Un error de código en la plataforma PayPal Working Capital (PPWC) provocó que datos personales de clientes, incluidos números de Seguro Social, nombres y direcciones fueran accesibles a terceros sin autorización entre el 1 de julio y el 13 de diciembre de 2025.
La empresa de pagos digitales PayPal ha confirmado un incidente de seguridad que afectó a un grupo limitado de sus usuarios debido a una falla técnica en su aplicación de préstamos para pequeñas empresas, PayPal Working Capital (PPWC). La compañía determinó que un error de software introducido en la aplicación permitió que datos sensibles permanecieran expuestos a terceros no autorizados durante casi seis meses, desde el 1 de julio hasta el 13 de diciembre de 2025, antes de que se detectara y corrigiera.
Según la información oficial, el problema se originó por un cambio de código que no se detectó a tiempo, lo que provocó que información personal identificable como nombres, direcciones de correo electrónico, números de teléfono, direcciones comerciales, fechas de nacimiento y números de Seguro Social (SSN), quedara accesible para personas no autorizadas. Aunque el número de clientes afectados fue pequeño -alrededor de cien según las notificaciones enviadas- la sensibilidad de los datos implicados elevó las preocupaciones sobre posibles riesgos de fraude y robo de identidad.
La vulneración fue identificada por PayPal el 12 de diciembre de 2025, y la compañía tomó medidas inmediatamente tras la detección para revertir el cambio de código defectuoso y bloquear el acceso no autorizado, además de notificar inmediatamente a los afectados.
Además del restablecimiento del código, PayPal implementó medidas para mitigar los efectos de la exposición de datos. Esto incluyó el restablecimiento de las contraseñas de las cuentas afectadas y la oferta de servicios gratuitos de monitoreo de crédito y restauración de identidad a través de Equifax durante dos años para quienes se inscriban antes del 30 de junio de 2026. Los usuarios fueron también instados a monitorizar sus informes de crédito y actividad de cuentas en busca de transacciones sospechosas.
El incidente derivó en algunas transacciones no autorizadas en las cuentas de clientes afectados. PayPal confirmó que estos movimientos irregulares ocurrieron como resultado directo de la exposición de información y que los montos fueron reembolsados a los usuarios impactados por la vulneración.
Desde una perspectiva técnica, PayPal aseguró que esta situación no fue resultado de una intrusión a sus sistemas principales ni de un ataque tradicional externo, sino que se debió a una vulnerabilidad inherente en una parte específica de su software, lo que generó la exposición de los datos sin que se vulneraran los sistemas centrales de la compañía.
En respuesta, expertos en seguridad señalaron a diferentes medios especializadfos que, aunque la cantidad de cuentas afectadas fue limitada, la naturaleza de los datos expuestos -particularmente los SSN y las fechas de nacimiento- representa un riesgo significativo. Información de este tipo puede ser utilizada en ataques de ingeniería social, intentos de suplantación de identidad o fraudes financieros dirigidos si llega a manos equivocadas.
PayPal ha comunicado que continuará supervisando la situación y ha reiterado su compromiso con la protección de datos.