Dos empresas con sede en los Países Bajos y millones de clientes en Europa han confirmado en cuestión de horas que han sufrido accesos no autorizados a sus sistemas.

Por un lado, Basic-Fit, la cadena de gimnasios más grande del continente. Por el otro, Booking.com, la plataforma de reservas que casi todo el mundo ha usado alguna vez. Las dos noticias han llegado el mismo fin de semana, y aunque no hay pruebas de que estén relacionadas, la coincidencia ha llamado la atención.

Lo que ha pasado en Basic-Fit

Basic-Fit ha confirmado que alguien ha accedido sin permiso a uno de sus sistemas internos y ha descargado datos de aproximadamente un millón de socios repartidos en seis países: Países Bajos, Bélgica, Luxemburgo, Francia, España y Alemania.

Los datos que han podido quedar expuestos incluyen nombres completos, direcciones postales y de correo electrónico, números de teléfono, fechas de nacimiento y datos bancarios. La empresa ha aclarado que las contraseñas no se han visto afectadas y que no almacena copias de documentos de identidad.

Según la propia compañía, sus sistemas de monitorización han detectado el acceso y lo han detenido en cuestión de minutos. Aun así, en ese tiempo se ha conseguido descargar información del sistema. Una investigación con especialistas externos está analizando cómo ha ocurrido exactamente.

Basic-Fit ha notificado a las autoridades de protección de datos de los países afectados y ha contactado directamente con los usuarios implicados. Por el momento la empresa dice no tener constancia de que los datos hayan aparecido publicados ni a la venta en ningún foro.

Lo que ha pasado en Booking.com

Booking.com ha empezado a enviar correos electrónicos a clientes para avisarles de que terceros no autorizados han podido acceder a información vinculada a sus reservas. La plataforma ha reconocido el incidente, pero de momento no ha confirmado cuántos usuarios están afectados ni cómo ha ocurrido el acceso.

Los datos potencialmente expuestos son nombres, correos electrónicos, números de teléfono, direcciones postales y detalles de las reservas, incluidas las conversaciones mantenidas con los alojamientos a través de la plataforma. Booking.com ha precisado que la información financiera no ha sido afectada.

Como medida preventiva, la empresa ha restablecido los códigos PIN de todas las reservas afectadas. Un grupo conocido como Vect ha reclamado la autoría del ataque, aunque esa afirmación todavía no ha sido verificada de forma independiente.

No es la primera vez que Booking.com se enfrenta a algo así. En 2021, la Autoridad de Protección de Datos de los Países Bajos le impuso una multa de 475.000 euros por una brecha anterior con un patrón muy similar.

El riesgo detrás de los robos

En los dos casos las empresas han insistido en que los datos de pago están a salvo. Pero eso no significa que no haya riesgo.

Con nombres, teléfonos, correos y detalles de reservas reales en su poder, los atacantes pueden construir mensajes de phishing muy convincentes. En el caso de Booking.com ese riesgo es especialmente alto: un correo que menciona el nombre de tu hotel, tus fechas exactas de estancia y tu nombre completo tiene muchas más posibilidades de parecer legítimo que uno genérico. De hecho, varios usuarios ya han reportado mensajes de este tipo por correo, SMS y WhatsApp en los últimos días.

Si has recibido un correo de alguna de estas empresas informándote de la brecha, no hagas clic en ningún enlace que incluya. Entra directamente a la web oficial para verificar el estado de tu cuenta.

Como te afecta como usuario

Si eres socio de Basic-Fit en España, Francia, Bélgica, Alemania, Países Bajos o Luxemburgo, es probable que tus datos estén entre los afectados. La empresa ha enviado notificaciones directas a los usuarios implicados.

Si has reservado alojamiento a través de Booking.com recientemente, revisa tu bandeja de entrada y también la carpeta de spam. Y si recibes cualquier comunicación sospechosa que mencione los detalles de tu reserva, no actúes sin verificar antes que la fuente es legítima.