Datos de socios de gimnasio en riesgo: un actor malicioso expone información en la dark web
Un anuncio en un foro conocido de la dark web ha puesto en alerta a la cadena de gimnasios española Synergym. Un ciberdelincuente asegura tener en su poder más de 770.000 registros con datos sensibles de sus socios: nombres completos, DNI, direcciones, fechas de nacimiento, teléfonos y correos electrónicos.
Lo que agrava la situación es la inclusión de información bancaria, como IBAN, BIC y números de cuenta, además de detalles de recibos. Esta filtración aún no ha sido confirmada por fuentes independientes.
Desde la empresa, a través de su agencia de comunicación, se aclaró que no existe un ciberataque o brecha reciente. La información corresponde a un incidente ocurrido en 2024, que fue detectado, mitigado y notificado a la Agencia Española de Protección de Datos y a los usuarios afectados, cumpliendo con la normativa vigente.
Contexto del sector y otros casos similares
Synergym, fundada en 2013 y adquirida recientemente por VivaGym, contaba con más de 160 clubes y 300.000 socios al momento de la compra. No es el único caso: otra cadena, Basic-Fit, también sufrió una brecha de datos en abril, donde se comprometieron datos personales y financieros de sus clientes.
Lecciones para empresas y equipos de IT
Los gimnasios, como cualquier organización que maneja datos personales y financieros, son objetivos atractivos para actores maliciosos. La gestión oportuna de incidentes, la comunicación transparente y el cumplimiento normativo son claves para mitigar el impacto y mantener la confianza.
Recomendación: Revisar y fortalecer los controles de acceso y monitoreo de sistemas, además de mantener actualizados los protocolos de respuesta ante incidentes y comunicación con los usuarios y autoridades regulatorias.
