Investigadores de seguridad y el
FBI advierten
que una ola de fraudes relacionados con la FIFA ya está afectando a los
aficionados del Mundial de 2026, a pocos días del inicio, el 11 de junio.
Informes recientes describen miles de dominios que imitan a la FIFA, malware
bancario oculto en aplicaciones piratas de streaming y al menos una operación
que copia la página de inicio de sesión de la FIFA con la suficiente fidelidad
como para suplantar cuentas reales.
Es un objetivo obvio. Se espera la asistencia de más de seis millones de
aficionados en 16 ciudades de Estados Unidos, Canadá y México, y la FIFA
informó haber recibido
más de 150 millones de solicitudes de entradas
en los primeros 15 días, lo que significa que el torneo superó en unas 30
veces la capacidad ofrecida. Las entradas son escasas, los aficionados están
ansiosos y el dinero circula rápidamente, lo que crea el ambiente propicio
para el fraude.
Un operador, 300 sitios web de la FIFA clonados
Los
hallazgos más detallados provienen de Group-IB, que rastreó más de 4.300 dominios fraudulentos de la FIFA registrados desde
agosto de 2025. En el centro de todo se encuentra un grupo denominado GHOST
STADIUM, una operación de habla china con fines lucrativos que utiliza un
único kit de phishing en más de 300 de esos sitios.
La falsificación es muy efectiva. La página es una copia casi perfecta de FIFA
e imita el inicio de sesión único real de la FIFA, gestionado por
PingIdentity, incluyendo el ID de cliente genuino copiado del sitio web en
funcionamiento. Carga las imágenes directamente desde los servidores de la
FIFA, por lo que la página parece auténtica y evade las herramientas que
detectan imágenes copiadas.
Aquí está el punto clave: la página de inicio de sesión falsa también solicita
restablecer la contraseña. Una vez que la víctima ingresa sus datos, el
atacante puede bloquear su cuenta de la FIFA y revender las entradas
asociadas.
La mayor parte del tráfico proviene de anuncios de Facebook, con los mismos
códigos de seguimiento reutilizados en todo el clúster, además de enlaces en
Telegram, WhatsApp y en los resultados de búsqueda. El sitio acepta pagos de
cinco maneras diferentes: ingreso directo de tarjeta, pasarelas de pago
externas, aplicaciones de transferencia de dinero como Chime y Nequi,
procesadores exclusivos de México y una opción de criptomonedas que convierte
el pago con tarjeta en criptomonedas, mucho más difíciles de recuperar.
Esta última opción es una señal de alerta,
ya que la venta oficial de entradas de la FIFA nunca acepta
criptomonedas, por lo que cualquier vendedor que las solicite es una estafa.
Group-IB estima que las pérdidas por fraude en entradas premium y de
hospitalidad oscilan entre 71 y 474 millones de dólares, y afirma que toda la
campaña podría ascender a miles de millones. Estas son estimaciones basadas en
la infraestructura que pueden observar, no pérdidas confirmadas.
Miles de dominios, muchos tipos de estafas
FortiGuard Labs contabilizó
más de 13.000 dominios relacionados con la Copa Mundial registrados entre
enero y mayo, de los cuales aproximadamente el 8,8% eran maliciosos o sospechosos.
El aviso del FBI enumera decenas de dominios falsos de la FIFA, desde
imitaciones con errores ortográficos hasta páginas falsas de empleos de la
FIFA, y advierte que aparecerán más.
Otros investigadores han identificado
miles de sitios similares y más de mil cuentas falsas en redes sociales.
El fraude con entradas es solo una parte del problema. Group-IB también
descubrió tiendas de productos falsificados, sitios de streaming fraudulentos
que cobran una suscripción y luego instalan malware que otorga el control al
atacante, y sitios de apuestas falsos que recopilan escaneos de pasaportes y
selfies para el robo de identidad.
Bitdefender rastreó por separado
correos electrónicos de la lotería de la FIFA
que prometían premios de hasta 2 millones de dólares. Group-IB también
identificó un mercado de «phishing como servicio» que vende kits de estafa
listos para usar y bots para comprar entradas, por lo que desmantelar un
operador apenas ayuda.
Las piezas encajan: dominios falsos captan las búsquedas de entradas, los
anuncios y los resultados de búsqueda impulsan el tráfico, el robo de
contraseñas facilita el acceso no autorizado a cuentas, y las aplicaciones
instaladas de forma no autorizada convierten la búsqueda de transmisiones en
un fraude bancario.
Malware bancario oculto en aplicaciones de streaming
Para los aficionados que buscan transmisiones gratuitas de partidos, el mayor
peligro reside en el teléfono.
ThreatFabric detectó
un aumento repentino de aplicaciones de streaming no oficiales maliciosas, muchas de ellas haciéndose pasar por la popular RojaDirecta, durante la
reciente final de la Liga de Campeones, y prevé que se repita una situación
similar en el Mundial, pero a mayor escala.
Kaspersky vinculó
estas mismas aplicaciones con troyanos bancarios para Android,
malware diseñado para robar dinero de aplicaciones bancarias y de
criptomonedas, e identificó dos familias:
Massiv
y
Perseus. Estas aplicaciones no están disponibles en Google Play, por lo que instalar
una implica ignorar las advertencias que normalmente la bloquearían.
Una vez instalado, el malware utiliza las herramientas de accesibilidad de
Android para tomar el control del teléfono. Puede superponer pantallas de
inicio de sesión bancarias falsas sobre aplicaciones reales, registrar lo que
escribe el propietario, interceptar los códigos de un solo uso de los mensajes
de texto y las aplicaciones de inicio de sesión que están destinados a
mantener las cuentas seguras, y controlar la pantalla de forma remota.
Perseus, basado en el código filtrado de un troyano antiguo llamado
Cerberus, incluso lee aplicaciones de notas para obtener contraseñas guardadas y
frases de recuperación de criptomonedas. La señal de alerta más simple, según
ThreatFabric, es una aplicación de streaming que solicita acceso de
accesibilidad. No tiene ninguna razón válida para necesitarlo.
Estafas en redes sociales, accesos robados y Wi-Fi de riesgo
Las redes sociales también están plagadas de estafas. Bitdefender
detectó más de 55 campañas publicitarias con temática futbolística en Facebook
e Instagram, que promocionaban equipos falsificados, pegatinas Panini falsas y
páginas de phishing; dos de estas operaciones de venta de productos se
rastrearon hasta operadores chinos a través de sus etiquetas de seguimiento de
anuncios.
Fortinet contabilizó más de 1.700 cuentas suplantadas de la FIFA, casi el 90%
de ellas en Facebook e Instagram, además de un esquema que utilizaba anuncios
de empleo falsos de la FIFA e invitaciones de calendario para redirigir a los
solicitantes a un inicio de sesión de Google que imitaba al de la FIFA.
Ya circulan credenciales de acceso robadas de la FIFA. Fortinet encontró
cientos de miles de credenciales de usuario, además de más de 4600 direcciones
web de la FIFA, en datos robados por malware de robo de credenciales como
Vidar,
LummaC2, y RedLine.
El Wi-Fi en las ciudades anfitrionas representa un problema en sí mismo. Un
estudio de Kaspersky
realizado en Ciudad de México, Monterrey y Guadalajara reveló que entre el 10%
y el 12% de las redes estaban abiertas y sin contraseña, con la función de
emparejamiento WPS activada en casi la mitad. Esto crea vulnerabilidades que
permiten la creación de puntos de acceso falsos, imitando una red legítima y
leyendo su tráfico sin que se dé cuenta.
¿Qué debes tener en cuenta?
Estas estafas dejan señales claras. Compra solo a través de fifa.com e
introduce la dirección manualmente en lugar de confiar en un anuncio o un
resultado de búsqueda. Activa la autenticación multifactor y desconfía de
cualquier vendedor que solicite el pago en criptomonedas, ya que la venta de
entradas de la FIFA nunca las requiere.
En Android, la señal de alerta más evidente es una aplicación de streaming que
solicita acceso de accesibilidad innecesario. En redes Wi-Fi públicas en las
ciudades sede, utilice datos móviles siempre que sea posible y evite iniciar
sesión en cuentas bancarias o de correo electrónico.
Para los equipos de seguridad, la tarea es sencilla: estar atentos a nuevos
dominios con temática de la FIFA y páginas de inicio de sesión similares,
marcar cualquier inicio de sesión de empleados o clientes que aparezca en los
registros de robo de Vidar, LummaC2 o RedLine, y preparar a los equipos de
prevención de fraude para un aumento repentino de incidencias y contracargos
hasta mediados de julio.
Meta afirma estar tomando medidas. Ahora muestra ventanas emergentes de
advertencia cuando se buscan entradas para la FIFA en Facebook, y se asoció
con Visa para desmantelar una red de Facebook vinculada a sitios web falsos
del Mundial que promovían apuestas fraudulentas. El FBI solicita a quienes
hayan sido víctimas de estafas que lo denuncien ante el IC3.
La mayor preocupación reside en lo que aún está pendiente. Group-IB
contabilizó aproximadamente 3.800 dominios fraudulentos de la FIFA inactivos,
listos para activarse. Con kits de estafa y bots ya disponibles para la venta,
el período de mayor actividad es evidente: del 11 de junio al 19 de julio,
cuando las búsquedas de entradas, transmisiones y viajes alcancen su punto
máximo.
Fuente:
THN