¿Cuándo fue la última vez que revisaste los correos de confirmación de tu cuenta en Booking o de tu gimnasio? Si eres socio de Basic-Fit o usas Booking para reservar alojamientos, esta semana tienes un motivo muy concreto para hacerlo. Ambas compañías han confirmado haber sufrido accesos no autorizados a sus sistemas que han afectado a millones de usuarios en toda Europa, incluyendo España.
No es una alerta de terceros ni una amenaza teórica: son los propios comunicados oficiales de Basic-Fit y Booking los que reconocen la brecha. Los datos robados incluyen nombres, correos, teléfonos, direcciones y, en el caso de Basic-Fit, también números de cuenta bancaria y fechas de nacimiento. El riesgo no ha pasado: empieza ahora.
Qué ha pasado exactamente con Booking y el robo de datos
El ciberataque a Booking fue detectado y comunicado este lunes 13 de abril. La plataforma confirmó que terceros no autorizados accedieron a «cierta información de reservas de algunos clientes», que incluye nombres completos, correos electrónicos, números de teléfono, direcciones físicas y detalles de las reservas. La compañía asegura que no se comprometió información financiera desde sus sistemas y que, como medida inmediata, ha actualizado los números PIN asociados a las reservas afectadas.
En paralelo, Basic-Fit comunicó que el 8 de abril se detectó un acceso no autorizado a su sistema de registro de visitas a los clubes. La intrusión fue bloqueada en minutos, pero no antes de que se descargaran datos de aproximadamente un millón de socios en seis países europeos, entre ellos España, Francia, Alemania, Bélgica, Luxemburgo y Países Bajos. En este caso, el alcance es mayor: incluye IBAN bancario, fecha de nacimiento y el dispositivo usado para acceder al gimnasio.
Por qué Booking y Basic-Fit avisan del peligro del phishing ahora
Ambas empresas han lanzado el mismo aviso en sus comunicaciones: alerta máxima ante el phishing. Que Booking advierta específicamente sobre esta amenaza no es casual: los ciberdelincuentes usan los datos robados para construir correos y mensajes falsos extremadamente convincentes, porque ya conocen tu nombre, tu email y los detalles de tu reserva. Un mensaje que parece llegar de Booking pidiéndote que «confirmes un pago» puede ser perfectamente indistinguible del original si no sabes qué buscar.
Basic-Fit ha sido igual de explícita: en su comunicado oficial pide a los socios que revisen su correo electrónico para saber si están entre los afectados y que extremen la precaución ante cualquier mensaje sospechoso. Ninguna de las dos compañías solicitará por correo, SMS o WhatsApp datos bancarios ni contraseñas. Si recibes ese tipo de petición, es una trampa.
Cómo saber si tus datos de Booking han sido robados
Booking ha enviado correos directamente a los usuarios afectados. Si no has recibido ningún aviso, es posible que no estés entre los afectados, pero eso no significa que puedas bajar la guardia. Lo más prudente es acceder directamente a tu cuenta a través de la web oficial (nunca desde un enlace recibido por email) y revisar si hay actividad inusual o reservas que no reconoces. También puedes usar herramientas como Have I Been Pwned para comprobar si tu correo ha aparecido en filtraciones conocidas.
En el caso de Basic-Fit, la empresa ha notificado personalmente a los socios afectados. Si eres cliente y no has recibido nada, aún así conviene que cambies tu contraseña en la app y estés atento a movimientos extraños en la cuenta bancaria vinculada, especialmente si guardas un IBAN asociado a tu membresía. El acceso no autorizado se produjo en el sistema de visitas, lo que significa que los datos comprometidos son los más recientes de cada socio.
Qué hacer ahora mismo si usas Booking o Basic-Fit
La primera acción es verificar tus cuentas directamente en las plataformas oficiales. Si recibes un correo de Booking o Basic-Fit que te pide datos, verificaciones urgentes o pagos, no hagas clic en ningún enlace: escribe manualmente la URL en el navegador. Los ciberdelincuentes ya tienen suficiente información para crear mensajes que parecen legítimos, por lo que la precaución tiene que ser mayor que de costumbre.
Además, si usas la misma contraseña en Booking, Basic-Fit y otros servicios, cámbiala de inmediato en todos ellos. Activa la autenticación en dos pasos donde esté disponible. Y si detectas cualquier cargo extraño en la cuenta bancaria vinculada a Basic-Fit, contacta con tu banco sin demora para bloquear posibles movimientos fraudulentos.
| Acción recomendada | Basic-Fit | Booking |
|---|---|---|
| Cambiar contraseña de inmediato | ✅ Urgente | ✅ Recomendable |
| Revisar movimientos bancarios | ✅ Urgente (IBAN expuesto) | ⚠️ Preventivo |
| Activar autenticación en dos pasos | ✅ Sí | ✅ Sí |
| No clicar en enlaces de correos | ✅ Crítico | ✅ Crítico |
| Contactar con el banco si hay cargos | ✅ Sí | ⚠️ Si detectas anomalías |
Lo que viene después de un robo de datos: tendencia y consejo final
Los expertos en ciberseguridad advierten que los datos robados en este tipo de brechas no se usan de inmediato: los ciberdelincuentes los almacenan y los explotan semanas o meses después, cuando la víctima ya ha bajado la guardia. La ventana de riesgo real de estas filtraciones es de al menos seis meses, por lo que la vigilancia no puede ser solo esta semana. La tendencia en 2026 apunta a ataques cada vez más personalizados, construidos con datos reales de múltiples brechas combinadas.
El consejo más valioso es construir hábitos digitales permanentes: usar un gestor de contraseñas, activar alertas bancarias por SMS y revisar periódicamente si tus datos aparecen en filtraciones. Booking y Basic-Fit han actuado con relativa rapidez al comunicar la brecha, lo que da margen para actuar. No lo desperdicies.
