Los investigadores de seguridad y el FBI advierten que una ola de fraude con el tema de la FIFA ya está afectando a los fanáticos de la Copa Mundial 2026, días antes del inicio del 11 de junio.
Informes recientes describen miles de dominios similares a FIFA, malware bancario oculto dentro de aplicaciones de streaming piratas y al menos una operación que copia la página de inicio de sesión de FIFA lo suficientemente bien como para hacerse cargo de cuentas reales.
Es un objetivo obvio. Se esperan más de seis millones de aficionados en 16 ciudades de Estados Unidos, Canadá y México, y la FIFA dijo que recibió más de 150 millones de billetes solicitudes en los primeros 15 días, lo que dejó el torneo con una sobresuscripción de alrededor de 30 veces. Las entradas son escasas, los aficionados están ansiosos y el dinero circula rápidamente, que es exactamente lo que necesita el fraude.
Un operador, 300 sitios FIFA clonados
Los hallazgos más detallados provienen de Grupo-IBque rastreó más de 4.300 dominios fraudulentos de FIFA registrados desde agosto de 2025. En el centro hay un grupo al que llama ESTADIO FANTASMAuna operación de habla china e impulsada por dinero que ejecuta un kit de phishing en más de 300 de esos sitios.
Lo falso es bueno. La página es una copia casi perfecta de fifa.com e imita el inicio de sesión único real de FIFA, administrado por PingIdentity, hasta la identificación de cliente genuina copiada del sitio en vivo. Carga sus imágenes directamente desde los propios servidores de la FIFA, por lo que la página parece auténtica y evita herramientas que marcan imágenes copiadas.
Aquí está la parte que hace el daño: la página de inicio de sesión falsa también solicita restablecer la contraseña. Una vez que la víctima ingresa sus datos, el atacante puede bloquear su propia cuenta de FIFA y revender las entradas vinculadas a ella.
La mayor parte del tráfico proviene de anuncios de Facebook, con los mismos códigos de seguimiento reutilizados en todo el grupo, además de enlaces en Telegram, WhatsApp y en los resultados de búsqueda. El sitio acepta pagos de cinco maneras diferentes: ingreso directo con tarjeta, pasarelas de pago externas, aplicaciones de transferencia de dinero como Chime y Nequi, procesadores exclusivos para México y una opción criptográfica que convierte un pago con tarjeta en criptomoneda, que es mucho más difícil de recuperar.
Esto último es útil, porque la venta de entradas oficiales de la FIFA nunca acepta criptomonedas, por lo que cualquier vendedor que las solicite es una estafa.
Group-IB cifra las pérdidas por fraude de billetes de primas y hoteles entre 71 y 474 millones de dólares, y dice que toda la campaña podría sumar miles de millones. Esas son estimaciones basadas en la infraestructura que puede ver, no en pérdidas confirmadas.
Miles de dominios, muchos tipos de estafas
No se trata sólo del Grupo IB. Laboratorios FortiGuard contó más de 13.000 dominios con temas de la Copa Mundial registrados entre enero y mayo, alrededor del 8,8% de ellos maliciosos o sospechosos.
El aviso del FBI enumera docenas de dominios falsos de FIFA, desde parecidos mal escritos hasta páginas de trabajos de FIFA falsas, y advierte que habrá más en el futuro. Otros investigadores han mapeado miles de sitios similares y más de mil cuentas sociales falsas.
El fraude de billetes es sólo una pieza. Group-IB también encontró tiendas de mercancías falsificadas, sitios de transmisión falsos que cobran una tarifa de suscripción y luego instalan malware que entrega el control al atacante, y sitios de apuestas falsos que recopilan escaneos de pasaportes y selfies para el robo de identidad.
Bitdefender rastreado por separado Correos electrónicos de lotería de la FIFA pagos prometedores de hasta 2 millones de dólares. Group-IB también señaló un mercado de «phishing como servicio» que vende kits de estafa ya preparados y robots de compra de boletos, por lo que eliminar a un operador apenas ayuda.
Las piezas encajan: los dominios falsos captan las búsquedas de entradas, los anuncios y los resultados de búsqueda impulsan el tráfico, los volcados de contraseñas robadas alimentan las apropiaciones de cuentas y las aplicaciones descargadas convierten la caza de flujos en un fraude bancario.
Malware bancario oculto en aplicaciones de streaming
Para los fanáticos que buscan transmisiones gratuitas de partidos, el mayor peligro está en el teléfono. AmenazaTejido vio un aumento en aplicaciones maliciosas de streaming no oficiales, muchas de las cuales pretenden ser la popular RojaDirecta, en torno a la reciente final de la Liga de Campeones, y espera una repetición en la Copa del Mundo a mayor escala.
Kaspersky vinculó esas mismas aplicaciones con troyanos bancarios de Android, malware creado para drenar dinero de aplicaciones bancarias y criptográficas, y nombró dos familias: Massiv y Perseus. Estas aplicaciones no están en Google Play, por lo que instalar una significa hacer clic en las advertencias que normalmente la bloquearían.
Una vez instalado, el malware utiliza las herramientas de accesibilidad de Android para apoderarse del teléfono. Puede colocar pantallas de inicio de sesión bancarias falsas sobre aplicaciones reales, registrar lo que escribe el propietario, interceptar códigos de un solo uso de mensajes de texto y aplicaciones de inicio de sesión destinadas a mantener las cuentas seguras y controlar la pantalla desde lejos.
Perseus, construido sobre el código filtrado de un antiguo troyano llamado Cerberus, incluso lee aplicaciones para tomar notas en busca de contraseñas guardadas y frases de recuperación criptográfica. La señal de alerta más simple, dice ThreatFabric, es una aplicación de transmisión que solicita acceso de accesibilidad. No tiene ninguna razón honesta para necesitarlo.
Estafas sociales, inicios de sesión robados y Wi-Fi riesgosos
Las redes sociales están igualmente repletas de estafas. Bitdefender encontró más de 55 campañas publicitarias con temas de fútbol en Facebook e Instagram, promocionando kits falsificados, pegatinas de Panini falsas y páginas de phishing; dos de las operaciones de mercancías se remontaban a operadores chinos a través de sus etiquetas de seguimiento de anuncios.
Fortinet contó más de 1.700 cuentas falsificadas de FIFA, casi el 90% de ellas en Facebook e Instagram, además de un esquema que utilizaba anuncios de empleo e invitaciones de calendario falsos de FIFA para enviar a los solicitantes a un inicio de sesión similar a Google.
Los inicios de sesión robados de FIFA ya están en circulación. Fortinet encontró cientos de miles de inicios de sesión de usuarios, además de más de 4.600 direcciones web de FIFA, en datos recopilados por malware de robo de credenciales como Vidar, LummaC2 y RedLine.
El Wi-Fi de la ciudad anfitriona es su propio problema. A Encuesta de Kaspersky que recorrieron la Ciudad de México, Monterrey y Guadalajara encontraron que entre el 10% y el 12% de las redes estaban abiertas y sin contraseña, con la función de emparejamiento WPS todavía activada en casi la mitad. Ambos dejan aperturas fáciles para puntos de acceso maliciosos «gemelos malvados» que copian una red real y leen silenciosamente su tráfico.
Qué tener en cuenta
Estas estafas dejan señales claras. Compre únicamente a través de fifa.com y escriba la dirección usted mismo en lugar de confiar en un anuncio o un resultado de búsqueda. Active el inicio de sesión multifactor y trate a cualquier vendedor que quiera un pago en criptomonedas como una estafa, ya que la venta de entradas de la FIFA nunca lo solicita.
En Android, la señal de alerta más clara es una aplicación de transmisión que solicita acceso de accesibilidad que no tiene motivos para necesitar. En Wi-Fi abierto en las ciudades anfitrionas, limítese a los datos móviles cuando pueda y evite iniciar sesión en cuentas bancarias o de correo electrónico.
Para los equipos de seguridad, el trabajo es sencillo: estar atento a nuevos dominios con temas de FIFA y páginas de inicio de sesión similares, marcar cualquier inicio de sesión de personal o cliente que aparezca en los registros de ladrones de Vidar, LummaC2 o RedLine, y preparar a los equipos antifraude para los picos de multas y devoluciones de cargos hasta mediados de julio.
Meta dice que también está respondiendo.. Ahora muestra ventanas emergentes de advertencia cuando la gente busca en Facebook entradas para la FIFA, y se asoció con Visa para desmantelar una red de Facebook vinculada a sitios falsos de la Copa Mundial que promueven apuestas falsas. El FBI pide a cualquier persona que haya sido estafada que lo denuncie en IC3.
La mayor preocupación es lo que todavía está esperando. Group-IB contó aproximadamente 3.800 dominios FIFA fraudulentos estacionados y sin uso, listos para activarse. Con kits de estafas y bots listos para usar que ya están a la venta, es fácil llamar a la ventana ocupada: del 11 de junio al 19 de julio, cuando las búsquedas de boletos, transmisiones y viajes estarán en su punto máximo.
