La cadena de gimnasios de bajo coste Basic-Fit ha sufrido un ciberataque que ha comprometido datos personales y bancarios de aproximadamente un millón de clientes en los más de doce países europeos en los que opera. El incidente, que tuvo lugar el pasado miércoles 8 de abril, no trascendió públicamente hasta este pasado lunes, cuando la propia empresa comenzó a alertar a sus usuarios mediante comunicaciones directas.
En Sevilla o Jerez, donde Basic-Fit cuenta con varios centros repartidos por distintos enclaves de los núcleos urbanos, la noticia ha corrido rápidamente entre socios que ahora miran con inquietud sus cuentas bancarias.
La magnitud del problema es considerable. Solo en España, Francia y Alemania, la compañía suma más de 4,5 millones de usuarios, lo que da una idea de la escala potencial de la filtración.
Basic-Fit ha reconocido que el ataque consistió en un acceso no autorizado al sistema que registra las visitas de los socios a los clubs, y que, aunque fue "bloqueado en cuestión de minutos tras su detección", la investigación posterior —realizada junto a expertos externos en ciberseguridad— confirmó que parte de la información almacenada "llegó a descargarse" antes de cortar la intrusión.
Qué datos han quedado expuestos
La información potencialmente comprometida incluye datos habituales vinculados a las membresías: nombre y apellidos, dirección postal, correo electrónico, número de teléfono, fecha de nacimiento y datos bancarios asociados al pago de la cuota mensual. La empresa ha subrayado que no almacena documentos de identidad ni contraseñas, por lo que esos datos no se habrían visto afectados. Un matiz importante, aunque insuficiente para calmar a quienes tienen domiciliada su cuota y ven en ello una vía de entrada para posibles fraudes.
La Asociación Española de Consumidores ha reaccionado pidiendo a los clientes de Basic-Fit que estén atentos a sus cuentas bancarias ante posibles cargos o movimientos indebidos, y recomienda que, en caso de detectar cualquier irregularidad, se reclame "inmediatamente" a la empresa. La asociación también ha exigido a Basic-Fit que "blinde al máximo la seguridad de dichos datos" y ha pedido "mayores esfuerzos para evitar que esto vuelva a suceder en el futuro".
Un ataque que se suma a una cadena de ciberincidentes en España
El incidente fue notificado a la autoridad de protección de datos de Países Bajos, país donde Basic-Fit tiene su sede, tal y como exige la normativa europea, que obliga a las compañías a comunicar este tipo de brechas con rapidez. La cadena afirma que no existen indicios, por el momento, de que los datos hayan sido difundidos o utilizados de forma fraudulenta, y asegura que continuará monitorizando la situación junto a especialistas externos.
Lo ocurrido con Basic-Fit no es, lamentablemente, un caso aislado. Los ciberataques encadenan víctimas de peso en los últimos meses en España: en enero, Endesa sufrió un hackeo que comprometió datos de sus clientes de electricidad y gas, y en febrero fue el propio Ministerio de Ciencia el que cayó en el punto de mira de los atacantes.