El Mundial 2026 todavía no empieza, pero los cibercriminales ya juegan su partido. Investigadores de la firma de ciberseguridad ESET identificaron cinco sitios web falsos que suplantan la página oficial de la FIFA para engañar a hinchas que buscan boletas o productos del torneo, que arranca el 11 de junio en Estados Unidos, Canadá y México.
Las páginas replican con mucha precisión el diseño, colores, pestañas de navegación y pasos de compra del portal oficial, lo que los hace difíciles de detectar a simple vista.
Estas webs circulan principalmente a través de resultados patrocinados en motores de búsqueda, anuncios en redes sociales y mensajes o correos electrónicos, según advirtió Christian Ali Bravo, de ESET.
La mecánica es atraer víctimas con la promesa de boletas o merchandising oficial, solicitar su registro con datos personales y, en el momento del pago, captar la información de su tarjeta.
Los cinco sitios falsos
El primero de los sitios identificados por ESET usa la técnica conocida como typosquatting, que consiste en registrar dominios casi idénticos al oficial mediante cambios mínimos: adición, omisión o sustitución de caracteres, o el uso de extensiones como “.shop” o “.store” en lugar de “.com”.
El sitio replica incluso el flujo del FIFA ID, el sistema de registro oficial de la organización, para generar confianza en la víctima antes de solicitarle los datos de pago. La imitación llega al punto de ofrecer camisetas de todas las selecciones participantes, permitir agregarlas al carrito y simular una pasarela de pago completa.
El segundo sitio sigue una lógica similar y añade un riesgo adicional, pues solicita nombre completo, correo electrónico, teléfono y contraseña. Con esa combinación de datos, el atacante puede iniciar un robo de identidad.
El peligro se amplifica porque muchas personas reutilizan contraseñas en distintos servicios. El entregar esas credenciales en una página falsa, puede llevar a accesos indebidos a cuentas de correo, redes sociales o plataformas bancarias.
Los sitios tercero, cuarto y quinto utilizan extensiones como “.store”, “.shop” y “.site” para dar apariencia comercial a sus URLs, que en todos los casos incluyen la palabra “fifa” para no levantar sospechas inmediatas.
Su existencia simultánea revela, según el experto en ciberseguridad, que no se trata de incidentes aislados sino que “actores maliciosos registran múltiples variantes de una misma página para ampliar el alcance del engaño y mantener la campaña activa incluso si algunos dominios son dados de baja” por autoridades o registradores de dominios.
¿Qué dice la FIFA?
La FIFA no deja espacio para la ambigüedad en su advertencia: “Sí, existen riesgos al adquirir boletos fuera del sitio oficial. La FIFA recomienda que todas las compras se realicen exclusivamente en FIFA.com/tickets”, cita ESET.
El organismo describe tres escenarios concretos para quienes compren por fuera del canal oficial.
Lo primero es recibir boletos falsos que serán rechazados en los torniquetes del estadio.
Además, las víctimas pueden encontrarse con entradas vendidas a múltiples personas simultáneamente o previamente anuladas por el sistema de la FIFA, que pueden pasar un primer escaneo pero ser detectadas como inválidas en controles posteriores.
Por último, advierten que los usuarios podrían pagar precios inflados de manera considerable, especialmente en partidos de alta demanda como eliminatorias o clásicos, sin ninguna garantía de autenticidad.
Para consultar contenido premium o profundizar sobre sus temas de interés de Medellín, Antioquia, Colombia y el Mundo, regístrese aquí.
Tres pasos para no caer
Ali Bravo, investigador de ESET, identifica algunas medidas concretas para evitar ser víctima de estas campañas.
La primera y más importante es verificar la URL antes de cualquier compra: el único sitio legítimo para todo lo relacionado con el torneo es fifa.com.
Lea también: FBI alerta sobre apps en iPhone y Android que podrían espiar a usuarios: ¿qué permisos vigilar?
Cualquier variación, con guiones, palabras adicionales o extensiones distintas al dominio oficial, es un indicio de estafa. La diferencia entre fifa.com y fifa26.shop puede parecer mínima pero marca la diferencia entre una compra legítima y la entrega de datos bancarios a un cibercriminal.
La segunda medida es no hacer clic en anuncios. Los sitios falsos se promocionan activamente mediante resultados patrocinados en buscadores, publicaciones pagadas en redes sociales y enlaces en aplicaciones de mensajería.
La recomendación es ingresar manualmente la dirección del sitio oficial en el navegador y nunca acceder a través de enlaces compartidos por terceros, sin importar cuán legítimos parezcan.
La tercera es desconfiar de cualquier oferta que parezca demasiado buena. Frases como “cupos limitados”, “acceso VIP” o “descuentos exclusivos en entradas” son anzuelos diseñados para explotar la ansiedad y la urgencia que genera el Mundial.
Regístrate al newsletter