La cadena de gimnasios ha confirmado un acceso no autorizado a su base de datos que ha comprometido información personal y financiera de clientes en varios países europeos.
La ciberseguridad en grandes empresas vuelve a ser tema de atención tras el incidente que afectó a Basic-Fit, una de las principales cadenas de gimnasios en Europa. La empresa ha reportado una filtración de datos que impacta a cerca de un millón de usuarios, especialmente en mercados relevantes como el español. El acceso no autorizado fue identificado el 8 de abril de 2026 y ha puesto en riesgo información sensible de los socios, alertando sobre posibles intentos de fraude.
Alcance del incidente y países involucrados
Con más de 4,5 millones de clientes en países como España, Francia y Alemania, Basic-Fit ha informado que la brecha no ha afectado a su totalidad de usuarios, pero sí a una cifra significativa. Según los datos oficiales, aproximadamente un millón de personas han visto comprometidos sus datos.
En cuanto a la distribución por países, se confirmó que en los Países Bajos hay 200.000 afectados. En España, donde la cadena tiene cerca de 400.000 usuarios, la empresa ha comenzado a enviar notificaciones oficiales a los socios que resultaron afectados, comunicándoles la «descarga no autorizada» de su información personal.
Tipos de datos expuestos
Basic-Fit explicó que el acceso malicioso se registró en el sistema que gestiona el control de visitas en sus clubes. Los datos filtrados incluyen:
• Nombres y apellidos.
• Fechas de nacimiento.
• Información de contacto.
• Detalles bancarios.
A pesar de la gravedad del incidente, la compañía ha querido transmitir un mensaje de tranquilidad indicando que no almacena documentos de identidad oficiales y que las contraseñas de los usuarios siguen protegidas, minimizando así el riesgo para sus cuentas. Además, han señalado que hasta ahora no se ha detectado que esta información haya sido puesta a la venta en mercados ilegales ni haya sido usada de manera inapropiada.
Respuesta ante el incidente y posibles riesgos
El ataque fue detectado y bloqueado por las medidas de seguridad de la empresa en minutos tras su identificación. Sin embargo, ese breve periodo fue suficiente para que los ciberdelincuentes lograran extraer la información relativa a los usuarios.
Especialistas en seguridad digital advierten que el peligro principal es el posible uso fraudulento posterior de los datos, como campañas de phishing. Los atacantes podrían hacerse pasar por la cadena de gimnasios o por entidades financieras para obtener información adicional. Por ello, recomiendan a los usuarios estar alerta ante comunicaciones sospechosas en las próximas semanas.
Expertos analizan la centralización de datos como factor de riesgo
Este incidente, que afecta simultáneamente a varios países, ha generado críticas sobre la gestión de información en grandes empresas. Sancho Lerena, CEO de la firma tecnológica española Pandora FMS y especialista en IT, apunta que «un error habitual en las compañías es mantener todos los datos concentrados en un único sistema». Según Lerena, el hecho de que una sola brecha comprometa a varios países evidencia la falta de segmentación adecuada en la infraestructura.
El experto aclara que la vulnerabilidad no está necesariamente en los medios de acceso, como la aplicación móvil o los códigos QR, sino en la centralización de procesos críticos en pocos sistemas. Esta organización facilita que la información sustraída pueda ser utilizada para crear identidades falsas o gestionar suscripciones fraudulentas, representando un desafío importante para la seguridad y reputación de Basic-Fit y sus abonados.
