La preocupación por un posible pirateo de los datos de PayPal aumenta después de que el 16 de agosto apareciera un post en un mercado de la web oscura en el que se ofrecían a la venta las credenciales de inicio de sesión de 15,8 millones de usuarios de PayPal. El actor de la amenaza, llamado Chucky-BF, publicó lo que describió como “Global PayPal Credential Dump 2025”. Los datos incluirían las direcciones de correo electrónico de inicio de sesión y las contraseñas en texto plano de casi 16 millones de usuarios de PayPal, según el hacker.

El post de la dark web anunciaba casi 16 millones de credenciales de PayPal a la venta, haciendo creer a la gente que PayPal fue hackeado en 2025. Imagen: Cybernews.

PayPal ha negado la violación de datos, y su representante dijo a Cybernews que el post se refiere a un incidente pasado que ocurrió en 2022. Aunque sigue sin confirmarse si PayPal fue hackeado, las afirmaciones tampoco pueden verificarse de forma independiente debido a que el tamaño de la muestra de los datos es demasiado pequeño. Los expertos también han dicho que no creen que PayPal haya sufrido una violación de datos, pero sugieren que la información podría haberse obtenido en otro lugar, por ejemplo, a través de un malware infostealer. Si se utilizó malware de robo de información, las credenciales se habrían extraído directamente de los dispositivos de los usuarios, y esto explicaría por qué la estructura del conjunto de datos coincide con los registros de robo de información conocidos. Además, los datos se venden a bajo precio, lo que sugiere que las credenciales no proceden de una nueva filtración.

Sin embargo, no importa realmente si este hackeo de datos ha ocurrido recientemente o tuvo lugar en el pasado. Ahora, las cuentas bancarias online de millones de usuarios de PayPal están en peligro.

Activa la privacidad con un solo clic.

Get

Hackeo de PayPal: Lo que se sabe

El atacante bajo el nombre de Chucky-BF afirma que los datos se recopilaron en mayo de 2025 y contienen los datos sensibles de cuentas PayPal de todo el mundo. Es preocupante que se diga que las credenciales de millones de usuarios están a la venta, pero lo que lo hace más amenazador es el tipo de datos que también se dice que están a la venta.

Esto incluye a los usuarios de PayPal:

• Direcciones de correo electrónico para iniciar sesión

• Contraseñas en texto plano

• URL asociadas que enlazan con servicios de PayPal

• Variantes

Si se confirma que el volcado de datos a la venta es cierto, las cuentas de PayPal correrán el riesgo de sufrir accesos no autorizados y actividades maliciosas. Esto no sólo afectará a un gran número de cuentas PayPal, sino que otro problema es que la brecha podría llevar a comprometer aún más la identidad digital de un usuario, por ejemplo, dando lugar a robos de identidad, fraudes financieros y la reventa de las cuentas de los usuarios. Por poner un ejemplo, si un usuario tiene las mismas credenciales de inicio de sesión para varias cuentas, un ataque de relleno de credenciales con los datos de PayPal adquiridos podría permitir a actores malintencionados acceder a más de sus cuentas en Internet.

La mayor amenaza para los usuarios es que utilicen la misma contraseña para su cuenta de correo electrónico y para PayPal. Aunque PayPal exige hoy en día la autenticación de dos factores (y por tanto debería ser bastante seguro a pesar de este ataque), la mayoría de los proveedores de correo electrónico no lo hacen. Al poder comprar un conjunto de datos formado por direcciones de correo electrónico y contraseñas de PayPal, los atacantes malintencionados pueden comprobar si las contraseñas de PayPal también funcionan en las cuentas de correo electrónico mencionadas. De este modo, pueden hacerse con el control no sólo de la cuenta de correo electrónico de la víctima, sino también de otras cuentas que estén asociadas a su dirección de correo electrónico a través de la popular función de restablecimiento de contraseñas por correo electrónico.

Por eso, en Tuta Mail recomendamos encarecidamente utilizar la autenticación de dos factores, mejor con U2F, ya que es el método más seguro.

Activa la privacidad con un solo clic.

Get

Conclusión

Por ahora, sigue sin estar claro si este podría ser el peor hackeo de PayPal de la historia. Pero tanto si el hackeo de PayPal es real como si no, deberías restablecer tu contraseña de PayPal con un código fuerte de un mínimo de 16 caracteres. Es una forma sencilla y fácil de proteger tus cuentas online de posibles amenazas y filtraciones de datos. Y para una seguridad de inicio de sesión aún mayor, le recomendamos que utilice U2F como autenticación de dos factores para proteger su inicio de sesión de PayPal. De esta forma, no tendrá que preocuparse por ningún posible pirateo de PayPal que esté apareciendo en las noticias. Si cree que su cuenta PayPal o cualquier otra cuenta en Internet se ha visto comprometida, puede comprobar si han sido pirateadas o no con estos consejos.

Medidas adicionales para garantizar la seguridad de sus cuentas en Internet:

• Utilice un gestor de contraseñas para almacenar y crear fácilmente contraseñas seguras.

• Utilice alias de correo electrónico para proteger su identidad y no revele su dirección de correo electrónico principal.

• Tenga cuidado al hacer clic en enlaces, especialmente en correos electrónicos que puedan ser de phishing.

• Cuando se trate de comunicarse en línea por correo electrónico o mensajes instantáneos, asegúrese de que sus comunicaciones están protegidas con cifrado de extremo a extremo.

Preguntas frecuentes

¿Fue hackeado PayPal en 2025?

PayPal nunca ha informado de que haya sufrido un hackeo, y no hay pruebas que demuestren que la infraestructura interna de PayPal haya sido hackeada. En 2025, los piratas informáticos afirman haber recuperado con éxito las credenciales de inicio de sesión de ~16 millones de usuarios de PayPal de todo el mundo. PayPal ha negado que los datos filtrados procedan de un pirateo reciente. Los expertos en seguridad creen que es probable que estas credenciales de inicio de sesión se obtuvieran directamente de los usuarios de PayPal a través de un malware infostealer.

¿Han pirateado PayPal en 2024?

Aunque las cuentas individuales de los usuarios de PayPal pueden haber sido pirateadas a través de diferentes tipos de métodos de pirateo como ataques de phishing o el uso de contraseñas débiles, como empresa, PayPal no fue pirateada en 2024, según declaraciones oficiales.

¿Ha sufrido PayPal alguna violación de datos?

PayPal nunca ha sufrido una violación de datos directa dirigida a los propios sistemas internos de la compañía, pero sí ha tenido incidentes de seguridad. Esto significa que la información adquirida nunca ha sido extraída directamente de la empresa, sino a través de otras formas.

En 2022, PayPal sufrió una violación de datos en la que atacantes malintencionados accedieron a unas 35.000 cuentas de usuario mediante ataques de relleno de credenciales. Este hackeo fue posible gracias a una vulnerabilidad de seguridad de PayPal. En consecuencia, el de 2022 es el peor hackeo de PayPal de la historia. A partir de 2025, el gigante tecnológico de Silicon Valley ha sido condenado a pagar una multa civil de 2 millones de dólares debido a los fallos de ciberseguridad que hicieron posible este hackeo. Esta brecha expuso 35.000 datos personales de usuarios, incluidos nombres, direcciones, identificación fiscal y números de la seguridad social.