Según los atacantes, la información habría sido obtenida en mayo de 2025, y el conjunto de datos incluiría también URLs asociadas, lo que facilitaría ataques de credential stuffing (uso masivo de credenciales en múltiples servicios) y esquemas de robo de identidad.
 

Los ciberdelincuentes aseguran que, aunque muchas de las contraseñas filtradas parecen únicas y robustas, una parte significativa estaba reutilizada en otras plataformas, lo que reduciría el valor real del volcado. Sin embargo, expertos en seguridad que analizaron una muestra liberada al público señalaron que no existen pruebas suficientes para verificar la autenticidad del ataque.
 

El hecho de que la supuesta base de datos se ofrezca a un precio inusualmente bajo también genera sospechas. En el mercado negro, los conjuntos de datos genuinos y de alta calidad suelen alcanzar cifras mucho más elevadas.

La posición de PayPal
 

Frente a las acusaciones, PayPal negó cualquier nueva brecha de seguridad y vinculó los rumores con un incidente anterior de 2022. En aquel momento, la compañía enfrentó ataques de credential stuffing que afectaron a 35.000 cuentas y derivaron en sanciones regulatorias a principios de este año. La diferencia en magnitud —decenas de miles frente a millones de cuentas— refuerza el escepticismo respecto a la veracidad del supuesto robo.
 

Analistas de ciberseguridad apuntan a que el dataset presentado se asemeja más a registros de malware tipo infostealer que a una brecha interna de PayPal. Estos programas maliciosos capturan contraseñas, cookies y otros datos directamente desde dispositivos infectados de usuarios, organizándolos en registros que incluyen URLs y credenciales.
 

Este tipo de información circula habitualmente en foros clandestinos y mercados de la dark web, pero no implica un acceso directo a los sistemas de PayPal.
 

Más allá de la veracidad de las afirmaciones, el caso refleja la facilidad con la que las credenciales robadas pueden seguir circulando durante meses o incluso años, habilitando fraudes financieros mucho después del incidente original.
 

Los usuarios que reutilizan sus credenciales de PayPal en otros servicios permanecen en riesgo, dado que un solo compromiso puede abrir la puerta a ataques en múltiples plataformas.