El pasado 8 de abril de 2026, los sistemas de la cadena europea de gimnasios low cost Basic Fit sufrieron una descarga no autorizada de datos. La brecha, aunque fue bloqueada "en cuestión de minutos" según la compañía, ha afectado potencialmente a más de 4,5 millones de clientes en España, Francia, Alemania y Países Bajos.
En España, con más de 150 centros operativos, el impacto es masivo. Y aunque la empresa insiste en que las contraseñas y las copias de los documentos de identidad están a salvo, el botín extraído contiene nombres, correos electrónicos, números de DNI, direcciones, teléfonos, números de cuenta bancaria (IBAN), fechas de nacimiento e, incluso, el historial detallado de las visitas al club durante la última semana.
"El servicio al cliente de Basic Fit es inexistente"
"El servicio al cliente de Basic Fit es, de hecho, inexistente", sentencia Sergio T.., uno de los afectados del ataque. "No tienen número de teléfono y su chatbot entra en referencia circular, te hace dar vueltas. Esto genera muchas personas frustradas", apunta.
Basic Fit reconoce a Consumidor Global que "la gestión de consultas se realiza a través de los canales digitales (correo electrónico y chatbot), por lo que no se dispone de atención telefónica".
La falta de un canal directo y humano en medio de una crisis de seguridad de esta magnitud ha sido el principal detonante de la indignación. Los clientes se han visto obligados a buscar respuestas en los medios de comunicación, en las redes sociales o en la página web de la cadena de gimnasios.
"Solo dicen que vigile la cuenta bancaria"
Francisco C., ante lo sucedido, ha preguntado tanto a la compañía como a la asociación de consumidores Facua sobre lo que debe realizar para estar seguro tras la sustracción de datos. "Solo me dicen que vigile la cuenta bancaria por si se produce un robo. Si Basic Fit invirtiese en seguridad y no en mochilas…", comenta.
Mario, otro cliente afectado cuya cuenta bancaria y datos sensibles han sido expuestos, no oculta su frustración. "Lo más grave no es solo el incidente, sino la forma en la que lo están gestionando. Su respuesta ha sido completamente insuficiente, genérica y sin aportar explicaciones claras. Además, se niegan a indemnizar, algo difícil de entender cuando han reconocido que nuestros datos han sido comprometidos", exclama.
La mayoría no recibe ni solo mensaje sobre el hackeo
Tras el hackeo sufrido, la mayoría de socios viven en un limbo informativo. Luis de Pablo no ha recibido ningún aviso, pero se mantiene escéptico. "Voy revisando la cuenta. Creo que deberían informar para dar tranquilidad. Supongo que lo habrán hecho así para no crear alarma, porque con una campaña masiva es más fácil que se aproveche para intentar colar phishing", opina.
Alba G. y Nuria G. tampoco han sido notificadas. "Lo leí en la prensa", relata Alba. "A mí no me enviaron nada. Por lo que vi, si no te enviaban nada es que tus datos no habían sido filtrados. Entiendo que estoy a salvo, pero ni siquiera me han mandado un mensaje para decirme: 'hemos tenido este hackeo, pero estate tranquila', señala. "¿Qué ocurre si no se ha recibido ningún correo?", pregunta Maika, otra usuaria confundida.
¿Qué ocurre si no se ha recibido ningún mensaje de Basic Fit?
Consumidor Global se ha puesto en contacto con Basic Fit, la cual ha declarado que "ha enviado comunicaciones por correo electrónico a todos los socios afectados por el incidente, no a la totalidad de los miembros".
Una de aquellas personas que ha recibido un mensaje por parte de Basic Fit es Veracruz A., quien ha compartido con este medio el correo electrónico en cuestión. "Este mensaje es para informarte sobre una descarga no autorizada de datos de Basic Fit. Entendemos que este aviso puede ser preocupante, y sentimos mucho cualquier inquietud que pueda causar", comienza el aviso estándar donde informa de todos los datos comprometidos. "Aunque no es necesario que tomes ninguna medida inmediata, te aconsejamos que tengas cuidado con posibles intentos de phishing", finaliza.
El verdadero peligro para los socios
El verdadero peligro de esta filtración no es un cargo inmediato en el banco, sino el asedio psicológico y digital que está por venir. Aunque Basic Fit no almacena documentos de identidad escaneados, la combinación de nombre, DNI, IBAN, teléfono y rutinas de visita al gimnasio representa un riesgo.
Los ciberdelincuentes saben esperar. Es habitual que los ataques secundarios —correos falsos de entidades bancarias, llamadas suplantando a la propia cadena de gimnasios exigiendo "regularizar una cuota"— se produzcan semanas después, cuando el usuario ya ha bajado la guardia. La empresa lo advierte en su propio mensaje, pidiendo a los usuarios que desconfíen de mensajes urgentes o enlaces sospechosos.
Qué dicen los abogados
Iván Rodríguez, abogado de Legálitas especializado en consumo, analiza el caso para Consumidor Global. "Los consumidores tienen derecho a ponerse en contacto con Basic Fit y solicitar con exactitud qué datos se han visto vulnerados", señala.
"Sin embargo, con un nombre y un DNI por sí solos es difícil usurpar una identidad hoy en día. Para suscribir un préstamo o abrir cuentas, las entidades bancarias requieren ahora verificaciones exhaustivas, incluyendo inteligencia artificial, vídeos faciales o comprobaciones manuales", argumenta el abogado.
El responsable si se produce un robo en el banco
"No es tanto pedir una indemnización como esperar una sanción de la Agencia Española de Protección de Datos (AEPD). Para que haya indemnización, debe haberse producido un perjuicio económico real y demostrable causado específicamente por esa filtración, y no por otra cosa", explica Rodríguez. "Si a Basic Fit le han hecho un hackeo y pueden demostrar que estaban al día con todos los protocolos de seguridad y protección de datos, hay poca indemnización que puedas pedir", subraya .
"Si hay un cargo indebido por culpa de una usurpación de identidad y tú no lo has autorizado, una vez denunciado, es la entidad bancaria la que tiene que apechugar y responder", aclara. Rodríguez, no obstante, critica duramente los canales de comunicación de la cadena. "Tienen la obligación de avisar a los usuarios. Una notificación en la página web no es suficiente; tendrían que avisar por correo o mediante alertas claras en la aplicación. La gestión por parte de Basic Fit en este sentido es muy deficiente", reconoce.