En vivo
InternacionalChile lanza Plan Retorno para la repatriación voluntariaEmpresaseDreams sube un 37% tras sorpresa positiva y cierre de cortosEmpresasLa deuda corporativa resiste pese a la crisis en mercados soberanosEmpresasEl Ibex vigila a Inditex en un contexto de subida del petróleo y tensión en Oriente PróximoEmpresasPathfinder: el software israelí que eleva la lucha contra el fraude fiscalEmpresasEl mercado enfrenta un billón de euros en nuevas acciones en Bolsa en 2026EmpresasOpenbank supera a Sabadell y se afirma como líder digital en depósitosEmpresasInditex, BCE y OpenAI marcan la agenda económica y empresarial actualEmpresasInditex acelera ventas y gana 1.375 millones en el primer trimestreEmpresasMeliá, Iberostar y Barceló reducen sus operaciones en Cuba ante crisis y sancionesInternacionalChile lanza Plan Retorno para la repatriación voluntariaEmpresaseDreams sube un 37% tras sorpresa positiva y cierre de cortosEmpresasLa deuda corporativa resiste pese a la crisis en mercados soberanosEmpresasEl Ibex vigila a Inditex en un contexto de subida del petróleo y tensión en Oriente PróximoEmpresasPathfinder: el software israelí que eleva la lucha contra el fraude fiscalEmpresasEl mercado enfrenta un billón de euros en nuevas acciones en Bolsa en 2026EmpresasOpenbank supera a Sabadell y se afirma como líder digital en depósitosEmpresasInditex, BCE y OpenAI marcan la agenda económica y empresarial actualEmpresasInditex acelera ventas y gana 1.375 millones en el primer trimestreEmpresasMeliá, Iberostar y Barceló reducen sus operaciones en Cuba ante crisis y sanciones
Buscar

Basic-Fit sufre un hackeo que expone datos de un millón de clientes

El ciberataque del 8 de abril afectó al sistema de registro de visitas en seis países europeos, incluida España.

Por Carlos García·lunes, 13 de abril de 2026Actualizado hace 4 d·5 min lectura·24 vistas
Ilustración: Basic-Fit sufre un hackeo que expone datos de un millón de c · El Diario Joven

La cadena neerlandesa de gimnasios Basic-Fit confirmó oficialmente que sufrió un ciberataque el pasado miércoles 8 de abril que comprometió los datos personales y bancarios de aproximadamente un millón de clientes repartidos por seis países europeos. La compañía lo reconoció a través de un comunicado publicado en su portal de inversores, en el que describió el alcance del incidente y las medidas adoptadas tras detectarlo.

El ataque afectó concretamente al sistema interno que gestiona el registro de visitas a los clubes de Basic-Fit. Según la empresa, el acceso no autorizado fue identificado apenas unos minutos después de producirse, lo que permitió bloquearlo con rapidez. Sin embargo, ese margen fue suficiente para que los responsables del ataque lograran extraer un volumen significativo de información sensible.

De los cerca de un millón de afectados que cita la agencia Reuters, alrededor de 200.000 corresponden únicamente a los Países Bajos. El resto se distribuyen entre los demás países donde Basic-Fit opera de forma directa: Bélgica, Alemania, Luxemburgo, Francia y España. La cadena tiene presencia en otros territorios, pero allí trabaja bajo un modelo de franquicias que utilizan plataformas tecnológicas independientes, por lo que esos mercados no se habrían visto afectados por este incidente.

Qué información quedó expuesta

Basic-Fit precisó en su comunicado los tipos de datos que el atacante pudo llegar a extraer. La lista incluye el nombre completo del cliente, su fecha de nacimiento, el domicilio, la dirección de correo electrónico, el número de teléfono y los datos bancarios asociados a la suscripción mensual. Se trata de un conjunto de información especialmente sensible porque combina datos de identidad con información financiera directamente vinculada a cobros periódicos.

Lo que la compañía descartó de forma explícita es que se haya accedido a las contraseñas de las cuentas de usuario. Tampoco almacena en sus sistemas copias de documentos de identidad, por lo que esa categoría de datos no estaría en riesgo. Asimismo, Basic-Fit afirmó que hasta el momento no ha encontrado evidencias de que la información sustraída esté siendo comercializada en foros de la dark web ni de que haya sido utilizada con fines fraudulentos. No obstante, la propia naturaleza de este tipo de incidentes hace que esa confirmación tenga un alcance limitado en el tiempo: los datos robados pueden permanecer inactivos durante semanas o meses antes de ser explotados.

Qué deben hacer los afectados

La prioridad inmediata para cualquier cliente de Basic-Fit que haya estado activo en alguno de los seis países afectados es mantenerse alerta ante posibles intentos de fraude. Con nombre, teléfono, correo y datos bancarios en manos de terceros, el riesgo más directo es el de la suplantación de identidad: llamadas, mensajes o correos electrónicos que se hagan pasar por la propia cadena de gimnasios u otras entidades para obtener información adicional o autorizar cargos.

La Asociación Española de Consumidores emitió un comunicado instando a los socios españoles de Basic-Fit a revisar con atención sus extractos bancarios y a notificar de inmediato cualquier movimiento no autorizado tanto a la empresa como a su entidad financiera. La asociación también exigió a Basic-Fit que refuerce sus sistemas de seguridad para evitar que un incidente de estas características se repita, y recordó que los afectados tienen derecho a reclamar la devolución de cualquier cargo indebido que pudiera producirse como consecuencia de la filtración.

Más allá de vigilar la cuenta bancaria, los expertos en ciberseguridad recomiendan en estos casos cambiar la contraseña del perfil de usuario en la plataforma afectada, aunque Basic-Fit haya indicado que las credenciales no fueron comprometidas. La lógica es preventiva: si se usa la misma contraseña en varios servicios, un hackeo en uno de ellos puede facilitar el acceso a otros. También conviene activar la autenticación en dos pasos en los servicios que lo permitan y extremar la precaución ante cualquier comunicación inesperada que solicite datos personales o bancarios.

El contexto regulatorio en Europa

Este incidente se produce en un momento en que la normativa europea de protección de datos obliga a las empresas a notificar las brechas de seguridad a las autoridades competentes en un plazo máximo de 72 horas desde que tienen conocimiento de ellas. El Reglamento General de Protección de Datos (RGPD) de la Unión Europea establece además que, cuando la violación entrañe un alto riesgo para los derechos y libertades de las personas afectadas, la empresa debe comunicárselo directamente a los usuarios sin dilación indebida.

Basic-Fit tiene su sede en los Países Bajos, por lo que la Autoriteit Persoonsgegevens, la agencia neerlandesa de protección de datos, sería la autoridad de control principal en este caso. En España, la Agencia Española de Protección de Datos (AEPD) puede actuar de forma coordinada con la autoridad holandesa en lo que respecta a los clientes nacionales. Los usuarios españoles que consideren que sus derechos han sido vulnerados tienen la opción de presentar una reclamación ante la AEPD si no reciben una respuesta satisfactoria por parte de la empresa.

El ataque a Basic-Fit se suma a una larga lista de incidentes de seguridad que han afectado a grandes cadenas de servicios con millones de usuarios registrados en toda Europa. La combinación de datos de identidad y bancarios en una misma base de datos representa un objetivo de alto valor para los ciberdelincuentes, y la velocidad con la que se ejecutó y detectó este ataque pone de manifiesto tanto la sofisticación de los métodos empleados como la necesidad de que las empresas inviertan de forma continua en la protección de sus infraestructuras digitales.

Compartir:XFacebookWhatsAppEmail
Etiquetasciberseguridadbasic-fitrgpdhackeofraudeproteccion de datos

Redactado por inteligencia artificial · Revisado por la redacción

También te puede interesar