Roban contraseñas de 15,8 millones de usuarios de PayPal: cómo proteger la cuenta

Por ahora lo que pueden hacer los dueños de sus cuentas es activar los protocolos de seguridad y proteger sus perfiles realizando ciertos ajustes, que les permitan tener un entorno más seguro y su dinero no corra riesgos.

Según fuentes especializadas como Cybernews y Hackread, en foros de la Dark Web apareció un anuncio sobre un repositorio llamado “Global PayPal Credential Dump 2025”.

En este, un usuario identificado como Chucky_BF ofreció a la venta un archivo de 1,1 GB que, según sus afirmaciones, contendría combinaciones de correos electrónicos, contraseñas en texto plano y URLs asociadas a PayPal, pertenecientes a 15,8 millones de cuentas en diversas partes del mundo, incluidas cuentas de usuarios en España, Latinoamérica, Estados Unidos y Europa.

El paquete de datos ofrecido incluye detalles sensibles: direcciones de correo electrónico, contraseñas y enlaces directos a los servicios de PayPal, empleando endpoints como /signin, /signup, /connect y rutas específicas para Android. Esta estructura, más allá de la mera lista de credenciales, facilitaría a ciberdelincuentes la automatización de ataques y el acceso potencial no autorizado a las plataformas asociadas.

La oferta de venta se estableció en 750 dólares, una cifra considerada baja para el volumen y presunta sensibilidad de la información ofrecida. Según los mismos medios citados, cuando el precio es bajo y las muestras son limitadas, la calidad y veracidad de los datos pueden estar en duda.

El vendedor sostiene que la base de datos proviene de un incidente reciente, fechado en mayo de 2025, y niega que esté relacionada con filtraciones antiguas o extracciones por métodos anteriormente conocidos.

Por el contrario, PayPal insiste en su versión oficial y descarta la existencia de una nueva vulneración. Según declaraciones remitidas a Cybernews, “no ha habido ninguna filtración de datos, esto está relacionado con un incidente ocurrido en 2022 y no es nuevo”.

En 2022, PayPal sí atravesó un episodio de credential stuffing, una táctica donde los atacantes prueban combinaciones de correos electrónicos y contraseñas obtenidas en otras filtraciones para acceder a cuentas de la plataforma.

Ese episodio comprometió los datos de aproximadamente 35.000 usuarios. Tras este suceso, PayPal acordó el pago de una multa de 2 millones de dólares a las autoridades estadounidenses en 2025, debido a la insuficiencia de sus medidas de control sobre el acceso a datos personales.

Ni medios independientes ni las propias compañías de ciberinteligencia han logrado verificar la autenticidad de la base de datos que se ofrece en foros clandestinos.

Las teorías más probables apuntan a que la base de datos contenida en el “dump” no deriva de un hackeo directo a los servidores de PayPal, sino del uso extendido de malware de tipo infostealer. Este tipo de programas maliciosos se instala en dispositivos personales tras interacciones peligrosas en la red, como abrir enlaces sospechosos o descargar programas falsos, y extrae información guardada, incluyendo contraseñas, detalles de autofill y cookies de navegador.

Una vez obtenidos estos datos, los atacantes los agrupan y comercializan compilaciones con aparente enfoque en determinadas plataformas, como PayPal.

La compañía ha remarcado que no se ha registrado ninguna vulneración mayor a sus sistemas y que el origen del revuelo se encuentra en incidentes antiguos o datos reciclados a partir de infecciones individuales en dispositivos de usuarios.

Ante la duda y la imposibilidad de descartar categóricamente el riesgo, especialistas y la propia plataforma insisten en reforzar las medidas básicas de seguridad. Entre las recomendaciones están:

• Establecer contraseñas complejas y únicas para cada cuenta, evitando secuencias obvias y palabras comunes. El uso de gestores de contraseñas confiables puede facilitar esta tarea sin requerir memorizar muchas combinaciones.
• Actualizar las contraseñas de manera periódica, en especial si se tiene evidencia o sospecha de incidentes de seguridad.
• Activar la autenticación multifactor (MFA) como capa adicional de defensa ante posibles accesos no autorizados. Este mecanismo requiere una segunda comprobación (como un código SMS o desde una app) incluso si el atacante ya posee la contraseña.
• No descargar archivos sospechosos ni abrir enlaces de remitentes desconocidos en correos o mensajes instantáneos, dado que así suelen instalarse infostealers y otros programas maliciosos.
• Vigilar cuidadosamente la actividad de la cuenta, reportando operaciones inusuales de forma inmediata.