PayPal notificó oficialmente una filtración de datos luego de detectar un error de programación en su aplicación de préstamos PayPal Working Capital (PPWC). Este fallo permitió la exposición de información personal identificable —conocida por sus siglas en inglés como PII (Personally Identifiable Information)— de un número no revelado de clientes durante aproximadamente seis meses, entre el 1 de julio y el 13 de diciembre de 2025.

La empresa descubrió la exposición no autorizada el 12 de diciembre de 2025 y comunicó el incidente de manera formal a los clientes afectados el 10 de febrero de 2026 desde su sede en San José, California. Según PayPal, la causa no fue un ataque externo ni una brecha de seguridad tradicional, sino un defecto interno en el software. Una modificación en el código de la interfaz de la aplicación de préstamos permitió sin intención que terceros accedieran a datos personales de los clientes.

La compañía confirmó que el cambio de código erróneo fue revertido y que cualquier acceso no autorizado a sus sistemas había sido interrumpido. Además, aclaró que no existió ninguna investigación policial que retrasara la notificación pública del incidente.

La información comprometida es particularmente sensible, ya que incluye nombre completo, dirección de correo electrónico, número telefónico, dirección comercial, número de Seguridad Social (SSN) y fecha de nacimiento. La combinación de estos detalles puede facilitar el robo de identidad y otros tipos de fraude financiero o engaños dirigidos a las personas afectadas.

PayPal indicó que algunos clientes también registraron transacciones no autorizadas en sus cuentas. En estos casos, la empresa reembolsó los montos correspondientes. Tras identificar el problema, PayPal emprendió una investigación exhaustiva, bloqueó el acceso no autorizado y obligó a restablecer las contraseñas de las cuentas involucradas. Las personas afectadas debieron crear nuevas credenciales en su siguiente inicio de sesión, como parte de los refuerzos de seguridad implantados.

Como medida de apoyo, la compañía ofrece “dos años de monitoreo crediticio gratuito” a través del servicio Equifax Complete Premier. Este incluye supervisión de las tres principales agencias de crédito y hasta un millón de dólares en seguro contra robo de identidad. Quienes deseen acceder al beneficio deben inscribirse con el código de activación entregado por PayPal antes del 31 de julio de 2026.

La empresa aconsejó a los usuarios revisar cuidadosamente el historial de sus transacciones, vigilar sus informes crediticios mediante el sitio anualcreditreport.com y considerar la colocación de alertas de fraude o bloqueos de crédito con las tres agencias principales: Equifax, Experian y TransUnion. Estas acciones pueden realizarse sin costo y brindan una capa adicional de protección frente a potenciales usos indebidos de la información.

PayPal recordó también que nunca solicita contraseñas, credenciales de cuenta ni códigos de autenticación por llamadas, mensajes o correos electrónicos. Cualquier comunicación de este tipo debe considerarse sospechosa y reportarse de inmediato.

Un portavoz de la empresa declaró a un medio especializado que, cuando existe la posibilidad de exposición de información de clientes, PayPal tiene la obligación de notificarles. En este caso, el sistema no fue comprometido y se contactó proactivamente a unas 100 personas potencialmente afectadas para informarles sobre la situación.

Aunque el incidente tuvo un alcance limitado y fue causado por un error interno, sirve como recordatorio de que incluso grandes plataformas tecnológicas deben mantener una vigilancia constante sobre sus procesos de programación y gestión de datos. Una pequeña modificación en el código puede tener consecuencias amplias si no se detecta a tiempo, afectando tanto la confianza de los usuarios como la reputación de la empresa.

Para los clientes y el público en general, este suceso refuerza la importancia de adoptar hábitos de seguridad digital básicos, como monitorear las cuentas financieras, utilizar contraseñas seguras y desconfiar de mensajes que soliciten información personal. La prevención sigue siendo la mejor forma de proteger nuestra identidad en el entorno digital.

• Cybersecurity News. (2026, febrero 20). PayPal Data Breach Exposes SSNs and Business PII of Customers for Over Six Months. Cybersecurity News. https://cybersecuritynews.com/paypal-data-breach-expose-customer-data