Los cibercriminales preparan su estrategia: 8 estafas enfocadas en la Copa del Mundo 2026

A lo largo de mis siete años de trayectoria profesional auditando infraestructuras de ciberseguridad, he documentado cómo los actores de amenazas adaptan rápidamente sus tácticas a los grandes eventos globales. Aunque el calendario oficial marca el inicio de la Copa del Mundo 2026 para el 11 de junio, con el encuentro inaugural entre México y Sudáfrica, en el ecosistema digital el partido ya ha comenzado. La compañía de detección proactiva de amenazas, ESET, ha emitido una alerta crítica detallando cómo los ciberdelincuentes están capitalizando el interés masivo que genera este evento deportivo para desplegar sofisticadas campañas de fraude, suplantación de identidad y robo de credenciales.

La ingeniería social detrás de estos ataques no es nueva, pero la ejecución técnica es cada vez más refinada. A continuación, desglosaremos las ocho metodologías principales identificadas por los investigadores de seguridad.

Tácticas de infección mediante aplicaciones y sitios de streaming no oficiales

La ansiedad por consumir contenido en vivo es el vector de ataque más explotado. Los atacantes distribuyen aplicaciones fuera de las tiendas oficiales que prometen transmisiones en calidad HD sin costo. Un ejemplo documentado es la aplicación Magis TV (y su sucesora Xuper TV), la cual ha ganado tracción en Argentina, Colombia y México. Los análisis técnicos de ESET revelan que estos programas exigen permisos de sistema críticos e invasivos que exceden por completo las funciones de un reproductor multimedia convencional.

Mario Micucci, Investigador de Ciberseguridad de ESET Latinoamérica, advierte sobre el riesgo de las plataformas web que exigen registro. El objetivo técnico de solicitar vinculación con cuentas de Google o Facebook, o el ingreso de una tarjeta de crédito para un supuesto cargo mínimo, es la extracción sistemática de credenciales de acceso e información financiera (phishing). Cabe recordar que, en Latinoamérica, DirecTV posee los derechos oficiales para la transmisión de los 104 partidos del torneo.

Fraude en la boletería y suplantación de identidad institucional

La comercialización fraudulenta de boletos es un vector clásico. Los atacantes despliegan páginas web que clonan al detalle la interfaz gráfica de compra oficial, replicando tipografías, códigos de color y hasta los formularios de registro del sistema FIFA ID. El análisis de red de ESET ha identificado múltiples dominios activos, tales como “fifa.shop”, “fifa.store” y “wc***-fifa.com”, diseñados específicamente para engañar a los usuarios y capturar sus datos de facturación.

La postura oficial del ente organizador es contundente: cualquier transacción fuera del dominio FIFA.com/tickets representa un riesgo absoluto.

Trámites migratorios falsos y aplicaciones maliciosas

La logística de viaje para el torneo se desarrolla en Estados Unidos, Canadá y México. Los ciberdelincuentes están ofreciendo paquetes que incluyen una supuesta «visa para el Mundial», un documento migratorio que, a nivel legal, no existe. El Departamento de Estado de EE. UU. ha aclarado que los visitantes requieren el visado estándar B1/B2 o la autorización ESTA. Aunque existe el sistema FIFA PASS para agilizar citas, este no omite las entrevistas consulares ni emite visados directamente.

De manera paralela, las tiendas de aplicaciones se ven inundadas por software fraudulento disfrazado de calendarios, resultados en vivo o servicios oficiales. Estas aplicaciones suelen solicitar acceso a la libreta de contactos y almacenamiento interno para ejecutar rutinas de malware.

Sitios de apuestas fraudulentos y el ecosistema cripto

El mercado global de las apuestas deportivas, valuado en 84 mil millones de dólares en 2023, es un objetivo primario. Los analistas han detectado clones de páginas de apuestas reconocidas, cuya finalidad es forzar la descarga de ejecutables maliciosos no listados en repositorios oficiales para comprometer el dispositivo del usuario.

Incluso el ecosistema blockchain es utilizado como señuelo. Dominios como worldcup*.fun prometen la distribución gratuita (airdrop) de millones de tokens «$WC», insinuando falsamente ser la criptomoneda oficial del torneo. Aunque FIFA opera su propia plataforma de activos digitales (FIFA Collect), estos nuevos tokens no tienen respaldo institucional.

Finalmente, las estafas alcanzan el comercio físico y digital de coleccionables, con plataformas fraudulentas que ofrecen el álbum oficial de Panini a precios irreales o mediante aplicaciones de entrega de terceros que distribuyen mercancía falsificada.

Protocolos de mitigación y seguridad preventiva

Para evitar comprometer datos corporativos o personales, es esencial aplicar un modelo de desconfianza por defecto (Zero Trust) a nivel de usuario. Las campañas fraudulentas se caracterizan por exigir urgencia, prometer exclusividad irreal y solicitar pagos inmediatos o la instalación de software de terceros.

Las recomendaciones técnicas se basan en descargar aplicaciones únicamente de repositorios auditados, inspeccionar los certificados de los dominios antes de introducir credenciales, y apoyarse en soluciones de seguridad (como ESET HOME Security) que ofrezcan motores de protección antiphishing y análisis de tráfico en tiempo real.