Escrito por: Jerónimo Corregido
La cadena de gimnasios Basic-Fit sufrió un ataque de hackers que expuso los datos personales de más de un millón de clientes en España, Alemania, Francia y Países Bajos. La información podría ser utilizada para campañas de phishing, con las que se intenta extraer datos financieros de las víctimas.
El gimnasio Basic-Fit vio sus sistemas de seguridad intervenidos por hackers.
Qué pasó en Basic-Fit: hackeo y robo de información
Los clientes de Basic-Fit fueron notificados de que sus datos personales quedaron expuestos durante un ataque a los sistemas de seguridad. El hecho se produjo el día 8 de abril, cuando la empresa registró un acceso irregular al portal de monitoreo de socios.
Las afectados no solo son clientes de España, sino de Alemania, Francia y Países Bajos. Se estima que hay más de un millón de cuentas vulneradas. Los datos robados implican nombres completos, dirección de email, fechas de nacimiento y dirección postal. Incluso se habrían filtrado los números de cuenta bancaria o del método de pago utilizado para pagar el servicio.
Además, se extrajeron los detalles sobre la membresía en Basic-Fit, de modo que los hackers pueden saber a qué gimnasio asiste cada persona. Otros datos que se podrían deducir son los horarios habituales de entrenamiento, el tipo de suscripción, número de socio, estado de los pagos y modelo de móvil con el que se valida el ingreso al establecimiento.
Sin embargo, desde la empresa aseguraron que no se filtraron las contraseñas del servicio. En la sección de “Atención al cliente” se ha puesto un cartel con información sobre el tema. Allí mismo se pueden encontrar las respuestas a las preguntas más comunes de usuarios que puedan haber sido damnificados.
¿Qué pasa a continuación con los datos personales?
Desde Basic-Fit también indican que los datos de sus clientes no han sido publicados en ningún lado. La firma está trabajando junto con “especialistas externos”, según consta en su página, para determinar si en algún momento la información confidencial se hace pública.
En el mismo sentido, señalaron que los socios no deben hacer nada. Simplemente mantenerse en guardia en caso de recibir mensajes sospechosos. Ocurre que las grandes bases de datos suelen ser el blanco de delincuentes que luego las usan para campañas de phishing.
Este ciberataque consiste en suplantar la identidad de una persona o empresa, por ejemplo Basic-Fit, para confundir a las víctimas y extraer datos sensibles. Teniendo en cuenta que en este caso se filtraron datos bancarios, los estafadores podrían estar a un paso de tener acceso a las cuentas.
Desde el gimnasio Basic-Fit no se pondrán nunca en contacto con sus clientes para solicitar contraseñas, claves o números de usuario. Si se recibe este tipo de peticiones, seguramente sea porque alguien está haciéndose pasar por la empresa.
Lo normal es que las bases de datos se pongan a la venta en la deep web, donde la vigilancia es más laxa. La información suele ser adquirida por grandes conglomerados dedicados a la estafa, sobre todo al phishing. Una industria que, en ciertos países del sudeste asiático, tiene un gran peso en el PIB, aunque sea completamente ilegal.
Cada vez más filtraciones de datos
El hackeo de Basic-Fit resuena con otros casos similares que se han visto en España recientemente. Está claro que las grandes bases de información son uno de los blancos preferentes de los delitos digitales y no hay una manera 100% efectiva de mantenerse invulnerable.
En las mismas fechas que el golpe a la cadena de gimnasios, también tuvo lugar la brecha de seguridad en Booking, la empresa de viajes y hostelería. Su base de clientes es muy superior a la de Basic-Fit, por lo que el alcance sería masivo, aunque la firma asegura que no se filtraron datos de cuenta bancaria ni contraseñas.
Anteriormente, se había dado el robo de datos de clientes de Endesa, la compañía energética española. Está claro que hay un patrón seguido por los estafadores y también salta a la vista que los sistemas de protección no están dando abasto, incluso cuando se trata de empresas multinacionales que, supuestamente, invierten grandes fortunas en ciberseguridad.
