Ciberestafas en tiempos del mundial: las amenazas más peligrosas para los hinchas

Mario Micucci, especialista de ESET, revela las ciberestafas más peligrosas del Mundial 2026.

El fútbol mueve masas, pero en la era digital, también mueve arquitecturas enteras de cibercrimen. A las puertas de que ruede el balón en las sedes de Estados Unidos, México y Canadá, la expectativa de los aficionados no es lo único que va en aumento. Las firmas de seguridad informática reportan un crecimiento exponencial en el registro de infraestructuras maliciosas diseñadas específicamente para aprovechar la urgencia, la pasión y la distracción de los hinchas.

Conversamos con Mario Micucci, Especialista en Seguridad Informática de ESET Latinoamérica, quien desglosó el panorama de las amenazas activas en este momento. Desde páginas web clonadas con un nivel de diseño milimétrico hasta el uso operativo de inteligencia artificial para eludir los filtros de seguridad tradicionales, el entorno digital del torneo exige una postura de máxima sospecha.

Más sobre ciberestafas: Estos sitios falsos están robando a los que quieren ver el Mundial 2026

Sitios falsos y la suplantación de la FIFA

La venta de entradas y la adquisición de productos oficiales constituyen el principal vector de ataque en la actualidad. Los laboratorios de ESET han detectado múltiples plataformas fraudulentas que imitan la identidad de los canales oficiales de la FIFA para capturar flujos de datos financieros y credenciales de acceso.

“Identificamos al menos cinco páginas apócrifas que imitan la estética del sitio oficial y simulan procesos de compra vinculados con entradas, merchandising o productos del torneo, con el objetivo de robar datos personales, datos bancarios y dinero de los fanáticos”.

Estas plataformas se distribuyen a través de campañas de optimización en buscadores mediante enlaces patrocinados, anuncios segmentados en redes sociales y cadenas de mensajería instantánea. El portafolio de engaños abarca desde la oferta de paquetes de alojamiento inexistentes hasta la preventa de boletos inválidos fuera de los circuitos autorizados.

Otras recomendaciones de ciberseguridad: ¿Tus datos están fuera de control? El plan para que dejes de ser un espectador en la red

El costo real de las transmisiones gratuitas en internet

El consumo de partidos a través de plataformas de streaming no autorizadas o la descarga de aplicaciones móviles fuera de las tiendas oficiales representa un riesgo crítico para la integridad de los dispositivos. Estos servicios se monetizan mediante la inyección de código malicioso, redirecciones forzadas y la instalación silenciosa de extensiones de navegador comprometidas.

• Permisos abusivos en móviles: Aplicaciones que exigen acceso a la superposición de pantalla, almacenamiento, contactos y notificaciones para habilitar el reproductor de video.
• Captura de credenciales: Formularios obligatorios de registro que recolectan correos electrónicos y contraseñas reutilizadas por los usuarios.
• Infección por malware: Descargas camufladas como actualizaciones críticas del sistema o complementos de video indispensables.

El factor de la inteligencia artificial: Correos perfectos y deepfakes de celebridades

Una de las transformaciones más notables en la ejecución del phishing moderno es la desaparición de los indicadores tradicionales de fraude, como la mala ortografía o las traducciones automáticas defectuosas. El uso de herramientas de IA generativa por parte de los atacantes permite estructurar comunicaciones institucionales impecables en múltiples variantes lingüísticas.

Los correos electrónicos actuales presentan un branding corporativo de alta fidelidad, firmas profesionales verificables y argumentos de urgencia técnica altamente plausibles, como supuestos problemas en el procesamiento de los métodos de pago de las entradas.

Datos para fans del fútbol: ¿Fútbol gratis? YouTube y la FIFA sacuden todo antes del Mundial 2026

“Hoy la pregunta no debe ser solo ‘¿está bien escrito?’, sino: ‘¿el dominio es legítimo?’, ‘¿yo inicié esta operación?’, ‘¿me está apurando?’, ‘¿me pide pagar o ingresar datos?'”.

A este escenario se suma la proliferación de contenidos multimedia manipulados mediante deepfakes. El uso no autorizado de la imagen y voz de figuras de la talla de Lionel Messi, Cristiano Ronaldo o Kylian Mbappé para promover plataformas de inversión fraudulentas, sorteos falsos o criptomonedas ligadas al entorno del fútbol ya es una realidad operativa en la región.

Pistas de diseño: Cómo identificar la escasez artificial en la red

A pesar del refinamiento técnico, los sitios web fraudulentos dependen de la presión psicológica para forzar la transacción antes de que la víctima analice el entorno. Micucci destaca que el análisis del comportamiento digital de la página es más efectivo que juzgar únicamente su aspecto visual.

• Descuentos extremos: Rebajas de hasta el 80% o 90% en artículos de alta demanda como camisetas oficiales, álbumes de cromos o sets de construcción coleccionables.
• Cronómetros de presión: Contadores regresivos que se reinician automáticamente al refrescar el navegador, diseñados para inhibir el pensamiento lógico.
• Pasarelas de pago irregulares: Ausencia de procesadores de pago reconocidos, exigiendo transferencias directas, depósitos en criptomonedas o captura directa de los datos de la tarjeta en formularios planos.

La IA como escudo de seguridad en manos del ciudadano

La misma tecnología utilizada para sofisticar los ataques puede ser empleada como una herramienta de auditoría defensiva para el usuario común. La Inteligencia Artificial puede actuar como un filtro analítico primario ante la duda.

Un hábito seguro consiste en suministrar el cuerpo de texto de un correo o mensaje sospechoso —omitiendo rigurosamente cualquier dato personal, código o enlace explícito— a un modelo de lenguaje para solicitarle un análisis de patrones de riesgo, tales como el uso de técnicas de urgencia artificial o inconsistencias en la comunicación. No obstante, estas herramientas deben funcionar como un complemento a las soluciones de software dedicadas, como los gestores de contraseñas, los módulos antivirus y los sistemas de reputación de URLs.

Las tres reglas de oro de ESET para la protección digital

Para mitigar la exposición al fraude financiero y al robo de identidad durante el desarrollo del torneo, la especialización en seguridad informática define tres directrices estrictas de comportamiento digital:

1. Adquisición exclusiva en fuentes oficiales: Las entradas e información de boletería deben gestionarse únicamente a través del sitio web oficial de la organización. Cualquier boleto adquirido fuera de estos canales corre el riesgo de ser inválido o constituir una estafa directa.
2. Escrutinio de ofertas desproporcionadas: Los precios inusualmente bajos en productos premium o el acceso ilimitado y gratuito a servicios licenciados deben ser tratados sistemáticamente como cebos de ingeniería social.
3. Aislamiento de enlaces recibidos: Bajo ninguna circunstancia se deben ingresar credenciales de acceso, números de documentos, pasaportes o datos bancarios en plataformas a las que se accedió mediante un enlace directo de mensajería o correo electrónico. La navegación debe iniciarse siempre escribiendo el dominio oficial directamente en la barra de direcciones del explorador.

El ecosistema criminal opera bajo la lógica del aprovechamiento de las grandes tendencias globales. La seguridad en este contexto depende directamente de la capacidad del aficionado para disociar la emoción del evento deportivo de los protocolos básicos de verificación técnica en sus interacciones digitales.