El Mundial 2026, que se celebrará en Estados Unidos, Canadá y México a partir del 11 de junio, se ha convertido en un reclamo para los ciberdelincuentes. Según el análisis de ESET, compañía líder en ciberseguridad, los sitios fraudulentos identificados imitan la apariencia de la web oficial de FIFA, replican su diseño, sus colores, sus menús de navegación e incluso los flujos de registro y compra. Esta similitud busca generar confianza en las víctimas y reducir las señales de sospecha.

“Los ciberdelincuentes aprovechan eventos globales de gran interés mediático para explotar la urgencia, la emoción y la ansiedad de los usuarios. En este caso, la búsqueda de entradas o merchandising del Mundial se convierte en el anzuelo perfecto para robar información sensible”, explica Josep Albors, director de investigación y concienciación de ESET España. “Entre los sitios detectados se encuentran dominios que incorporan la palabra “FIFA” junto con variaciones asociadas al Mundial 2026 y extensiones como .shop, .store o .site”.

Esta técnica, conocida como typosquatting, consiste en crear direcciones web muy similares a las legítimas mediante pequeños cambios, añadidos o modificaciones que pueden pasar desapercibidas para el usuario.

Una vez dentro de estas páginas falsas, las víctimas son invitadas a registrarse para acceder a la supuesta compra de entradas o productos oficiales. En este proceso, los atacantes pueden obtener datos como nombres completos, correos electrónicos, teléfonos y contraseñas. Además, si el usuario continua con la compra, puede acabar introduciendo los datos de su tarjeta bancaria en una pasarela de pago fraudulenta.

ESET advierte de que este tipo de campañas no se limita a un único dominio aislado. La detección de varias páginas con diseños y mecánicas similares apunta a una estrategia organizada en la que los atacantes registran diferentes variantes para ampliar el alcance del fraude y mantener activa la campaña incluso si algunas páginas son bloqueadas o eliminadas.

La propia FIFA recuerda que las entradas para todas las fases del torneo están disponibles exclusivamente a través de FIFA.com/tickets. Comprar en sitios no oficiales, redes sociales o terceros puede implicar riesgos como recibir entradas falsas, duplicadas, anuladas o pagar precios muy superiores al valor original sin garantía de autenticidad.

Cómo evitar estafas al comprar entradas o productos del Mundial 2026

ESET recomienda a los usuarios extremar la precaución antes de realizar cualquier compra vinculada al Mundial 2026 y seguir estas pautas básicas:

• Verificar siempre la URL: Para comprar entradas o acceder a información oficial, se debe acudir directamente al sitio oficial de FIFA. Cualquier variación en el dominio, como palabras añadidas, guiones, extensiones comerciales sospechosas o ligeros cambios en la escritura, debe considerarse una señal de alerta.
• Evitar hacer clic en anuncios o enlaces promocionados: Los sitios fraudulentos suelen difundirse a través de anuncios en buscadores, redes sociales, aplicaciones de mensajería o correos electrónicos. Es preferible escribir manualmente la dirección oficial en el navegador.
• Desconfiar de ofertas exclusivas o demasiado atractivas: Mensajes como “cupos limitados”, “acceso VIP” o “descuentos especiales” suelen utilizarse para generar urgencia y llevar al usuario a actuar sin revisar la legitimidad del sitio.
• No reutilizar contraseñas: Si una persona introduce sus credenciales en una web falsa y utiliza la misma contraseña en otros servicios, los ciberdelincuentes podrían intentar acceder a su correo electrónico, redes sociales o plataformas bancarias.
• Revisar cuidadosamente cualquier pasarela de pago: Antes de introducir datos bancarios, conviene comprobar que el sitio es legítimo, que la URL corresponde al dominio oficial y que no existen elementos sospechosos en el proceso de compra.