La filtración de datos de Hello Gym expone 1,6 millones de archivos de audio de sus miembros.
Una base de datos no segura administrada por Hello Gym ha expuesto más de 1,6 millones de grabaciones de audio de miembros del gimnasio. Descubra por qué esta filtración de datos expone a los clientes a ataques de phishing selectivo, deepfakes y robo de identidad.
Un incidente de exposición de datos afectó a Hello Gym , una empresa con sede en Minnesota que ofrece servicios tecnológicos a la industria del fitness. Jeremiah Fowler, investigador de ciberseguridad de Website Planet, descubrió una base de datos sin contraseña, lo que expuso una cantidad considerable de archivos de audio.
Los hallazgos de Fowler, compartidos con Hackread.com, revelan que la base de datos contenía más de 1,6 millones de archivos de audio (en concreto, 1.605.345 archivos), que incluían grabaciones telefónicas y mensajes de voz recopilados entre 2020 y 2025. Estos archivos contenían información personal que podría utilizarse con diversos fines maliciosos. Los datos quedaron expuestos por estar almacenados en un área de almacenamiento sin protección, lo que significa que cualquier persona con los conocimientos necesarios podía acceder a ellos sin necesidad de contraseña.
Una investigación más exhaustiva reveló que los registros pertenecían a numerosos gimnasios en Estados Unidos y Canadá. Si bien las llamadas hacían referencia a conocidas marcas de fitness, Fowler identificó que un contratista externo, Hello Gym, administraba la base de datos. Confirmó esto hablando con representantes corporativos, quienes aclararon que, si bien las empresas no graban audio, algunos franquiciados independientes utilizaban un servicio externo para este fin.
Lo preocupante es que la información contenida en los archivos de audio incluye nombres de clientes, números de teléfono y los motivos de sus llamadas al gimnasio. Este tipo de datos se conoce como Información de Identificación Personal (PII), y su divulgación podría exponer a los socios y al personal del gimnasio a riesgos significativos.
Cabe destacar que la base de datos fue protegida pocas horas después de la divulgación del investigador. Sin embargo, se desconoce cuánto tiempo estuvo expuesta ni si alguien más tuvo acceso a ella.
En un mundo donde la tecnología avanza constantemente, las grabaciones de audio, especialmente las que contienen la voz de una persona, son muy valiosas para los ciberdelincuentes, ya que pueden utilizarse para ataques de phishing selectivo o ingeniería social, suplantación de identidad o robo de identidad. Como señaló Fowler en su blog , las grabaciones de audio y los mensajes de voz «no deberían haber sido de acceso público, ya que a menudo incluían datos personales».
Por ejemplo, un estafador podría usar los datos específicos de un mensaje de voz para generar confianza y engañar a alguien para que revele información más privada. Podría hacerse pasar fácilmente por personal del gimnasio y convencerlo de compartir información confidencial de pago u otros datos privados.
Además, los datos de voz pueden utilizarse para crear deepfakes , que se refieren a grabaciones convincentes pero falsas, y utilizarlas para suplantar la identidad de personas en estafas o delitos financieros. Si bien la protección inmediata de la base de datos es un paso positivo, la exposición de datos tan sensibles pone de relieve la necesidad crucial de que todas las empresas estén alertas para proteger la información de sus clientes.
HackRead
