Basic-Fit, una de las mayores cadenas de gimnasios de Europa con cientos de clubes en Países Bajos, Bélgica, Francia y España, ha confirmado públicamente una brecha de datos que afecta a aproximadamente un millón de sus socios. La compañía reconoció el incidente semanas después de que circulasen indicios de que información robada estaba siendo comercializada en foros clandestinos de ciberdelincuencia.

La brecha expone datos personales de los socios afectados, aunque la empresa no ha especificado con claridad qué categorías de información fueron comprometidas. Tampoco ha confirmado públicamente si los datos financieros, como información de tarjetas de pago vinculadas a las suscripciones mensuales, estuvieron entre la información expuesta. Esta falta de concreción ha generado preocupación entre los usuarios que tienen pagos automáticos activos con la cadena.

La compañía indicó que notificó a las autoridades de protección de datos de los países afectados conforme al Reglamento General de Protección de Datos de la Unión Europea. Sin embargo, varios grupos de defensa del consumidor europeos han criticado la opacidad de Basic-Fit, señalando que la empresa proporcionó pocos detalles sobre la naturaleza exacta de los datos comprometidos, el período durante el cual los atacantes tuvieron acceso y las medidas que los socios afectados deben tomar para protegerse.

Expertos en ciberseguridad señalan que los gimnasios se han convertido en objetivos atractivos para los delincuentes digitales debido a la combinación de datos personales de identificación, información de salud opcional y datos de pago recurring. La información robada puede utilizarse para ataques de suplantación de identidad, estafas de ingeniería social o para validar credenciales en otras plataformas donde los usuarios hayan reutilizado contraseñas.

Las autoridades neerlandesas de protección de datos han abierto una investigación formal. Se recomienda a los socios de Basic-Fit que monitoreen sus estados de cuenta bancarios, cambien contraseñas reuse en otras plataformas y consideren activar alertas de fraude en sus entidades bancarias.

Lee la historia completa en BleepingComputer.