MUNDIAL DE FÚTBOL

Los ciberdelincuentes también van al Mundial (y tú pagas la entrada)

Copa Mundial de la FIFA
Redacción MurciaStartup
27 de mayo de 2026 (09:10 h.)
La compañía de ciberseguridad ESET ha identificado sitios fraudulentos que copian el diseño, los menús y los flujos de compra de la web oficial de la FIFA para sustraer datos personales y bancarios a aficionados que buscan entradas o merchandising del Mundial 2026, que arranca el 11 de junio.

ESET, compañía especializada en ciberseguridad, ha identificado una red de sitios web fraudulentos que replican con precisión la apariencia de la página oficial de la FIFA para engañar a aficionados que buscan entradas o productos del Mundial 2026. El torneo arranca el 11 de junio en Estados Unidos, Canadá y México, y los ciberdelincuentes llevan semanas utilizando el evento como señuelo para robar información sensible.

Los dominios detectados incorporan la palabra 'FIFA' junto a variaciones asociadas al Mundial 2026 y extensiones como .shop, .store o .site. La técnica empleada se conoce como 'typosquatting': consiste en registrar direcciones web visualmente muy similares a las legítimas, con pequeñas modificaciones o añadidos que resultan difíciles de detectar para el usuario medio.

Cómo funciona el engaño

Los sitios fraudulentos replican no solo el diseño gráfico de la web oficial —colores, tipografías, imágenes— sino también los menús de navegación y los flujos de registro y compra. El objetivo es generar confianza suficiente para que la víctima complete el proceso sin sospechar.

Una vez dentro, el usuario es invitado a registrarse para acceder a la supuesta compra de entradas o productos oficiales. En ese momento, los ciberdelincuentes capturan nombres, correos electrónicos, teléfonos y contraseñas. Si la víctima avanza hasta el proceso de pago, la pasarela fraudulenta recoge también los datos bancarios.

Josep Albors, director de Investigación y Concienciación de ESET España, ha explicado la lógica detrás del ataque: "Los ciberdelincuentes aprovechan eventos globales de gran interés mediático para explotar la urgencia, la emoción y la ansiedad de los usuarios. En este caso, la búsqueda de entradas o merchandising del Mundial se convierte en el anzuelo perfecto para robar información sensible".

Una estructura organizada, no improvisada

ESET subraya que estos sitios no son páginas rudimentarias. Están compuestos por varias páginas con diseños y mecánicas similares a las de la web oficial, lo que indica una estrategia organizada y planificada por los atacantes. No se trata de intentos aislados sino de una infraestructura montada específicamente para aprovechar la ventana de máximo interés previa al inicio del torneo.

El patrón no es nuevo: los grandes eventos deportivos —Juegos Olímpicos, Eurocopas, Mundiales anteriores— han sido utilizados repetidamente como gancho para campañas de phishing y fraude online. La diferencia en 2026 es la sofisticación técnica de las réplicas y la velocidad con la que se despliegan los dominios.

Qué hacer para no caer

La FIFA recuerda que las entradas para todas las fases del torneo están disponibles exclusivamente a través de FIFA.com/tickets. Cualquier otra plataforma que ofrezca acceso a entradas debe tratarse con máxima desconfianza.

ESET recomienda una serie de medidas concretas antes de realizar cualquier pago relacionado con el Mundial 2026. La primera y más básica: verificar siempre la dirección URL completa del sitio antes de introducir cualquier dato. Un solo carácter de diferencia respecto a la web oficial puede indicar que se trata de un dominio fraudulento.

La compañía también aconseja evitar hacer clic en anuncios o enlaces promocionados que aparezcan en buscadores o redes sociales, ya que los atacantes suelen pagar por posicionamiento para que sus dominios aparezcan por encima de los legítimos. Igualmente, recomienda desconfiar de ofertas exclusivas o demasiado atractivas: si alguien ofrece entradas agotadas o con descuentos imposibles, la probabilidad de fraude es elevada.

A nivel de higiene digital, ESET insiste en no reutilizar contraseñas entre distintos servicios —si una cae en manos de los atacantes, no debe abrir la puerta a otras cuentas— y en revisar detenidamente cualquier pasarela de pago antes de introducir datos de tarjeta, comprobando que la dirección comience por 'https' y que el certificado de seguridad corresponda a la entidad legítima.

El contexto: un Mundial como nunca antes

El Mundial 2026 es el primero en la historia que se disputa en tres países simultáneamente y el primero con 48 selecciones participantes. El aumento del número de partidos, equipos y aficionados potenciales amplía también la superficie de ataque disponible para los ciberdelincuentes. La demanda de entradas ha superado con creces la oferta en varias fases de venta, lo que genera exactamente el escenario de urgencia y escasez que estos fraudes necesitan para funcionar.

No se ha detallado el número exacto de dominios fraudulentos identificados por ESET ni si se han cursado denuncias ante organismos competentes.

Etiquetas
redes sociales ciberseguridad phising México Canadá Estados Unidos