Estafas en vivo de la Copa Mundial de la FIFA 2026: sitios falsos y malware
TL; DR
Más de 4.300 dominios falsos de FIFA, malware bancario en aplicaciones de streaming pirateadas y operaciones de phishing para recolección de credenciales ya están apuntando a los fanáticos de la Copa Mundial 2026 antes del inicio del 11 de junio. El FBI, Group-IB, Fortinet y Kaspersky han publicado advertencias.
El evento deportivo con más suscriptores de la historia es también el que más sospechoso tiene. Con más de 150 millones de solicitudes de entradas en los primeros 15 días y poco más de 6 millones de asientos en 16 ciudades de Estados Unidos, Canadá y México, la Copa Mundial de la FIFA 2026 ha creado exactamente las condiciones que propician el fraude: escasez, urgencia y dinero que se agota rápidamente.
Los investigadores de seguridad, el FBI y varias empresas de ciberseguridad emitieron advertencias la semana pasada describiendo una infraestructura de fraude que ya es funcional, está bien ejecutada y está escalando. La imagen que surge no es la de un puñado de páginas de phishing oportunistas. Es un ecosistema en capas de dominios falsos, malware bancario, robo de credenciales y suplantación de identidad en redes sociales, todo convergido en la misma ventana.
Un operador, 300 sitios FIFA clonados
Los datos más detallados provienen del Group-IB, que ha rastreado más de 4.300 dominios fraudulentos de la FIFA registrados desde agosto de 2025. En el centro está un grupo llamado Ghost Stadium, una operación de habla china y con motivación financiera que ejecuta un único equipo de pesca en más de 300 de estos sitios.
Lo falso es bueno. La página es una copia casi perfecta de fifa.com, que simula el inicio de sesión único real de FIFA, impulsado por PingIdentity, con identificaciones de clientes reales copiadas del sitio en vivo. Carga imágenes directamente desde los propios servidores de la FIFA, por lo que la página parece auténtica y evita herramientas que señalan activos copiados.
Espacio de coworking de TNW City: donde ocurre tu mejor trabajo
Un espacio de trabajo diseñado para el crecimiento, la colaboración y un sinfín de oportunidades de networking en el corazón de la tecnología.
Los detalles del daño incluyen: Un inicio de sesión falso solicita restablecer la contraseña. Una vez que la víctima ingresa las credenciales, el atacante bloquea su cuenta original de FIFA y revende las entradas asociadas a ella. La mayor parte del tráfico proviene de anuncios de Facebook, que reutilizan códigos de seguimiento, así como enlaces en Telegram, WhatsApp y resultados de búsqueda. Las opciones de pago incluyen ingreso con tarjeta, aplicaciones de transferencia de dinero como Chime y Nequi, procesadores exclusivos para México y una opción criptográfica que convierte los pagos con tarjeta en criptomonedas. Esta última es información confiable, ya que la venta de entradas oficiales de la FIFA nunca acepta criptomonedas.
13.000 dominios y contando
FortiGuard Labs contó más de 13.000 dominios con temas de la Copa Mundial registrados entre enero y mayo, de los cuales alrededor del 8,8% se clasificaron como maliciosos o sospechosos. El anuncio de servicio público del FBI enumera docenas de dominios falsos de FIFA, que van desde errores ortográficos hasta páginas de trabajo falsas, y advierte que habrá más en el futuro.
El fraude de billetes es sólo una pieza. Group-IB también encontró tiendas de productos falsas, sitios de transmisión falsos que cobran tarifas de suscripción y luego instalan malware, y plataformas de apuestas falsas que recopilan escaneos de pasaportes y selfies para el robo de identidad. Bitdefender rastreó por separado los correos electrónicos de la lotería de la FIFA que prometían pagos de hasta 2 millones de dólares
Group-IB estimó las pérdidas por fraude de billetes de primas y hotelería entre 71 y 474 millones de dólares, y la campaña más amplia podría alcanzar los miles de millones. Estas son estimaciones basadas en infraestructura visible, no en pérdidas confirmadas.
Malware bancario en aplicaciones de streaming
Para los fanáticos que buscan transmisiones de partidos gratuitas, los teléfonos son un gran problema. ThreatFabric notó un aumento en las aplicaciones maliciosas de transmisión no oficiales en torno a la reciente final de la Liga de Campeones, y muchas se hicieron pasar por la popular RosaDirecta y esperaban una repetición de la Copa del Mundo a mayor escala.
Kaspersky vinculó esas aplicaciones a dos familias de troyanos bancarios de Android: Massive y Perseus. Ninguno de los dos se distribuye a través de Google Play, por lo que para instalar uno es necesario hacer clic en las advertencias integradas de Android. Una vez instalado, el malware utiliza herramientas de accesibilidad para superponer pantallas de inicio de sesión bancarias falsas en aplicaciones reales, registrar pulsaciones de teclas, interceptar SMS y códigos de un solo uso de aplicaciones de autenticación y controlar pantallas de forma remota.
Perseus, creado a partir de código filtrado del antiguo troyano Cerberus, incluso lee aplicaciones para tomar notas en busca de contraseñas guardadas y frases de recuperación criptográficas. La señal de alerta más simple, según ThreatFabric, es una aplicación de transmisión que solicita acceso de accesibilidad. No se requiere una aplicación de transmisión válida.
Redes sociales abiertas, credenciales robadas y Wi-Fi
Fortinet contó más de 1.700 cuentas FIFA falsificadas, alrededor del 90% en Facebook e Instagram, además de anuncios de trabajo y calendarios falsos de la FIFA utilizando un esquema que invitaba a los solicitantes a redirigir a lo que parecía un inicio de sesión de Google. Bitdefender encontró más de 55 campañas publicitarias con temas de fútbol en Facebook e Instagram promocionando kits falsos, pegatinas de panini falsas y páginas de phishing.
Los inicios de sesión robados de FIFA ya se están propagando. Fortinet encontró cientos de miles de credenciales de usuario y más de 4.600 URL relacionadas con FIFA en datos recopilados por familias de malware de robo de credenciales, incluidas Vidar, LummaC2 y RedLine.
El Wi-Fi de la ciudad anfitriona tiene sus propios problemas. Un estudio de Kaspersky realizado en la Ciudad de México, Monterrey y Guadalajara encontró que entre el 10% y el 12% de las redes abiertas y sin contraseña, la función de emparejamiento WPS todavía está activa en aproximadamente la mitad. Ambos dejan la puerta abierta a puntos de acceso maliciosos "gemelos malvados" que copian una red real e interceptan el tráfico silenciosamente.
cuidado con lo que
La estafa quedó clara. Compre entradas únicamente a través de fifa.com, escriba directamente, no a través de anuncios ni resultados de búsqueda. Habilite la autenticación multifactor y trate a cualquier vendedor que solicite criptomonedas como una estafa. En Android, deniegue los permisos de accesibilidad para aplicaciones de streaming. En Wi-Fi abierto en las ciudades anfitrionas, use datos móviles para realizar operaciones bancarias y correo electrónico.
Meta dijo que ahora muestra ventanas emergentes de advertencia cuando la gente busca entradas de la FIFA en Facebook y se asoció con Visa para eliminar una red de Facebook vinculada a sitios falsos de apuestas de la Copa Mundial. El FBI está pidiendo a las víctimas que se presenten en IC3.
La gran preocupación es lo que aún no se ha activado. Group-IB contó alrededor de 3.800 dominios FIFA fraudulentos estacionados y sin usar, listos para ser cambiados. Con kits de estafas y robots de compra de entradas ya a la venta, el período pico es fácil de predecir: del 11 de junio al 19 de julio, cuando las búsquedas de entradas, transmisiones y giras están en su punto máximo.
