Investigadores de seguridad y el FBI advierten que una ola de fraudes con temática de la FIFA ya está afectando a los aficionados del Mundial 2026, días antes del pitazo inicial del 11 de junio. Informes recientes describen miles de dominios de la FIFA de apariencia similar, malware bancario oculto en aplicaciones de streaming piratas y al menos una operación que copia la página de inicio de sesión de la FIFA lo suficientemente bien como para apoderarse de cuentas reales. Es un objetivo obvio. Se esperan más de seis millones de aficionados en 16 ciudades de Estados Unidos, Canadá y México, y la FIFA dijo haber recibido más de 150 millones de solicitudes de entradas en los primeros 15 días, lo que deja al torneo con una sobredemanda de aproximadamente 30 veces. Las entradas son escasas, los aficionados están ansiosos y el dinero se mueve rápido, precisamente las condiciones que explotan los estafadores.  ## Un Operador, 300 Sitios de la FIFA Clonados Los hallazgos más detallados provienen de **Group-IB**, que rastreó más de 4.300 dominios fraudulentos de la FIFA registrados desde agosto de 2025. En el centro se encuentra un grupo al que llaman **GHOST STADIUM**, una operación de habla china y orientada al dinero que ejecuta un kit de phishing en más de 300 de esos sitios. La falsificación es muy sofisticada. La página es una copia casi perfecta de fifa.com, imitando el inicio de sesión único (SSO) real de la FIFA, gestionado por **PingIdentity**, hasta el ID de cliente genuino copiado del sitio en vivo. Carga sus imágenes directamente de los servidores de la FIFA, lo que hace que la página parezca auténtica y le permite pasar desapercibida ante herramientas que marcan imágenes copiadas. Crucialmente, la página de inicio de sesión falsa también solicita a los usuarios que restablezcan su contraseña. Una vez que una víctima ingresa sus datos, el atacante puede bloquearla de su propia cuenta de la FIFA y revender cualquier entrada asociada a ella.  La mayor parte del tráfico se origina en anuncios de Facebook, con los mismos códigos de seguimiento reutilizados en todo el clúster, así como enlaces en Telegram, WhatsApp y en resultados de búsqueda. El sitio acepta pagos de cinco maneras diferentes: entrada directa de tarjeta, pasarelas de pago externas, aplicaciones de transferencia de dinero como Chime y Nequi, procesadores exclusivos para México y una opción de criptomoneda que convierte un pago con tarjeta en cripto, que es mucho más difícil de recuperar. Esta última opción es una pista útil, ya que la venta oficial de entradas de la FIFA nunca acepta criptomonedas. Cualquier vendedor que la solicite es una estafa. **Group-IB** estima pérdidas potenciales solo por fraude de entradas premium y de hospitalidad entre 71 y 474 millones de dólares, lo que sugiere que la campaña completa podría ascender a miles de millones. Estas son estimaciones basadas en la infraestructura observada, no en pérdidas confirmadas. ## Más Allá del Phishing: Un Diluvio de Estafas El panorama de amenazas se extiende más allá de los hallazgos de **Group-IB**. **FortiGuard Labs** contó más de 13.000 dominios con temática del Mundial registrados entre enero y mayo, con aproximadamente el 8,8% identificados como maliciosos o sospechosos. El aviso del FBI enumera docenas de dominios falsos de la FIFA, que van desde imitaciones mal escritas hasta páginas de empleo falsas de la FIFA, y advierte que están surgiendo más. Otros investigadores han mapeado miles de sitios de apariencia similar y más de mil cuentas sociales falsas. El fraude de entradas es solo una faceta del problema. **Group-IB** también descubrió tiendas de mercancía falsificada, sitios de streaming falsos que cobran una tarifa de suscripción y luego instalan malware, y sitios de apuestas falsos que recopilan escaneos de pasaportes y selfies para robo de identidad. **Bitdefender** rastreó por separado correos electrónicos de lotería de la FIFA prometiendo premios de hasta 2 millones de dólares. **Group-IB** también señaló un mercado de "phishing como servicio" que vende kits de estafa listos para usar y bots para comprar entradas, lo que hace que las deshabilitaciones de operadores individuales sean en gran medida ineficaces.  Las piezas encajan: dominios falsos capturan búsquedas de entradas, anuncios y resultados de búsqueda dirigen tráfico, volcados de contraseñas robadas alimentan la toma de control de cuentas y las aplicaciones cargadas lateralmente convierten la búsqueda de transmisiones en fraude bancario. ## Malware Bancario al Acecho en Aplicaciones de Streaming Para los aficionados que buscan transmisiones gratuitas de partidos, el mayor peligro a menudo se encuentra en sus dispositivos móviles. **ThreatFabric** observó un pico en aplicaciones de streaming no oficiales maliciosas, muchas imitando a la popular RojaDirecta, en torno a la reciente final de la Liga de Campeones. Anticipan una repetición a mayor escala durante el Mundial. **Kaspersky** vinculó estas mismas aplicaciones a troyanos bancarios de Android, malware diseñado para vaciar dinero de aplicaciones bancarias y de criptomonedas. Identificaron dos familias prominentes: **Massiv** y **Perseus**. Estas aplicaciones no están disponibles en Google Play, lo que significa que su instalación requiere que los usuarios omitan las advertencias de seguridad estándar. Una vez instalados, el malware aprovecha las herramientas de accesibilidad de Android para obtener control del teléfono. Puede superponer pantallas de inicio de sesión bancarias falsas sobre aplicaciones legítimas, registrar pulsaciones de teclas, interceptar contraseñas de un solo uso (OTP) de mensajes de texto y aplicaciones de autenticación, y controlar la pantalla de forma remota.  **Perseus**, notablemente construido sobre el código filtrado de un troyano más antiguo llamado **Cerberus**, incluso lee aplicaciones de toma de notas en busca de contraseñas guardadas y frases de recuperación de criptomonedas. La señal de alerta más simple, según **ThreatFabric**, es una aplicación de streaming que solicita acceso de accesibilidad, para el cual no tiene una razón legítima. ## Ingeniería Social, Credenciales Robadas y Riesgos de Wi-Fi Público Las plataformas de redes sociales también están abarrotadas de estafas. **Bitdefender** encontró más de 55 campañas publicitarias temáticas de fútbol en Facebook e Instagram, promocionando camisetas falsificadas, cromos Panini falsos y páginas de phishing. Dos de las operaciones de mercancía se rastrearon hasta operadores chinos a través de sus etiquetas de seguimiento de anuncios. **Fortinet** contó más de 1.700 cuentas de la FIFA falsificadas, con casi el 90% encontradas en Facebook e Instagram, junto con un esquema que utilizó anuncios de empleo falsos de la FIFA e invitaciones de calendario para dirigir a los solicitantes a una página de inicio de sesión de Google de apariencia similar.  Los inicios de sesión robados de la FIFA ya están circulando. **Fortinet** descubrió cientos de miles de inicios de sesión de usuarios, además de más de 4.600 direcciones web de la FIFA, en datos recopilados por malware roba-credenciales como **Vidar**, **LummaC2** y **RedLine**. Las redes Wi-Fi de las ciudades anfitrionas presentan su propio conjunto de problemas. El Wi-Fi público, especialmente las redes no seguras, puede ser explotado fácilmente por atacantes para interceptar datos, distribuir malware o realizar ataques de intermediario. Los usuarios deben tener extrema precaución y considerar usar una VPN al conectarse a redes públicas.