La Policía investiga un ciberataque que deja al descubierto los datos de miles de usuarios de gimnasios en España

Una conocida cadena de gimnasios de España ha denunciado haber sido víctima de un ciberataque. Una "brecha de seguridad" ha afectado a algunos de los datos personales tanto de usuarios como de los antiguos clientes. Los responsables han comunicado que el caso ha sido ya puesto en manos de la Policía Nacional que se encargará de practicar las diligencias oportunas para esclarecer los hechos mientras que, de forma paralela, han reforzado la seguridad, según un mensaje al que ha tenido acceso Vozpópuli.

La empresa, que está considerada como el imperio de los gimnasios 'low cost', ha sido la encargada de informar a sus clientes del ciberataque. Esta cadena, que tiene su sede en Málaga, cuenta con casi un centenar de centros en toda España y miles de clientes.

Un cliente del gimnasio destapó el ciberataque

En declaraciones a Vozpópuli, la dirección de la cadena ha confirmado que fue el 23 de abril cuando fueron informados de esta posible filtración. "Uno de nuestros clientes, así como un experto independiente en seguridad digital, nos informaron sobre este incidente", destacan

La administración de estos gimnasios envió el pasado viernes un correo a sus usuarios en el que advertía que habían "detectado una brecha de seguridad que ha afectado a algunos de los datos personales que nos ha facilitado". Sospechan que podrían haber sufrido un "acceso irregular, que ha comprometido la confidencialidad de dichos datos"

"Como consecuencia, los datos afectados serían los siguientes: nombre, apellidos, dirección, número de teléfono, correo electrónico, fecha de nacimiento, nacionalidad y número nacional de identidad, lo cuales podrían estar publicados en Internet", señalan desde la cadena de gimnasios.

Asimismo, advierten que con la información obtenida en el ciberataque los usuarios podrían sufrir algún "inconveniente limitado" como posibles "intentos de phishing o intentos de suplantación de identidad". "Para su tranquilidad, a la fecha de esta comunicación no tenemos constancia de que se haya materializado ningún uso fraudulento de estos datos", resaltan.

La denuncia de la cadena de gimnasios

Ante esta situación, los gestores han solicitado a su proveedor que "adopte todas las medidas técnicas y organizativas necesarias para reforzar la seguridad y poner remedio a la brecha". El objetivo es mitigar sus efectos y evitar que se repita en el futuro. Van a controlar principalmente los temas relacionados con la actualización del software y el control de accesos.

Desde la empresa de gimnasios se detalla que este ciberataque se ha notificado a la Agencia Española de Protección de Datos, tal y como exige la normativa aplicable. Además, se ha presentado la correspondiente denuncia en la Policía Nacional. "Adicionalmente, ya se está llevando a cabo una auditoría de ciberseguridad y nos comprometemos a implementar todas las recomendaciones fruto de dicha auditoría", defienden.

A pesar de todo ello, desde la administración se pide a los usuarios que tomen medidas para proteger su seguridad. Entre ellas, se cita prestar atención a las comunicaciones sospechosas de direcciones de correo electrónico no confiables o que utilicen un lenguaje con errores gramaticales. También se aconseja no responder a solicitudes de información de fuentes desconocidas por correo electrónico o por teléfono.

En este contexto, se enfatiza en no hacer clic en enlaces en correos electrónicos, mensajes de WhatsApp, SMS, MMS o descargar archivos si no confía en la fuente. Y, en último sentido, al menos una vez al año, cambiar las credenciales de acceso, como la contraseña.

Los ciberataques

Desde la cadena de gimnasios se especifica que nunca se ponen en contacto con los clientes para solicitar los datos personales. Asimismo, destacan su "firme compromiso con la seguridad de la información y la protección de nuestros socios, empleados, colaboradores y proveedores". La dirección de la empresa asegura que están trabajando con la Policía Nacional para "apoyar cualquier investigación criminal que pueda ser necesaria".

Dicen que están "profundamente decepcionados". "Desgraciadamente, los ciberataques han sido más habituales recientemente", remarcan.

Por este motivo, están "continuamente implementando medidas para mejorar la ciberseguridad". Cada vez son más frecuentes este tipo de ataques en la red, cuyas incidencias se han disparado desde la pandemia del coronavirus.

El último ciberataque conocido no tuvo ni mucho menos como objetivo a los gimnasios. Fue a la empresa que gestiona los reconocimientos médicos a los guardias civiles y policías nacionales. En un correo que envió a sus pacientes, al que tuvo acceso Vozpópuli, la compañía detalló que no se había producido una fuga de información pero anunció que reforzarán las medidas de seguridad para que no se vuelva a repetir una situación similar. También anunció que se estaba analizando la base de datos para comprobar que los atacantes no habían conseguido su objetivo.