El Mundial 2026, que se celebrará en Estados Unidos, Canadá y México a partir del 11 de junio, se ha convertido en un reclamo para los ciberdelincuentes. Según el análisis de ESET, compañía líder en ciberseguridad, los sitios fraudulentos identificados imitan la apariencia de la web oficial de FIFA, replican su diseño, sus colores, sus menús de navegación e incluso los flujos de registro y compra. Esta similitud busca generar confianza en las víctimas y reducir las señales de sospecha.
“Los
ciberdelincuentes aprovechan eventos globales de gran interés mediático para explotar la urgencia, la emoción y la ansiedad de los
usuarios. En este caso, la búsqueda de entradas o merchandising
del Mundial se convierte en el anzuelo perfecto para robar información
sensible”,
explica Josep Albors, director de investigación y concienciación de ESET
España. “Entre los sitios detectados se encuentran dominios que
incorporan la palabra “FIFA” junto con variaciones asociadas al Mundial 2026 y
extensiones como .shop, .store o .site”.
Imagen 1: Sitio falso que simula la compra de tickets
oficiales.
Imagen 2: Sitio oficial de la FIFA para compararlo con el
sitio falso de la imagen 1. Se aprecia la similitud entre ambos, lo que
fortalece el engaño.
Esta
técnica, conocida como typosquatting, consiste en crear direcciones web
muy similares a las legítimas mediante pequeños cambios, añadidos o
modificaciones que pueden pasar desapercibidas para el usuario.
Una
vez dentro de estas páginas falsas, las víctimas son invitadas a registrarse
para acceder a la supuesta compra de entradas o productos oficiales. En este
proceso, los atacantes pueden obtener datos como nombres completos, correos
electrónicos, teléfonos y contraseñas. Además, si el usuario continúa con la
compra, puede acabar introduciendo los datos de su tarjeta bancaria en una
pasarela de pago fraudulenta.
Imagen 3: Sitio falso que suplanta a la FIFA-
Formulario falso para registro.
Imagen 4: Pasarela de pago falsa para simular compra de tickets para el mundial.
ESET
advierte de que este tipo de campañas no se limita a un único dominio aislado.
La detección de varias páginas con diseños y mecánicas similares apunta a una
estrategia organizada en la que los atacantes registran diferentes variantes
para ampliar el alcance del fraude y mantener activa la campaña incluso si
algunas páginas son bloqueadas o eliminadas.
Imagen 5: Sitio falso que imita la tienda online de FIFA.
Imagen 6: Simulación de compra en el sitio falso de phishing.
La propia FIFA recuerda que las entradas para todas las fases del torneo están disponibles exclusivamente a través de FIFA.com/tickets. Comprar en sitios no oficiales, redes sociales o terceros puede implicar riesgos como recibir entradas falsas, duplicadas, anuladas o pagar precios muy superiores al valor original sin garantía de autenticidad.
Cómo evitar estafas al comprar entradas o productos del Mundial 2026
ESET recomienda a los usuarios extremar la precaución antes de realizar cualquier compra vinculada al Mundial 2026 y seguir estas pautas básicas:
- Verificar siempre la URL: Para comprar entradas o acceder a información oficial, se debe acudir directamente al sitio oficial de FIFA. Cualquier variación en el dominio, como palabras añadidas, guiones, extensiones comerciales sospechosas o ligeros cambios en la escritura, debe considerarse una señal de alerta.
- Evitar hacer clic en anuncios o enlaces promocionados: Los sitios fraudulentos suelen difundirse a través de anuncios en buscadores, redes sociales, aplicaciones de mensajería o correos electrónicos. Es preferible escribir manualmente la dirección oficial en el navegador.
- Desconfiar de ofertas exclusivas o demasiado atractivas: Mensajes como “cupos limitados”, “acceso VIP” o “descuentos especiales” suelen utilizarse para generar urgencia y llevar al usuario a actuar sin revisar la legitimidad del sitio.
- No reutilizar contraseñas: Si una persona introduce sus credenciales en una web falsa y utiliza la misma contraseña en otros servicios, los ciberdelincuentes podrían intentar acceder a su correo electrónico, redes sociales o plataformas bancarias.
- Revisar cuidadosamente cualquier pasarela de pago: Antes de introducir datos bancarios, conviene comprobar que el sitio es legítimo, que la URL corresponde al dominio oficial y que no existen elementos sospechosos en el proceso de compra.