No fue un grupo de hackers ni un ataque de ransomware. Una actualización defectuosa en el sistema de préstamos de la compañía dejó al descubierto la información más sensible de sus clientes comerciales desde julio de 2025.
A veces, la mayor amenaza para la seguridad de los datos no viene de fuera, sino de los propios desarrolladores de la empresa. Hoy 20 de febrero de 2026, que el gigante de los pagos electrónicos PayPal ha emitido una notificación formal de brecha de datos tras descubrir que un error interno expuso Información de Identificación Personal (PII) altamente confidencial.
El incidente, que permaneció indetectado durante casi medio año (desde el 1 de julio hasta el 13 de diciembre de 2025), se originó en la interfaz de la aplicación de préstamos PayPal Working Capital (PPWC), una herramienta diseñada para ayudar a las pequeñas y medianas empresas con capital de trabajo.
La Falla Técnica: Un “Bug” con Consecuencias Reales
Según la divulgación oficial enviada a los clientes afectados el 10 de febrero, la filtración no fue producto de una intrusión externa ni de credenciales robadas.
- La Causa: Un defecto de software introducido durante un cambio de código legítimo en la aplicación PPWC. Este error técnico permitió inadvertidamente que terceros no autorizados pudieran consultar y extraer información de otros perfiles.
- Los Datos Expuestos: El botín de información filtrada es un “kit completo” para el robo de identidad: Nombres completos, fechas de nacimiento, correos electrónicos, números de teléfono, direcciones comerciales y, lo más crítico, Números de Seguro Social (SSN).
Transacciones No Autorizadas y Respuesta
El riesgo teórico se convirtió en un daño real para algunos. PayPal reconoció que un grupo de usuarios llegó a experimentar transacciones no autorizadas en sus cuentas debido a esta exposición. La compañía asegura haber emitido reembolsos íntegros a las víctimas de fraude.
Inmediatamente tras el descubrimiento el 12 de diciembre, PayPal:
- Revirtió el cambio de código defectuoso, cerrando la brecha de seguridad.
- Cerró cualquier acceso no autorizado al sistema.
- Implementó restablecimientos de contraseña obligatorios, forzando a los usuarios afectados a crear nuevas credenciales en su próximo inicio de sesión.
¿Un Incidente Masivo o Contenido?
A pesar de la gravedad de los datos expuestos, el alcance parece haber sido limitado. Un portavoz de PayPal aclaró que los sistemas centrales de la empresa nunca fueron comprometidos por atacantes externos y que se comunicaron con aproximadamente 100 clientes que resultaron potencialmente impactados para advertirles del riesgo.
Para mitigar los daños, PayPal está ofreciendo a las víctimas dos años de monitoreo de crédito y servicios de restauración de identidad gratuitos a través de Equifax, con una póliza de seguro contra robo de identidad de hasta 1 millón de dólares.
La lección para los desarrolladores: Este incidente es un recordatorio brutal de la importancia de implementar procesos exhaustivos de control de calidad (QA) y auditorías de seguridad (DevSecOps) antes de pasar cualquier actualización de código a producción, especialmente cuando manejan datos financieros y de seguridad social.
