La Organización de Consumidores y Usuarios (OCU) ha emitido una advertencia urgente sobre dos incidentes de seguridad que han comprometido información personal de millones de usuarios. Las empresas afectadas son Basic-Fit, la conocida cadena de gimnasios de bajo coste, y Booking, la popular plataforma de reservas hoteleras. Ambos casos plantean riesgos significativos para los consumidores, especialmente en lo que respecta a posibles fraudes derivados de estos accesos no autorizados.
Los expertos en ciberseguridad advierten que las filtraciones de datos personales suelen ser el primer paso de una cadena de estafas más elaboradas. Los delincuentes digitales utilizan la información robada para diseñar campañas de phishing cada vez más sofisticadas, aprovechando datos reales para generar confianza en sus víctimas. La coincidencia temporal de ambos incidentes ha elevado el nivel de alerta entre las autoridades de protección de datos.
Acceso no autorizado en Basic-Fit
La cadena europea de gimnasios Basic-Fit ha confirmado un acceso ilícito a su base de datos de clientes que ha afectado a usuarios en más de una docena de países. La compañía, que cuenta con más de 150 centros distribuidos por todo el territorio español, ha reconocido que el incidente ha comprometido información personal de millones de socios en mercados clave como España, Francia, Alemania y los Países Bajos.
Según las cifras oficiales, en España, Francia y Alemania el número de afectados supera los 4,5 millones de personas, mientras que en los Países Bajos se han contabilizado más de 200.000 clientes cuyos datos pudieron ser accedidos. La empresa ha explicado que su sistema interno de monitorización detectó la intrusión, lo que permitió interrumpir el acceso antes de que el daño fuera mayor.
Basic-Fit ha aclarado públicamente que no almacena documentos de identidad de sus socios en sus sistemas y que las contraseñas de acceso a las cuentas no se han visto comprometidas en este incidente. Sin embargo, otros datos personales sí podrían haber quedado expuestos, lo que abre la puerta a posibles intentos de suplantación de identidad o fraudes telefónicos.
Brecha de seguridad en Booking
Por su parte, la plataforma de reservas Booking ha confirmado un incidente de seguridad que permitió a terceros no autorizados acceder a información personal vinculada a determinadas reservas de clientes. Entre los datos potencialmente comprometidos figuran nombres completos, direcciones de correo electrónico, direcciones postales, números de teléfono y detalles completos de las reservas realizadas.
La compañía ha asegurado que no se ha accedido a información financiera desde sus sistemas, lo que excluiría datos de tarjetas de crédito o cuentas bancarias. No obstante, la información personal expuesta resulta suficiente para que los ciberdelincuentes diseñen campañas de phishing altamente convincentes, dado que pueden referenciar reservas reales y datos auténticos del usuario.
Este tipo de ataques suele producirse semanas o incluso meses después de la filtración original, cuando las víctimas han bajado la guardia y no relacionan directamente los mensajes fraudulentos con el incidente de seguridad inicial. Los estafadores aprovechan este lapso temporal para perfeccionar sus técnicas y aumentar la credibilidad de sus comunicaciones.
'Modus operandi' de los ciberdelincuentes
Tras una filtración de datos, los delincuentes digitales despliegan estrategias específicas para monetizar la información robada. En el caso de Basic-Fit, los usuarios podrían recibir llamadas telefónicas o correos electrónicos en los que supuestos representantes de la empresa solicitan actualización de datos bancarios o verificación de información personal.
En cuanto a Booking, el patrón más habitual consiste en enviar comunicaciones que alertan sobre problemas con el pago de una reserva existente. Estos mensajes suelen incluir datos reales de la reserva, como fechas, nombre del alojamiento y precio, lo que genera una falsa sensación de legitimidad. Los estafadores solicitan entonces que el usuario acceda a un enlace para verificar o confirmar el pago, redirigiendo a páginas web fraudulentas que imitan fielmente el diseño oficial de Booking.
Los expertos señalan que estos ataques secundarios representan el verdadero peligro, ya que combinan información auténtica con técnicas de ingeniería social diseñadas para generar urgencia y eludir las defensas naturales del usuario. La personalización de los mensajes, basada en datos reales, multiplica significativamente la tasa de éxito de estas estafas.
Señales de alerta para identificar fraudes
La OCU ha publicado una lista de indicadores que permiten detectar intentos de fraude relacionados con estas filtraciones. Entre las señales más evidentes figuran mensajes que solicitan datos bancarios o información personal que las empresas legítimas nunca pedirían por correo electrónico o teléfono.
Los usuarios deben desconfiar especialmente de comunicaciones que crean sensación de urgencia, como avisos de "verificación inmediata" o "problemas con tu cuota que requieren acción urgente". Otro indicador clave son los enlaces que no dirigen al dominio oficial de la empresa, sino a direcciones web con ligeras variaciones o caracteres adicionales.
Es fundamental verificar siempre el remitente del correo electrónico, prestando atención al dominio completo y no solo al nombre visible. Los delincuentes utilizan técnicas de spoofing que permiten mostrar nombres de empresas legítimas, pero el dominio real del correo suele revelar su naturaleza fraudulenta.
Recomendaciones de actuación para afectados
Si un usuario sospecha que ha sido víctima de un intento de fraude o ha facilitado información sensible, debe actuar inmediatamente contactando con su entidad bancaria para bloquear tarjetas o pagos no autorizados. El cambio inmediato de contraseñas en todos los servicios donde se utilicen credenciales similares resulta igualmente crucial.
La OCU recomienda conservar todas las pruebas disponibles, incluyendo capturas de pantalla de mensajes sospechosos, correos electrónicos y registros de llamadas. Esta documentación resultará fundamental si es necesario presentar una denuncia o reclamar ante las autoridades competentes.
Para prevenir futuros ataques, los expertos insisten en verificar siempre que las páginas web donde se introducen datos sensibles comiencen con "https://" y presenten certificados de seguridad válidos. Ante cualquier duda sobre la autenticidad de una comunicación, lo más seguro es acceder directamente al sitio web oficial de la empresa escribiendo la dirección en el navegador, sin utilizar enlaces recibidos por correo o mensaje.