AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

**Exposición de datos personales en PayPal: un error de software compromete información sensible durante seis meses**

admin

### 1. Introducción

PayPal, una de las principales plataformas de pagos electrónicos a nivel mundial, ha confirmado un incidente de seguridad que ha expuesto información personal altamente sensible de sus clientes durante un periodo de casi seis meses. Este incidente, provocado por una vulnerabilidad de software en el proceso de solicitud de préstamos, afecta a datos como números de la Seguridad Social y otros detalles identificativos críticos, generando preocupación entre profesionales de la ciberseguridad y responsables de protección de datos.

### 2. Contexto del Incidente

La brecha se originó a raíz de un error de software detectado en la plataforma de solicitud de préstamos de PayPal. Según la notificación enviada por la compañía a los usuarios afectados, el fallo permitió que información personal almacenada en solicitudes de préstamos estuviera disponible para otros clientes autenticados, potencialmente expuesta durante un periodo comprendido entre diciembre de 2022 y junio de 2023. El incidente fue descubierto y corregido posteriormente, pero la exposición persistió sin ser detectada durante casi seis meses.

En cumplimiento de las obligaciones establecidas por el Reglamento General de Protección de Datos (GDPR) y la normativa NIS2, PayPal ha notificado a las autoridades regulatorias y a los clientes afectados, tal y como exige la ley ante incidentes de esta naturaleza.

### 3. Detalles Técnicos

Aunque PayPal no ha revelado el identificador de vulnerabilidad (CVE) específico, la naturaleza del incidente sugiere un error en el control de acceso a recursos internos (Broken Access Control, MITRE ATT&CK T1078 y T1557). El fallo permitió a usuarios autenticados visualizar información perteneciente a otras personas, probablemente a través de endpoints de API mal configurados o validaciones insuficientes en el backend.

Según fuentes técnicas, el vector de ataque no fue explotado mediante herramientas automatizadas comunes como Metasploit o Cobalt Strike, sino que se trató de una fuga de información inadvertida, derivada de una mala implementación en el flujo de solicitudes web. Los Indicadores de Compromiso (IoC) están relacionados con logs de acceso indebido a registros de préstamo, aunque PayPal no ha hecho públicos los hashes, direcciones IP o patrones de tráfico anómalos asociados.

Las versiones de software afectadas corresponden al sistema de gestión de préstamos desplegado entre diciembre de 2022 y junio de 2023. No consta que otras funcionalidades o productos de PayPal estén implicados en el incidente.

### 4. Impacto y Riesgos

La información expuesta incluye nombres completos, direcciones físicas, números de la Seguridad Social (SSN, equivalente a DNI en España), fechas de nacimiento y detalles relativos a la situación financiera personal. Este tipo de datos es altamente sensible y susceptible de ser utilizado en fraudes de identidad, ingeniería social y ataques de phishing específicos (spear phishing).

Aunque PayPal no ha revelado la cifra exacta de usuarios afectados, fuentes cercanas estiman que el alcance podría situarse entre varios miles y decenas de miles de personas. La exposición prolongada durante seis meses incrementa la probabilidad de explotación maliciosa, tanto por actores oportunistas como por grupos organizados.

La compañía ha asegurado que no hay pruebas de accesos indebidos masivos, pero no puede descartarse el acceso por parte de terceros no autorizados. Además, la propia naturaleza del fallo plantea dudas sobre la efectividad de las auditorías de seguridad y los controles de acceso internos.

### 5. Medidas de Mitigación y Recomendaciones

PayPal ha procedido a corregir el error de software y ha reforzado los controles de acceso en la aplicación de préstamos. Además, ha ofrecido servicios gratuitos de monitorización de crédito a los usuarios afectados, como medida de mitigación de posibles fraudes derivados.

Para profesionales del sector, se recomienda:

– Revisar y auditar exhaustivamente los controles de acceso en aplicaciones web y APIs, especialmente en procesos sensibles como solicitudes de crédito.
– Implementar pruebas de seguridad continuas (DevSecOps) e integrarlas en los ciclos de desarrollo.
– Monitorizar logs de acceso y establecer alertas de comportamiento anómalo en sistemas críticos.
– Formar a equipos de desarrollo en seguridad y buenas prácticas de validación de permisos.
– Revisar las políticas de retención y cifrado de datos sensibles.

### 6. Opinión de Expertos

Expertos en ciberseguridad han señalado que este tipo de incidentes refleja la importancia de la seguridad en el ciclo de vida de desarrollo de software (SDLC) y la necesidad de aplicar principios de “least privilege” y “zero trust” en la gestión de datos sensibles. Según consultores de seguridad, la detección tardía indica posibles deficiencias en los sistemas de monitorización y respuesta a incidentes de PayPal.

Por su parte, analistas SOC y responsables de cumplimiento normativo advierten que la exposición de datos bajo el paraguas de GDPR puede derivar en sanciones económicas significativas, además de un daño reputacional difícilmente reparable.

### 7. Implicaciones para Empresas y Usuarios

Desde la perspectiva empresarial, el incidente subraya la necesidad de revisar los procesos de desarrollo y despliegue de aplicaciones críticas, así como de reforzar la supervisión de terceros y partners tecnológicos. El mercado financiero y fintech se encuentra especialmente expuesto a este tipo de riesgos, dada la naturaleza de los datos tratados y el valor que representan para los ciberdelincuentes.

Para los usuarios, la principal consecuencia es el incremento del riesgo de fraude de identidad y ataques dirigidos; se aconseja extremar la precaución ante comunicaciones sospechosas y monitorizar la actividad en cuentas bancarias y servicios asociados.

### 8. Conclusiones

La brecha de datos en PayPal, derivada de un error de software en la gestión de solicitudes de préstamos, pone de manifiesto la criticidad de los controles de acceso y la necesidad de integrar la seguridad como eje central en el desarrollo de aplicaciones financieras. El incidente, aún en fase de evaluación, puede tener implicaciones regulatorias y económicas sustanciales, así como un impacto duradero en la confianza de clientes y partners.

La lección principal para el sector es clara: la seguridad no puede considerarse un añadido, sino una condición sine qua non para la protección de datos y la continuidad de negocio en entornos digitales.

(Fuente: www.bleepingcomputer.com)