Las estafas de la Copa Mundial de la FIFA 2026 están activas: sitios falsos y malware

      TL;DRMás de 4,300 dominios falsos de FIFA, malware bancario en aplicaciones de streaming pirata y operaciones de phishing para robar credenciales ya están apuntando a los aficionados de la Copa Mundial 2026 antes del inicio el 11 de junio. El FBI, Group-IB, Fortinet y Kaspersky han publicado advertencias.

      El evento deportivo más sobrevendido de la historia también es el más atacado por phishing. Con más de 150 millones de solicitudes de entradas en los primeros 15 días y solo seis millones de asientos en 16 ciudades de EE. UU., Canadá y México, la Copa Mundial de la FIFA 2026 ha creado exactamente las condiciones en las que prospera el fraude: escasez, urgencia y dinero que se mueve rápido.

      Investigadores de seguridad, el FBI y múltiples empresas de ciberseguridad han publicado advertencias en la última semana describiendo una infraestructura de fraude que ya está operativa, bien financiada y en expansión. La imagen que emerge no es un puñado de páginas de phishing oportunistas. Es un ecosistema en capas de dominios falsos, malware bancario, robo de credenciales e impersonación en redes sociales, todos convergiendo en la misma ventana.

      Un operador, 300 sitios clonados de FIFA

      Los hallazgos más detallados provienen de Group-IB, que rastreó más de 4,300 dominios fraudulentos de FIFA registrados desde agosto de 2025. En el centro se encuentra un grupo que llama Ghost Stadium, una operación de habla china, motivada financieramente, que ejecuta un solo kit de phishing en más de 300 de esos sitios.

      Lo falso es bueno. La página es una copia casi perfecta de fifa.com, imitando el verdadero inicio de sesión de un solo acceso de FIFA, gestionado por PingIdentity, hasta el genuino ID de cliente copiado del sitio en vivo. Carga imágenes directamente desde los propios servidores de FIFA, por lo que la página parece auténtica y elude las herramientas que marcan activos copiados.

      El daño está en los detalles: el inicio de sesión falso también pide restablecer la contraseña. Una vez que una víctima ingresa credenciales, el atacante las bloquea de su cuenta real de FIFA y revende cualquier entrada vinculada a ella. La mayor parte del tráfico proviene de anuncios en Facebook con códigos de seguimiento reutilizados, además de enlaces en Telegram, WhatsApp y en resultados de búsqueda. Las opciones de pago incluyen entrada de tarjeta, aplicaciones de transferencia de dinero como Chime y Nequi, procesadores solo en México y una opción de criptomonedas que convierte pagos con tarjeta en criptomonedas. Esa última es un indicador confiable, ya que la venta de entradas oficial de FIFA nunca acepta criptomonedas.

      13,000 dominios y contando

      FortiGuard Labs contó más de 13,000 dominios temáticos de la Copa Mundial registrados entre enero y mayo, aproximadamente el 8.8% de ellos clasificados como maliciosos o sospechosos. El anuncio de servicio público del FBI enumera docenas de dominios falsos de FIFA, desde imitaciones mal escritas hasta páginas de trabajo falsas, y advierte que vendrán más.

      El fraude de entradas es solo una parte. Group-IB también encontró tiendas de mercancías falsificadas, sitios de streaming falsos que cobran una tarifa de suscripción y luego instalan malware, y plataformas de apuestas falsas que recopilan escaneos de pasaportes y selfies para robo de identidad. Bitdefender rastreó por separado correos electrónicos de lotería de FIFA prometiendo pagos de hasta $2 millones.

      Group-IB estima que las pérdidas solo por fraude de entradas premium y de hospitalidad ascienden a entre $71 millones y $474 millones, con la campaña más amplia potencialmente alcanzando miles de millones. Estas son proyecciones basadas en infraestructura visible, no en pérdidas confirmadas.

      Malware bancario en aplicaciones de streaming

      Para los aficionados que buscan transmisiones de partidos gratuitas, el mayor peligro está en el teléfono. ThreatFabric observó un aumento en aplicaciones de streaming no oficiales maliciosas, muchas haciéndose pasar por la popular RojaDirecta, alrededor de la reciente final de la Champions League y espera una repetición en la Copa Mundial a mayor escala.

      Kaspersky vinculó esas aplicaciones a dos familias de troyanos bancarios de Android: Massiv y Perseus. Ninguno se distribuye a través de Google Play, por lo que instalar uno requiere hacer clic más allá de las advertencias integradas de Android. Una vez instalado, el malware utiliza herramientas de accesibilidad para superponer pantallas de inicio de sesión bancario falsas en aplicaciones reales, registrar pulsaciones de teclas, interceptar códigos de un solo uso de SMS y aplicaciones de autenticación, y controlar la pantalla de forma remota.

      Perseus, construido sobre código filtrado del antiguo troyano Cerberus, incluso lee aplicaciones de notas para contraseñas guardadas y frases de recuperación de criptomonedas. La bandera roja más simple, según ThreatFabric, es una aplicación de streaming que solicita acceso de accesibilidad. Ninguna aplicación de streaming legítima lo necesita.

      Redes sociales, credenciales robadas y Wi-Fi abierto

      Fortinet contó más de 1,700 cuentas de FIFA suplantadas, casi el 90% en Facebook e Instagram, además de un esquema que utiliza anuncios de trabajo falsos de FIFA e invitaciones de calendario para redirigir a los solicitantes a un inicio de sesión de Google similar. Bitdefender encontró más de 55 campañas publicitarias temáticas de fútbol en Facebook e Instagram promoviendo kits falsificados, stickers de Panini falsos y páginas de phishing.

      Las credenciales de inicio de sesión de FIFA robadas ya están circulando. Fortinet encontró cientos de miles de credenciales de usuario, además de más de 4,600 URL relacionadas con FIFA, en datos recopilados por familias de malware que roban credenciales, incluyendo Vidar, LummaC2 y RedLine.

      El Wi-Fi de las ciudades anfitrionas es un problema por sí mismo. Una encuesta de Kaspersky que recorrió la Ciudad de México, Monterrey y Guadalajara encontró que el 10% al 12% de las redes estaban abiertas y sin contraseña, con la función de emparejamiento WPS aún activa en casi la mitad. Ambas dejan espacios para puntos de acceso "gemelos malvados" que copian una red real y silenciosamente interceptan el tráfico.

      Qué observar

      Las estafas dejan señales claras. Compra entradas solo a través de fifa.com, escritas directamente, no a través de un anuncio o resultado de búsqueda. Habilita la autenticación de múltiples factores y trata a cualquier vendedor que solicite criptomonedas como una estafa. En Android, rechaza permisos de accesibilidad para aplicaciones de streaming. En Wi-Fi abierto en las ciudades anfitrionas, utiliza datos móviles para banca y correo electrónico.

      Meta dice que ahora está mostrando ventanas emergentes de advertencia cuando las personas buscan en Facebook entradas de FIFA, y se asoció con Visa para eliminar una red de Facebook vinculada a sitios de apuestas falsos de la Copa Mundial. El FBI está pidiendo a las víctimas que informen en IC3.

      La mayor preocupación es lo que aún no se ha activado. Group-IB contó aproximadamente 3,800 dominios fraudulentos de FIFA que están aparcados y sin uso, listos para activarse. Con kits de estafa listos para usar y bots de compra de entradas ya a la venta, la ventana pico es fácil de predecir: del 11 de junio al 19 de julio, cuando las búsquedas de entradas, transmisiones y viajes estarán en su punto más alto.