PayPal ha confirmat una filtració de dades al seu sistema de préstecs Working Capital que va exposar noms, dates de naixement i números de la Seguretat Social durant sis mesos.

PayPal ha confirmat oficialment un incident de seguretat que va deixar exposada la informació privada d’alguns usuaris durant gairebé mig any. Per a la vostra informació, aquest problema estava relacionat específicament amb el servei Working Capital de PayPal (PPWC), que ofereix préstecs comercials a petites empreses en funció de l’historial de vendes del seu compte.

Què va passar i quan?

Els problemes van començar l’1 de juliol de 2025, després que un canvi en el codi de programari de la sol·licitud de préstec deixés accidentalment a la vista detalls delicats. Aquest error va passar desapercebut fins al 12 de desembre de 2025, cosa que significa que possiblement persones no autoritzades hi van tenir accés durant gairebé sis mesos.

Tot i que la caixa forta de seguretat principal de l’empresa es va mantenir segura, aquest canvi de codi intern va deixar una porta digital desbloquejada. PayPal ha solucionat l’error des de llavors i, pel que fa a la situació, un portaveu es va posar en contacte amb Hackread.com i va compartir el comentari següent:

«Quan hi ha una possible exposició d’informació del client, PayPal ha de notificar els clients afectats. En aquest cas, els sistemes de PayPal no es van veure compromesos. Per tant, vam contactar amb els aproximadament 100 clients que podrien haver estat afectats per informar sobre aquest assumpte.»

Quina informació hi havia implicada?

Segons sembla, el nombre de persones afectades és petit; tanmateix, les dades implicades són força delicades, com ara:

• Adreces comercials.
• Números de la Seguretat Social.
• Noms complets i dates de naixement.
• Adreces de correu electrònic i números de telèfon.

El que sabem és que el robatori d’aquesta barreja específica de detalls és motiu de gran preocupació perquè dona als estafadors exactament el que necessiten per obrir comptes nous o enviar correus electrònics falsos molt convincents per enganyar els propietaris de petites empreses.

Com està responent PayPal?

PayPal va enviar oficialment cartes de notificació (PDF) el 10 de febrer de 2026 a tots els afectats i restablir les contrasenyes d’aquests comptes, de manera que els usuaris afectats hauran de crear-ne una de nova la pròxima vegada que iniciïn la sessió.

A més, algunes persones van notar transaccions que no havien fet, i PayPal ja ha emès reemborsaments complets a aquestes persones. Per protegir aquests clients a llarg termini, l’empresa ofereix dos anys de supervisió de crèdit gratuïta de tres agències a través d‘Equifax. Aquest servei comprova el seu historial de crèdit a totes les agències principals per detectar qualsevol activitat sospitosa. Si us heu vist afectats, us heu d’inscriure-hi abans del 30 de juny de 2026.

Un problema recurrent amb PayPal

Aquest error de codi és només un dels diversos problemes que els usuaris de PayPal han hagut d’afrontar recentment. Hackread.com ha rastrejat altres casos en què la plataforma ha tingut problemes de seguretat.

L’agost de 2025, un pirata informàtic conegut com a Chucky_BF va anunciar la venda d’una important base de dades que conté més de 15,8 milions de registres relacionats amb PayPal. Tot i que aquestes dades probablement provenien de programari maliciós als dispositius dels usuaris en lloc d’un impacte directe als servidors de PayPal, l’abast de la filtració va posar en risc milions de persones.

Aleshores, el gener de 2026, una falla de seguretat en el mateix sistema de factures de PayPal permetia que els estafadors enviessin sol·licituds de diners falses amb una verificació oficial amb una marca blava, cosa que va evitar molts dels filtres de seguretat habituals en què confia la gent.

Perspectiva experta

Comentant la situació, Kevin Knight, CEO de l’empresa de seguretat Talion, va compartir una opinió exclusiva amb Hackread.com. Va expressar la seva preocupació per com s’havia gestionat l’incident, i va assenyalar:

«El que més preocupa d’aquesta filtració de dades és que una organització tan gran i reputada com PayPal ha esperat dos mesos per notificar-la a les persones afectades per aquest incident. Tot i que s’ha ofert la supervisió de crèdit, les víctimes no n’han sabut res.»

Knight va investigar encara més els riscos a llarg termini, i va assenyalar que, si bé es poden canviar les contrasenyes, l’atacant encara té accés a dades personals que no es poden actualitzar fàcilment. Va afegir que si el problema era realment un sistema mal configurat, com suggereixen les afirmacions de PayPal, «és un error de seguretat preocupant. Encara més preocupant és el fet que va passar desapercebut durant sis mesos. Els clients esperarien, i haurien d’esperar més.»