La cadena de gimnasios low cost Basic‑Fit, una de las mayores de Europa, ha confirmado que sufrió un acceso no autorizado a uno de sus sistemas internos el pasado 8 de abril, un incidente que derivó en la descarga de determinados datos de socios en varios países. España figura entre los territorios con clientes afectados, lo que incluye a Galicia, donde la compañía cuenta actualmente con tres gimnasios operativos.
Según ha informado la propia empresa en un comunicado oficial fechado el 13 de abril, el acceso indebido fue detectado por sus sistemas de vigilancia y bloqueado en cuestión de minutos, aunque durante ese breve periodo se descargó parte de la información almacenada. Basic‑Fit asegura que el incidente ya ha sido comunicado a la autoridad de protección de datos de los Países Bajos y que se encuentra bajo investigación con el apoyo de especialistas externos en ciberseguridad.
En lo relativo a los datos afectados, la compañía ha explicado que se trata de información interna de gestión y administración de las membresías. Entre los datos descargados figuran aspectos como el tipo de suscripción del socio, el estado de los pagos, el número de pase y un identificador interno, además de información relacionada con los horarios y clubes visitados recientemente, concretamente durante la última semana previa al incidente. También se ha visto comprometida información básica del dispositivo móvil utilizado para acceder al servicio, como el modelo del teléfono o el nombre asignado por el propio usuario.
Además, en algunos países los datos descargados incluyen información personal como nombre, dirección, correo electrónico, número de teléfono y fecha de nacimiento, y en determinados casos también datos bancarios. No obstante, la empresa subraya que no almacena documentos de identidad y que no se han visto comprometidas contraseñas, extremo que recalca en todas sus comunicaciones con los socios.
Aunque Basic‑Fit no ha facilitado cifras desglosadas por comunidades autónomas o países, sí reconoce que la descarga de datos afecta a socios activos en varios territorios, más allá de los Países Bajos, donde estima que se han visto afectados alrededor de 200.000 clientes. Informaciones difundidas por agencias internacionales sitúan el impacto global del incidente en torno a un millón de personas, dentro de una base total que supera los 4,5 millones de clientes en Europa.
En el caso de España, donde se calcula que alrededor de 400.000 personas utilizan los servicios de la cadena, algunos usuarios han comenzado a recibir en las últimas horas correos electrónicos informativos por parte de la compañía. En estos mensajes, Basic‑Fit comunica que no es necesario adoptar ninguna medida inmediata, aunque sí recomienda mantenerse alerta ante posibles intentos de ‘phishing’ o suplantación de identidad y revisar con atención cualquier comunicación sospechosa.
La empresa precisa que, si un socio no ha recibido ese correo electrónico, sus datos no están involucrados en el incidente y permanecen seguros. En paralelo, ha habilitado una sección específica de preguntas frecuentes y anima a los usuarios a contactar con el servicio de atención al cliente a través de la aplicación oficial o del correo electrónico corporativo en caso de persistir dudas.
En Galicia, Basic‑Fit mantiene operativos tres gimnasios, uno en Narón, situado en la carretera de Castelao en la zona de A Gándara —primer centro de la marca en la comunidad— y dos en A Coruña, ubicados en la avenida de Salvador de Madariaga y en la rúa Alcalde Marchesi. Los tres establecimientos continúan funcionando con normalidad y no se han registrado incidencias en el servicio derivadas del incidente de seguridad.
Por último, la compañía ha insistido en que, según la información disponible hasta el momento, los datos descargados no han sido publicados ni puestos a la venta y que no existen evidencias de uso fraudulento. Basic‑Fit asegura que mantiene una monitorización constante del incidente y que informará a los socios si se producen novedades relevantes a medida que avance la investigación.
