Basic-Fit es una conocida cadena de gimnasios, con sede en Países Bajos y con instalaciones en varios países europeos. En España tiene más de 150 centros, y si has oído hablar de ellos recientemente, es porque se ha sabido de una filtración de datos de clientes de Basic-Fit que afecta a un millón de socios de países como Alemania, Bélgica, España, Francia, Luxemburgo y Países Bajos. Y aunque la mayoría de afectados, unos 200.000, se encuentran en este último país, el hackeo de Basic-Fit puede afectar a cualquiera que sea cliente.
Los ciberataques para robar datos personales están a la orden del día. En la dark web abundan los anuncios de filtraciones de agencias, organismos públicos y empresas proveedoras de servicios. Si echamos la vista atrás, en los últimos meses hemos sabido de robos de datos de Endesa, Movistar, Repsol, Hacienda o la Dirección General de Tráfico. Esta vez le ha tocado a una popular red de gimnasios, Basic-Fit.
Los datos de los contribuyentes, usuarios o clientes valen dinero. Los ciberdelincuentes los utilizan para extorsionar a las empresas y organismos en busca de un pago a cambio de no filtrarlos. Aunque también ganan dinero vendiendo esos datos a terceros para que los utilicen en timos y engaños por internet de tipo phishing. Es decir, suplantando la identidad de otra empresa o autoridad pública para sonsacarte tus datos bancarios, contratar servicios a tu nombre y, en definitiva, lucrarse económicamente. La buena noticia es que, en estos casos, no está todo perdido. Y con algo de sentido común, estarás a salvo del phishing.
La filtración de datos de Basic-Fit
El lunes 13 de abril, Basic-Fit informó “a una parte de nuestros socios sobre una descarga no autorizada de datos de Basic-Fit”. Una filtración de datos que afecta a casi un millón de clientes en varios países europeos. En concreto, esta cadena de gimnasios se extiende por doce países, incluyendo España.
Según explican varios medios, el hackeo de Basic-Fit se ha producido en el sistema informático que registra las visitas de los usuarios a sus instalaciones. Este acceso no autorizado ha permitido que los ciberdelincuentes se hayan apoderado de información personal de los clientes. Según Basic-Fit, se trata de datos tan sensibles como nombres y apellidos, direcciones físicas de los domicilios de los clientes, direcciones de correo electrónico, números de teléfono, fechas de nacimiento, números del DNI o datos bancarios asociados a la suscripción a los gimnasios. En esa filtración incluso hay información sobre cuotas impagadas.
En este tipo de situaciones, no se puede saber a ciencia cierta qué clientes se han visto afectados por la brecha de seguridad. De ahí que Basic-Fit haya contactado con algunos de sus clientes. No con todos. La empresa ha facilitado una serie de preguntas y respuestas para quienes no hayan sido contactados todavía y quieran saber hasta dónde llega la filtración. Y en la primera pregunta dicen que si “no has recibido un correo electrónico nuestro sobre este tema, entonces tus datos no están afectados por la descarga no autorizada”. Pero toda precaución es poca.
Qué hacer después del hackeo de Basic-Fit
Cuando hay una brecha de seguridad en una empresa que tiene nuestros datos, es fácil sentirse impotente. Cuando compartes información personal, presupones que será custodiada para no caer en malas manos. Según Basic-Fit, “el acceso no autorizado se detuvo a los pocos minutos de ser detectado” e informaron “del incidente a las autoridades competentes”. Pero esos pocos minutos han bastado para que todos sus clientes deban ser más cautos de lo habitual en los próximos días, semanas y meses.
Por parte de Basic-Fit, la recomendación es “revisar tu correo electrónico para ver si has sido incluido” en la lista de socios afectados por el hackeo de Basic-Fit. Sin embargo, si eres cliente de esta cadena de gimnasios, deberías, sí o sí, tomar ciertas precauciones. Aunque “los datos afectados no se encuentran disponibles en ningún sitio”, tarde o temprano pueden acabar en manos de otros.
Los datos robados pueden usarse para elaborar campañas de phishing. Es decir, que próximamente podrías recibir llamadas telefónicas, mensajes SMS, mensajes de WhatsApp o correos electrónicos haciéndose pasar por Basic-Fit. O por tu banco. O por cualquier otra empresa con millones de clientes. El phishing es un método para robar datos fácil y barato, de manera que pueden mandar millones de mensajes. La mayoría no reciben respuesta. Pero siempre hay quien puede picar en el anzuelo.
Basic-Fit afirma que las contraseñas de usuario no se han visto afectadas. Así que, en principio, no tienes por qué cambiarla. Eso sí. Cuidado con los mensajes que recibas. Asegúrate de que son fiables. Ten en cuenta que nunca te pedirán más datos por correo o mensaje. “Cierra el mensaje o cuelga el teléfono inmediatamente. Ponte en contacto directamente con la organización utilizando su página web oficial o el número de teléfono para verificar si el mensaje es auténtico”.