al comprador
    • Entre las tiendas que uso con frecuencia, todavía no hay ni una sola que acepte Wero
  • Surgió la pregunta: “¿Qué responsable de PayPal va a ir a la cárcel por este incidente?”
    • Yo también pensaba así antes, pero ahora me di cuenta de que las corporaciones están por encima de la ley
      Pagar multas sale más barato que cumplir la ley, y la clase política tampoco logra seguirle el ritmo a la tecnología
      Al final, la protección al consumidor queda en segundo plano
    • Aun así, si fue un incidente causado por un simple bug, me parece excesivo hablar de cárcel
      Cualquiera puede cometer errores, y si fue una falla y no mala intención, hace falta corregirlo más que castigar
  • Acabo de iniciar sesión y me aparece una solicitud de “restablecer contraseña”; después del captcha la página simplemente se queda congelada
    Al final mi cuenta quedó completamente bloqueada. Bien hecho, PayPal
  • Alguien creó con mi correo una cuenta de PayPal para pagar contenido para adultos, así que incluso ahora que ya soy mayor no puedo registrarme con ese correo
    PayPal permitía hacer pagos sin verificar el correo electrónico
    Contacté al soporte, pero solo me respondieron que “no había forma” de resolverlo
    Por eso solo uso Stripe, Link o pago directo con tarjeta de crédito
    En Canadá, desde 2003 se puede transferir dinero sin comisión con e-Transfer, así que PayPal no hace ninguna falta