Este lunes, la ciberseguridad está en el centro de la actualidad tras conocerse que dos grandes compañías con millones de clientes en Europa, la plataforma de viajes Booking y la cadena de gimnasios Basic-Fit, han sufrido incidentes que han derivado en el acceso indebido a datos personales de usuarios.
En el caso de Basic-Fit, el incidente se produjo el pasado 8 de abril, cuando los ciberdelincuentes lograron acceder sin autorización a un sistema que registra las visitas de los socios a sus instalaciones. Según ha detallado la compañía, la intrusión fue detectada y bloqueada en cuestión de minutos, pero ese breve lapso de tiempo fue suficiente para que se descargara parte de la información.
Entre los datos comprometidos están algunos tan sensibles como nombre y apellidos, correo electrónico, dirección postal, teléfono, fecha de nacimiento e incluso información bancaria asociada a la cuenta del cliente. También se han visto afectados datos internos vinculados a la membresía, como el tipo de suscripción, historial reciente de accesos a gimnasios o detalles del dispositivo móvil utilizado.
Por su parte, Booking ha reconocido que sufrió una brecha de seguridad que ha afectado a información vinculada a empresas. En un mensaje enviado a los usuarios implicados y recogido por ElDiario.es, la compañía explica que los datos expuestos incluyen información personal facilitada directamente a los alojamientos, como nombres, direcciones, teléfonos o correos electrónicos.
Qué pueden hacer ahora los afectados
Desde la Asociación de Consumidores en Red (Consumur) recuerdan que “se ha de extremar más la precaución ante posibles mensajes sospechosos”, y ha pedido que se refuerce al máximo la protección de los datos personales. También la Asociación Española de Consumidores recomienda revisar movimientos bancarios en los próximos días para detectar cualquier operación no autorizada. Además, la plataforma de reservas también advierte de que los ciberdelincuentes podrían utilizar esos datos para hacerse pasar por hoteles o por la propia empresa.
Ante este tipo de incidentes, lo más importante es la rapidez con la que se reacciona. Aunque ninguna de las dos compañías ha pedido acciones inmediatas, hay una serie de recomendaciones básicas que conviene seguir. El Instituto Nacional de Ciberseguridad (INCIBE), por ejemplo, recuerda que muchos ataques posteriores a filtraciones se basan en técnicas de ingeniería social como el phishing, que buscan engañar al usuario para que revele información confidencial o realice acciones perjudiciales. Por ello, insisten en no facilitar contraseñas ni datos sensibles a través de enlaces o comunicaciones no verificadas.
De igual manera, el propio INCIBE ha alertado en anteriores ocasiones de campañas que suplantan a plataformas como Booking para robar credenciales, en las que los ciberdelincuentes utilizan correos aparentemente legítimos para engañar al usuario. Entre las recomendaciones en estos casos figura eliminar directamente esos mensajes y cambiar las contraseñas si se han introducido en páginas fraudulentas.
Desde el ámbito empresarial, Basic-Fit advierte de que nunca solicita información personal o financiera a través de correos, redes sociales o mensajes, una práctica habitual en intentos de fraude digital.