HOY ARAGÓN Tecnología e innovación
El Diario de Huesca Sport Aragón
Buscar
Secciones
Síguenos

Datos bancarios al descubierto: hackean una cadena de gimnasios con centros en Aragón

Un ciberataque el pasado 8 de abril comprometió IBANs, teléfonos y rutinas de entrenamiento de un millón de socios en seis países
El método con IA para descubrir qué vendedores de piso aceptarían un 15% de descuento
Te llevan años mandando un SMS para entrar al correo y eso se acaba: este es el motivo
Pidieron actualizar por seguridad y ahora el móvil no llega ni al mediodía
basic-fit-zaragoza
basic-fit-zaragoza
Dani Moreno
Dani Moreno
16/04/26 | 6:36 | Tiempo de lectura: 4 min.

Miles de aragoneses que tienen membresía en una popular cadena de gimnasios de bajo coste llevan días con una noticia incómoda en el buzón: sus datos bancarios, su teléfono, su dirección y el registro de cuándo fueron a entrenar por última vez están en manos de desconocidos. El pasado 8 de abril, un ataque informático comprometió la información de aproximadamente un millón de socios en seis países europeos, España entre ellos.

La empresa detectó la intrusión en cuestión de minutos. No fue suficiente. Los atacantes iban rápido —probablemente con herramientas automatizadas— y se llevaron lo que necesitaban antes de que los sistemas de contención hicieran su trabajo.

La cadena afectada es Basic-Fit, la mayor red de gimnasios de bajo coste de Europa. Con más de 2.150 centros en 12 países y casi seis millones de socios, opera varios establecimientos en Zaragoza cuyos clientes forman parte de ese millón de registros robados. Los gimnasios en franquicia se salvaron: al funcionar con sistemas independientes, sus datos quedaron fuera del alcance del ataque.

Entrada de un gimnasio Basic-Fit
Entrada de un gimnasio Basic-Fit

Qué se llevaron exactamente

Nombres, apellidos, fecha de nacimiento, dirección, correo electrónico, teléfono. Hasta ahí, un robo de datos más o menos habitual. Lo que lo complica es el IBAN: el número de cuenta bancaria con el que los socios tienen domiciliada la mensualidad.

A eso hay que añadir el número de socio, el tipo de suscripción contratada, el historial de accesos recientes al gimnasio y datos del dispositivo móvil. Dicho de otra forma: saben tu nombre, tu banco, tu dirección y a qué hora fuiste a entrenar ayer.

La empresa ha confirmado que las contraseñas de usuario y los documentos de identidad no estaban en la base de datos comprometida. No es un gran consuelo, pero es algo.

El problema de tener un IBAN ajeno

Un IBAN solo no permite vaciar una cuenta. Combinado con todo lo demás, sí permite montar estafas muy convincentes. La OCU y CONSUMUR llevan días alertando: en los próximos meses pueden llegar correos, SMS o llamadas de alguien que dice ser Basic-Fit o tu banco, que sabe exactamente qué tarifa tienes, cuándo vas al gimnasio y cuál es tu número de cuenta. Eso genera una confianza falsa difícil de resistir.

El objetivo suele ser el mismo: que des más datos, que hagas clic en un enlace, que instales algo, que transfieras dinero.

Qué conviene hacer ahora

El Instituto Nacional de Ciberseguridad (INCIBE) ha publicado recomendaciones para los afectados. Nada complicado, pero hay que hacerlo.

Vigilar los movimientos bancarios durante las próximas semanas. Si aparece un cargo raro o una domiciliación que no reconoces, rechazarlo e informar al banco ese mismo día. Desconfiar de cualquier comunicación urgente, llegue como llegue —los bancos no piden contraseñas ni códigos OTP por teléfono; el que los pide no es tu banco. Cambiar también la contraseña de la app de Basic-Fit y, si esa misma clave se reutiliza en otros servicios —algo muy habitual y siempre mala idea—, renovarla ahí también.

Si detectas que alguien usa tus datos sin permiso, puedes denunciar ante la Agencia Española de Protección de Datos (AEPD) y ante las Fuerzas y Cuerpos de Seguridad del Estado.

Lo que deja al descubierto el ataque

Basic-Fit cumplió con el Reglamento General de Protección de Datos: notificó a las autoridades en menos de 72 horas y avisó directamente a los clientes afectados. Es lo que toca hacer, y lo hizo.

Lo que el incidente pone en evidencia es otra cosa. Cuando millones de registros sensibles conviven en un mismo sistema centralizado, una brecha rápida puede ser devastadora aunque la detectes enseguida. Spain registró un 26% más de ciberataques al sector servicios el último año. Y los datos de Basic-Fit pueden cruzarse con los de filtraciones anteriores —Decathlon, Odido— para construir perfiles todavía más completos de las víctimas.

Quien reciba un aviso de la cadena en los próximos días que se lo tome en serio. El riesgo no es inmediato, pero tampoco es abstracto.

Etiquetas:
GIMNASIO ciberseguridad hackeo

Puedes seguir a HOY ARAGÓN en Whatsapp, Instagram, TikTok y LinkedIn

 Recibe la mejor información en tu bandeja de entrada.
Más en Innovación
Comentarios