Ciberataque a Basic-Fit: piden a sus clientes revisar sus cuentas bancarias ante posibles cobros

La cadena de gimnasios low cost Basic-Fit ha sufrido un ciberataque que  afecta a alrededor de un millón de clientes en los más de 12 países en los que opera. Ha sido la propia cadena la que ha alertado a sus usuarios de este acceso no autorizado a su base de datos de clientes que tan sólo en España, Francia y Alemania supone más de 4,5 millones de usuarios.

Los datos expuestos incluyen información importante, como nombres, fechas de nacimiento, datos de contacto e incluso información bancaria.

El suceso tuvo lugar el pasado miércoles, 8 de abril, pero se ha conocido este lunes. En concreto, se produjo un acceso no autorizado «al sistema que registra las visitas de los socios a los clubs Basic-Fit». Según ha informado la cadena, fue «bloqueado en cuestión de minutos tras su detección. Sin embargo, se descargaron algunos datos de socios, incluidos tus datos personales».

La Asociación Española de Consumidores recomienda los clientes de Basic-Fit que estén atentos a sus cuentas bancarias por si se produjeran cargos o movimientos de su dinero de manera indebida. En el caso de que esto se produjera, se debe comunicar y reclamar inmediatamente dicha circunstancia a la empresa.

Asimismo, esta asociación ha pedido a Basic-Fit que «blinde al máximo la seguridad de dichos datos con el fin de bloquear este acceso, cuestión que según la empresa parece que ya se ha producido». Además, reclama «mayores esfuerzos para evitar que esto vuelva a suceder en el futuro».

Los ciberataques están a la orden del día. El pasado mes de enero, Endesa también sufrió un hackeo que afectó a los datos de sus clientes de electricidad y gas en España. Y en febrero, el Ministerio de Ciencia. 

La banca, el sector más afectado 

Los ciberataques subieron un 26% el año pasado en España, donde el Instituto Nacional de Ciberseguridad (Incibe) registró 122.223 incidentes de seguridad en la red, y detectó y notificó 237.028 sistemas vulnerables relevantes, susceptibles de ser explotados por ciberdelincuentes, según el balance anual de este organismo.

El sector más afectado fue la banca, con el 34% de los incidentes, el doble que el que le sigue, el transporte, con el 14%, en tanto que las infraestructuras de mercados sufrieron el 7%, y las aseguradoras y fondos de pensiones, el 6%.

Los ciberataques y fallos tecnológicos son unos de los principales riesgos que vigilan los supervisores y reguladores bancarios para preservar la estabilidad financiera.

Desde enero de 2025, en la Unión Europea está en vigor el reglamento de Resiliencia Operativa Digital (DORA) y en enero de 2027, con la implementación de Basilea III, se reforzarán los requisitos de gestión de riesgos operativos y de ciberseguridad.

Los bancos de toda Europa ya se han sometido a pruebas de estrés para evaluar cómo los ciberataques u otras interrupciones tecnológicas pueden afectarles, evaluando qué requisitos de capital serían necesarios para hacer frente a la inestabilidad financiera generada por riesgos cibernéticos.

En el verano de 2025 se añadieron nuevas normas técnicas que complementan los requisitos de DORA y exigen pruebas de penetración basadas en amenazas para ciertas entidades financieras.

Además, el Banco Central Europeo (BCE) ha puesto en marcha el marco TIBER-EU para probar la resiliencia del sector financiero frente a ciberataques a través de ataques controlados, simulando un ciberataque a funciones críticas y a los sistemas que las soportan.

La vulnerabilidad de los bancos a ciberataques obedece a diferentes factores, como a sistemas que deben actualizarse para prevenir, detectar y recuperarse de amenazas, o a la dependencia de proveedores externos.

Según Fortinet, empresa estadounidense de desarrollo de software y dispositivos de ciberseguridad, el 96% de los bancos europeos se habían visto afectados por una brecha de seguridad en un socio externo y el 97% sufrió incidentes relacionados con un proveedor externo.

DORA, el reglamente europeo, establece que los bancos deben contar con planes para rescindir sus relaciones con proveedores de servicios, si estos cometen incumplimientos normativos o del servicio.

La IA amplifica las amenazas

La inteligencia artificial (IA) está introduciendo nuevas vulnerabilidades, al amplificar las amenazas cibernéticas y permitir más y mayor variedad de ciberataques.

El último informe de ciberseguridad de la banca europea de Fortinet señala que con la IA se automatizan y amplían las operaciones delictivas, haciéndolas más difíciles de detectar y existe el riesgo de que datos manipulados afecten a los modelos de IA utilizados.

Un estudio de SAS, compañía de soluciones de datos e IA, señala que un 47 % de los bancos infrautiliza la IA porque no confían suficientemente en ella, y solo el 11 % tienen sistemas fiables.