Tenga cuidado con los sitios web falsos de la Copa Mundial que imitan los flujos oficiales de entradas y mercancías para robar dinero y datos personales.
22 de mayo de 2026
•
,
5 min. leer
A medida que se acerca la Copa Mundial de la FIFA 2026™ en Estados Unidos, Canadá y México, la anticipación aumenta. Es posible que muchos aficionados al fútbol todavía estén buscando entradas, mercancías, paquetes de viaje y hospitalidad, y los estafadores saben exactamente cómo explotar esta demanda. En otras palabras, muchas personas ya se encuentran en el estado de ánimo con el que cuentan los estafadores: interesados, impacientes y, de hecho, tal vez un poco preocupados de que las entradas u otros productos se agoten. Que es, en última instancia, lo que hace que estas estafas sean tan efectivas.
Los investigadores de ESET en América Latina detectaron recientemente una serie de sitios web creados para este preciso momento. Haciéndose pasar por la asociación de la FIFA o el sitio web oficial de la Copa Mundial, los sitios impostores se dirigen a personas que buscan entradas y mercancías, y luego las guían a través de flujos de registro y pago falsos que roban su dinero y datos personales. La serie de pasos suele ser la misma que en el sitio web original de la Copa del Mundo: registrarse, agregar entradas para un juego, camisetas u otros productos al carrito y pagar.
Algunas víctimas pueden llegar a estos sitios web a través de resultados de búsqueda patrocinados, mientras que otras hacen clic en anuncios en las redes sociales o en enlaces en mensajes de correo electrónico reenviados por alguien que no verificó la dirección correctamente. Cualquiera que sea el escenario, esto es lo que debe saber sobre los sitios web falsos con temas de la FIFA y la Copa Mundial, y cómo evitar marcar un ‘gol en propia meta’.
Primera muestra
Uno de los sitios falsos, alojado en https://***fifa26[.]comercioutiliza un dominio que parece lo suficientemente cercano a la FIFA y la Copa del Mundo de 2026 para atrapar a un visitante apresurado. De hecho, muchos sitios creados en el período previo a eventos importantes se basarán en un truco común conocido como typosquatting, que involucra un nombre de dominio que se parece mucho al legítimo, pero contiene pequeñas adiciones o implica otros cambios en el nombre de dominio que la víctima a menudo no notará.
Sin embargo, el engaño no termina ahí. El sitio también copia la apariencia del sitio oficial de la FIFA, incluidos los colores, el diseño, la navegación y el flujo de venta de entradas, todo para que la víctima sienta que la experiencia es legítima.
Y aquí, a modo de comparación, está el sitio web legítimo:
Pero volvamos al sitio web falso: esto es lo que sucede si desea “comprar” entradas o mercancías. Al igual que el sitio oficial de la FIFA, el sitio impostor también te pide que te registres. Si espera crear una ID de FIFA antes de comprar entradas, un formulario de registro falso puede no parecer extraño al principio. También solicita lo habitual, como su nombre, dirección de correo electrónico y número de teléfono. Nada de esto parece inusual si crees que estás en el sitio web oficial de la FIFA.
Mientras tanto, la Figura 5 muestra el paso de registro en el sitio web oficial.
El sitio web falso también ofrece lo que parece ser mercancía oficial. El objetivo es mantenerlo dentro de una rutina de compras familiar el tiempo suficiente para que la página de pago parezca el siguiente paso esperado.
Te permite seleccionar cualquier producto y añadirlo al carrito de la compra:
Una vez que ingresas los detalles de tu tarjeta, va directamente a las personas detrás del sitio falso y, por supuesto, no hay ninguna camiseta proveniente de la FIFA.
El flujo de tickets funciona de la misma manera. Después del registro, el sitio falso le permite seleccionar supuestos partidos de la Copa Mundial, avanzar hacia el proceso de pago y llegar a una página de pago.
Podrás elegir el partido deseado, en cualquier fase del torneo:
Y luego conduce al carrito de compras. Una vez ingresados en el formulario, sus datos de pago llegarían a manos del ciberdelincuente detrás del sitio falso.
La pérdida obvia es el dinero, pero la pérdida más silenciosa son los datos financieros y de identidad. Los atacantes pueden hacer un uso indebido de un nombre completo, una dirección de correo electrónico, un número de teléfono y una contraseña reutilizada más allá de cualquier sitio web fraudulento. Si la misma contraseña abre su correo electrónico o su cuenta de redes sociales, el registro falso de la FIFA puede convertirse en el primer paso de otro ataque, y muy posiblemente incluso más dañino.
Cuatro sitios más que hablan del mismo tema
Otro sitio falso https://****26-fifa[.]comsigue el mismo patrón. El dominio tiene como tema la Copa Mundial, el sitio utiliza imágenes de la FIFA y se empuja al visitante a registrarse antes de ofrecerle supuestos boletos y productos.
Los sitios web falsos de la Copa del Mundo en general, incluidas las pestañas del menú y otras señales visuales, están diseñados para parecerse lo más posible a los oficiales. Los nombres de dominio de nivel superior también importan: un dominio .shop o .store puede hacer que un sitio web falso parezca una rama minorista, especialmente cuando el resto de la dirección URL contiene «fifa» y todo lo relacionado con el sitio parece pulido.
Tácticas para mantenerse a salvo
Fundamentalmente, La FIFA lo ha dejado claro que las entradas para el Mundial sólo se pueden comprar a través de tres canales oficiales – fifa.com/tickets, fifa.com/hospitalityy paquetes de viaje especiales de Qatar Airways (que en realidad pueden estar agotados a estas alturas). De ello se deduce entonces que es mejor mantenerse alejado de varios vendedores externos o listados de redes sociales.
- Ir a Sitio web oficial de la FIFA directamente. Escriba la dirección usted mismo; es decir, empezar desde FIFA.com o Portal de venta de entradas de la FIFAno de un anuncio, una publicación en las redes sociales o un enlace que alguien le haya enviado.
- Mire de cerca el nombre de dominio antes de ingresar cualquier información. Caracteres adicionales, palabras, finales extraños y casi coincidencias podrían ser la única pista visible de que el sitio no es lo que dice ser.
- Tenga cuidado con las ofertas basadas en la presión: “boletos limitados”, “acceso VIP”, “descuentos”, “última oportunidad” o cualquier cosa que lo apresure a actuar y haga que la verificación parezca un retraso que no puede permitirse.
- Evite reutilizar contraseñas. Si una página de registro falsa roba una contraseña que también utiliza para su correo electrónico, redes sociales o cuenta bancaria, el problema podría seguirle mucho más allá del sitio falso.
- Y no dejes que un flujo de pago te tranquilice. Un carrito que funcione y un formulario de pago no prueban que el vendedor sea legítimo.
- Proteja todas sus cuentas con contraseñas únicas y seguras y autenticación de dos factores, además de utilizar software de seguridad en todos sus dispositivos.
La cuenta atrás para el Mundial ofrece a los delincuentes un público ya preparado: innumerables personas en busca de entradas, mercancías y diversas oportunidades de último momento. Los sitios falsos de la FIFA muestran cómo esa demanda se está convirtiendo en un flujo de phishing, un clic familiar a la vez. ¡Mantenerse seguro!
Acerca del autor
