La expectativa por la Copa del Mundo 2026 también abrió la puerta a nuevas campañas de fraude digital.
Investigadores de ESET Latinoamérica detectaron al menos cinco sitios web falsos que se hacen pasar por plataformas oficiales de FIFA para engañar a usuarios interesados en comprar entradas, merchandising y servicios relacionados con el torneo.
Los especialistas advierten que estas páginas fraudulentas buscan obtener datos personales, información bancaria y pagos directos de las víctimas mediante técnicas de suplantación cada vez más sofisticadas.
Además, estos sitios pueden aparecer como anuncios patrocinados en Google, publicaciones promocionadas en redes sociales o incluso distribuirse mediante mensajes y correos electrónicos.
“Si bien FIFA informa que los boletos para todas las fases del torneo están disponibles exclusivamente en FIFA.com/tickets, desde ESET encontramos cinco sitios falsos que imitan la web oficial de la Copa Mundial 2026”, explicó Mario Micucci, Investigador de Seguridad Informática de ESET Latinoamérica.
Cómo operan las páginas falsas relacionadas con FIFA 2026
Uno de los casos identificados por ESET corresponde al dominio “fifa26.shop”, diseñado para aparentar legitimidad mediante una URL muy similar a la oficial.
Los ciberdelincuentes utilizan una técnica conocida como Typosquatting, que consiste en crear direcciones web casi idénticas a las originales, alterando apenas letras, números o caracteres.
El objetivo es que los usuarios no detecten la diferencia y entreguen información sensible creyendo que navegan en una plataforma auténtica.
Según el análisis de ESET, este sitio replica prácticamente todos los elementos visuales de FIFA: colores corporativos, diseño, menús y navegación.
La maniobra resulta especialmente efectiva durante eventos de alto interés global como el Mundial, donde miles de fanáticos buscan asegurar entradas o productos oficiales con rapidez y muchas veces sin verificar cuidadosamente la autenticidad de la página.
Lo riesgoso, según ESET, es que copia al detalle a la página oficial de la FIFA, que también pide registro. Aprovecha así un elemento clave como el FIFA ID, para generar confianza:
Sitio falso N°2: “26-fifa.com”. Al igual que el ejemplo anterior, busca a través de la URL no levantar sospechas, aprovechando su similitud con la web oficial.
El diseño de la web falsa en general, como las pestañas para navegar son idénticas a la web oficial de la FIFA.
Sitio falso N°3: “fifa*.site”, otro sitio falso que imita diseño de la web oficial de FIFA. El objetivo es claro, a través del uso de colores, tipografías y elementos visuales, busca generar una reacción automática de confianza en el usuario, especialmente en contextos donde la ansiedad por conseguir entradas puede reducir la atención a señales de alerta.
Sitio falso N°4: “fifa*.store”. En estos sitios de phishing los ciberatacantes suelen aprovechar extensiones como “.store” o “.shop” para reforzar la apariencia comercial del sitio.
“A simple vista, las víctimas pueden interpretar estas URLs como legítimas, especialmente porque los dominios falsos incluyen la palabra “fifa”, un recurso frecuente en campañas de suplantación de identidad.”, agrega Miccuci de ESET.
Sitio falso N°5, “fifa*.shop”. Esta similitud de técnicas demuestra para ESET que no se tratan de casos aislados, sino de campañas organizadas.
“Los actores maliciosos suelen registrar diversas variantes de una misma página para maximizar el alcance del engaño y así mantener operativa la campaña incluso si algunos dominios son dados de baja. Esta lógica del phishing es cada vez más frecuente en eventos masivos y de alta exposición mediática, como lo es la Copa Mundial de Fútbol 2026.”, refuerza el investigador de ESET.
Los riesgos de comprar entradas en sitios no oficiales
Los expertos en ciberseguridad remarcan que ingresar datos financieros en plataformas fraudulentas puede derivar en múltiples consecuencias.
Entre ellas destacan el robo de credenciales bancarias, consumos no autorizados, filtración de información personal y hasta la utilización de tarjetas para nuevas estafas digitales.
Además, muchos de estos portales solicitan registros completos con nombres, direcciones, teléfonos y correos electrónicos, información que luego puede utilizarse en futuras campañas de phishing o fraude personalizado.
Desde ESET recuerdan que FIFA confirmó que la venta oficial de entradas se realizará únicamente a través de sus canales autorizados, por lo que cualquier oferta alternativa debe analizarse con extrema precaución.
Recomendaciones para evitar caer en estafas del Mundial 2026
Para reducir riesgos, los especialistas recomiendan verificar cuidadosamente la URL antes de ingresar información personal o bancaria.
También sugieren evitar enlaces promocionados en mensajes sospechosos o anuncios poco confiables en redes sociales.
Otra medida importante consiste en acceder directamente escribiendo la dirección oficial en el navegador, en lugar de ingresar mediante enlaces recibidos por terceros.
Asimismo, contar con herramientas de seguridad actualizadas puede ayudar a detectar páginas fraudulentas antes de interactuar con ellas.
El creciente interés por la Copa Mundial 2026 convierte al evento en un escenario atractivo para los ciberdelincuentes, quienes aprovechan la urgencia y entusiasmo de los fanáticos para desplegar campañas cada vez más convincentes.
El fraude digital crece alrededor de grandes eventos deportivos
Los investigadores sostienen que las competencias deportivas masivas suelen ser utilizadas como anzuelo para campañas de fraude online debido al enorme volumen de búsquedas y transacciones que generan.
Entradas agotadas, promociones exclusivas y productos oficiales son algunos de los principales recursos utilizados por los atacantes para captar víctimas.
Por ello, la educación digital y la verificación constante de fuentes oficiales continúan siendo claves para evitar pérdidas económicas y robo de información.
