PayPal confirma brecha de datos que expuso información sensible de usuarios durante seis meses
PayPal notifica a varios clientes tras una exposición de datos personales en su aplicación de préstamos que duró casi seis meses, incluyendo números de la Seguridad Social.
PayPal ha comenzado a notificar a ciertos clientes después de detectar una exposición de datos personales provocada por un fallo en su aplicación de préstamos para pequeñas empresas, PayPal Working Capital (PPWC), que se prolongó durante casi seis meses en 2025.
Según la información enviada a los usuarios afectados, PayPal identificó el problema el 12 de diciembre de 2025. Tras una investigación interna, determinó que, debido a un cambio de código erróneo, información de carácter personal estuvo accesible a personas no autorizadas entre el 1 de julio y el 13 de diciembre de 2025.
Los datos potencialmente expuestos incluyen nombres completos, direcciones de correo electrónico, números de teléfono, direcciones comerciales, fechas de nacimiento y números de la Seguridad Social.
La compañía confirmó que revirtió el cambio de código responsable del incidente al día después de detectarlo, bloqueando cualquier acceso no autorizado. En las cartas enviadas a los clientes, PayPal subraya que la notificación no se ha retrasado por ninguna investigación de las autoridades.
Además, la empresa detectó transacciones no autorizadas en un número reducido de cuentas como consecuencia directa del incidente y ya ha emitido los reembolsos correspondientes.
Como medida preventiva, PayPal ofrece a los afectados dos años gratuitos de monitorización de crédito y servicios de restauración de identidad a través de Equifax, siempre que se registren antes del 30 de junio de 2026. También recomienda vigilar los informes crediticios y revisar la actividad de las cuentas para detectar posibles movimientos sospechosos.
La compañía ha restablecido las contraseñas de todas las cuentas afectadas, obligando a los usuarios a crear nuevas credenciales en el siguiente inicio de sesión. Asimismo, recuerda que nunca solicita contraseñas, códigos de un solo uso ni credenciales de autenticación por teléfono, SMS o correo electrónico, advirtiendo sobre posibles campañas de phishing que suelen seguir a la divulgación de brechas de datos.
Tras la publicación inicial del caso, un portavoz aclaró que los sistemas centrales de PayPal no fueron comprometidos y que el incidente afectó aproximadamente a 100 clientes. No obstante, la empresa sostiene que ante cualquier posible exposición de información está obligada a notificar a los usuarios implicados.