La cadena de gimnasios Basic-Fit y la plataforma de reservas Booking.com han confirmado sendos incidentes de seguridad que han comprometido información personal de millones de clientes en varios países europeos, entre ellos España. La coincidencia en el tiempo de ambas brechas ha disparado las alarmas entre expertos en ciberseguridad, que advierten de que las semanas posteriores a este tipo de filtraciones son especialmente proclives a campañas de fraude y suplantación de identidad.
En el caso de Basic-Fit, el incidente tuvo su origen en un acceso no autorizado a uno de sus sistemas, en concreto al que registra las visitas de los socios a los clubes. La intrusión fue detectada por los propios mecanismos de control de la empresa y, según explica Basic-Fit, se logró bloquear en cuestión de minutos. Sin embargo, ese breve intervalo resultó suficiente para que los atacantes extrajesen información sensible de una parte considerable de su base de clientes. La empresa ha comunicado que el incidente ocurrió el día 8 de abril de 2026.
El alcance de la brecha es notable. Seis de los doce países donde opera la compañía se han visto afectados por la intrusión: España, Francia, Bélgica, Luxemburgo, Alemania y Países Bajos. En este último, el número de afectados alcanza aproximadamente los 200.000 clientes. En España, Basic-Fit cuenta con más de 150 centros repartidos por el territorio y alrededor de 400.000 usuarios, si bien la empresa no ha precisado cuántos de ellos se han visto afectados por este incidente.
Entre los datos comprometidos figura información de especial sensibilidad. Entre la información potencialmente afectada se encuentran direcciones de correo electrónico, nombres y apellidos, direcciones postales, ciudad de residencia, números de teléfono, fechas de nacimiento y datos bancarios, incluyendo número de cuenta y titular. La compañía ha subrayado, no obstante, que las contraseñas de los usuarios no han sido expuestas y que no almacena documentos de identidad de sus clientes. La compañía ha informado de que el incidente ha sido notificado a la autoridad de protección de datos de los Países Bajos y que, hasta el momento, no hay constancia de que la información robada haya sido publicada o distribuida en internet.
Durante la misma jornada, Booking ha notificado a sus usuarios del robo de información personal en relación a sus reservas tras sufrir un ciberataque por parte de terceros no autorizados, según ha confirmado la propia plataforma. En concreto, los datos expuestos pueden incluir detalles de la reserva y nombres, correos electrónicos, direcciones, números de teléfono asociados a la reserva y cualquier dato compartido con el alojamiento. En este caso, y a diferencia de lo ocurrido con Basic-Fit, la plataforma ha asegurado que no se accedió a información financiera desde sus sistemas. La empresa aseguró que la situación está ya bajo control y que los clientes que podrían haberse visto afectados han sido informados. Como medida inmediata, Booking ha actualizado el número PIN de las reservas comprometidas.
La coincidencia de estos dos ataques en una misma jornada ha puesto de manifiesto la vulnerabilidad de las grandes plataformas digitales con presencia en múltiples países. Sancho Lerena, CEO de la tecnológica española Pandora FMS y experto en gestión IT, señala que un error muy común de las empresas es concentrar todos los datos en un solo sistema, y que el hecho de que una sola brecha afecte a varios países simultáneamente evidencia una falta de segmentación en la infraestructura.
El principal riesgo para los afectados en este momento es el del fraude posterior. El Instituto Nacional de Ciberseguridad (INCIBE) recuerda que muchos ataques posteriores a filtraciones se basan en técnicas de ingeniería social como el phishing, que buscan engañar al usuario para que revele información confidencial o realice acciones perjudiciales. Tanto Basic-Fit como Booking han emitido advertencias en el mismo sentido. Booking ha recordado que nunca solicitará a los clientes que compartan datos de tarjetas de crédito por correo electrónico, teléfono, WhatsApp o mensaje de texto, ni que realicen transferencias bancarias que difieran de la política de pago indicada en la confirmación de la reserva.
Los expertos recomiendan a los usuarios afectados por ambos incidentes que cambien sus contraseñas, activen la verificación en dos pasos donde sea posible, revisen con atención los movimientos de sus cuentas bancarias y no hagan clic en ningún enlace ni descarguen archivos adjuntos procedentes de comunicaciones no verificadas. Ante cualquier duda, la recomendación unánime es contactar únicamente a través de los canales oficiales de cada plataforma.
