Ciberdelincuentes venden entradas, mercancía y paquetes de viaje falsos a días del Mundial 2026

A semanas del inicio del Mundial 2026, el FBI advirtió que ciberdelincuentes están desplegando sitios falsos para vender entradas, mercancía y paquetes de hospitalidad inexistentes, una maniobra que busca robar datos personales y financieros de los aficionados antes del torneo que comenzará el 11 de junio en Ciudad de México, según CyberNews y KHOU 11.

La escala de la operación creció con rapidez. Solo en abril se detectaron 9.741 dominios fraudulentos vinculados al Mundial, cinco veces más que el pico registrado durante Qatar 2022, según Augusto Morales de Check Point Technologies.

El ritmo siguió en ascenso en mayo: se registraron 3.056 nuevos dominios solo en las primeras dos semanas del mes, aseguró Morales en Telemundo 51. El mismo reporte señaló que inicialmente se habían identificado al menos 4.300 sitios falsos relacionados con el torneo y que luego la cifra casi se duplicó.

La advertencia central para los aficionados es directa: los sitios fraudulentos imitan la web oficial de FIFA para captar nombres, domicilios, teléfonos, correos electrónicos e información bancaria, según el FBI. La agencia federal también indicó que esos datos pueden usarse después para abrir cuentas a nombre de la víctima, cometer fraude y lanzar ataques de suplantación de identidad.

Estafadores copian la web oficial y explotan errores mínimos

El FBI identificó al menos 36 dominios fraudulentos que suplantan a fifa.com, aunque investigaciones más amplias encontraron miles de páginas de ese tipo, según CyberNews. De acuerdo con la misma publicación, muchos de esos sitios recurren al “typosquatting”, una técnica que aprovecha errores comunes de escritura para redirigir a los usuarios hacia direcciones casi idénticas a la original.

La agencia explicó que los ciberdelincuentes alteran mínimamente la dirección, con faltas de ortografía o dominios distintos, como usar .org en lugar de .com, según CyberNews. También pueden crear subdominios falsos para aparentar legitimidad y engañar a quienes buscan entradas, productos oficiales o servicios asociados al torneo.

Uno de los actores descritos en la investigación de Group-IB, citada por CyberNews, es GHOST STADIUM, un operador de habla china con fines financieros que habría desplegado una campaña de phishing sobre más de 300 dominios. La firma sostuvo que ese grupo construyó una réplica exacta del sitio oficial de FIFA, con un flujo falso de autenticación de inicio de sesión único y soporte en 11 idiomas.

Morales sostuvo en Telemundo 51 que muchos de esos portales “ofrecen descuentos muy importantes”, además de boletos para estadios, mercancía, plataformas de apuestas y sistemas de pago, con el objetivo principal de “robar la información y robar los datos personales de los usuarios”. Según el especialista de Check Point Technologies, el uso de inteligencia artificial aceleró esa expansión y permitió extender los ataques con menos recursos.

FIFA solo distribuye entradas por su web oficial y una aplicación

La propia FIFA establece que las entradas para el Mundial solo deben comprarse a través de FIFA.com/tickets. El organismo también precisa que todos los boletos del torneo serán móviles y se entregarán exclusivamente mediante la aplicación oficial FWC2026 Mobile Tickets para Android y iOS.

De acuerdo con FIFA, las entradas no se enviarán por correo electrónico, no podrán descargarse como documentos y no son equivalentes a boletos electrónicos tradicionales. El organismo añadió que las capturas de pantalla o fotografías de las entradas no serán aceptadas para ingresar a los estadios.

Esa información delimita una señal de alerta clave para los consumidores: si un supuesto vendedor ofrece boletos fuera de la web oficial o por canales alternativos, la operación no coincide con el sistema oficial de entrega descrito por FIFA.

La organización también indicó que quienes tengan entradas para varios partidos podrían recibirlas en momentos distintos, lo que no implica un problema con la compra.

El FBI recomendó escribir directamente “www.fifa.com” en la barra del navegador en vez de llegar al sitio mediante buscadores, según CyberNews y KHOU 11. Si se usa un motor de búsqueda, la agencia pidió evitar los resultados patrocinados, porque los estafadores pueden pagar anuncios para desviar tráfico hacia páginas falsas.

El especialista Morales añadió que conviene limitarse a los canales oficiales de FIFA y de las ciudades sede, y desconfiar de mensajes recibidos por Telegram, WhatsApp o iMessage que prometan promociones.

También advirtió sobre las tácticas de urgencia: “80% compra ya free shipping y ahí es cuando nosotros como seres humanos, llevados por el instinto y por la emoción, caemos en este tipo de estafa”.

Los expertos también recomendaron verificar que la página use conexiones seguras, evitar pagos por transferencias directas o aplicaciones de dinero entre personas, y revisar con cuidado la dirección web antes de ingresar datos personales o bancarios.

Para denunciar un fraude en línea o actividad sospechosa, el FBI indicó que las víctimas pueden acudir al Internet Crime Complaint Center (en www.ic3.gov) y aportar el dominio falso, una descripción de la interacción y los detalles de cualquier transacción financiera, según CyberNews.