Investigadores de seguridad y el FBI advierten que una oleada de fraude con temática de la FIFA ya está afectando a los aficionados del Mundial 2026, días antes del inicio del 11 de junio.
Informes recientes describen miles de dominios FIFA parecidos, malware bancario oculto dentro de aplicaciones piratas de streaming y al menos una operación que copia la página de inicio de sesión de FIFA lo suficientemente bien como para apoderarse de cuentas reales.
Es un objetivo obvio. Se espera que lleguen más de seis millones de aficionados en 16 ciudades de Estados Unidos, Canadá y México, y la FIFA anunció haber recibido más de 150 millones de solicitudes de entradas en los primeros 15 días, dejando el torneo con una suscripción de alrededor de 30 veces más de la suscripción. Las entradas son escasas, los aficionados están ansiosos y el dinero se mueve rápido, que es exactamente lo que necesita el fraude.
Un operador, 300 sitios FIFA clonados
Los hallazgos más detallados provienen del Grupo IB, que rastreó más de 4.300 dominios FIFA fraudulentos registrados desde agosto de 2025. En el centro hay un grupo al que llama GHOST STADIUM, una operación de habla china y orientada al dinero que utiliza un solo kit de phishing en más de 300 de esos sitios.
El falso es bueno. La página es una copia casi perfecta de fifa.com, y imita el inicio de sesión real de inicio de sesión único de FIFA, gestionado por PingIdentity, hasta el ID genuino del cliente copiado del sitio en directo. Carga sus imágenes directamente desde los propios servidores de FIFA, por lo que la página parece auténtica y se desvía de herramientas que marcan imágenes copiadas.
Aquí está la parte que hace daño: la página de inicio de sesión falsa también pide restablecer la contraseña. Una vez que una víctima introduce sus datos, el atacante puede bloquearla del acceso a su propia cuenta de FIFA y revender cualquier entrada vinculada a ella.
La mayor parte del tráfico proviene de anuncios de Facebook, con los mismos códigos de seguimiento reutilizados en todo el grupo, además de enlaces en Telegram, WhatsApp y en los resultados de búsqueda. El sitio acepta pagos de cinco maneras diferentes: entrada directa con tarjeta, pasarelas de pago externas, aplicaciones de transferencia de dinero como Chime y Nequi, procesadores solo para México y una opción cripto que convierte un pago con tarjeta en criptomoneda, que es mucho más difícil de recuperar.
Esa última es una pista útil, porque la venta oficial de entradas de FIFA nunca acepta criptomonedas, así que cualquier vendedor que la pida es una estafa.
Group-IB sitúa las pérdidas solo por fraude en primas y entradas de hostelería entre 71 y 474 millones de dólares, y afirma que toda la campaña podría sumar miles de millones. Esas son estimaciones basadas en la infraestructura que puede ver, no en pérdidas confirmadas.
Miles de dominios, muchos tipos de estafas
No es solo el Grupo IB. FortiGuard Labs contabilizó más de 13.000 dominios con temática de la Copa del Mundo registrados entre enero y mayo, aproximadamente el 8,8% de ellos maliciosos o sospechosos.
El aviso del FBI enumera decenas de dominios falsos de FIFA, desde imitaciones mal escritas hasta páginas de empleos de FIFA falsas, y advierte que vienen más. Otros investigadores han mapeado miles de sitios similares y más de mil cuentas sociales falsas.
El fraude en tickets es solo una parte. Group-IB también encontró tiendas de productos falsos, sitios de streaming falsos que cobran una suscripción y luego instalan malware que entrega el control al atacante, y sitios de apuestas falsos que recopilan escaneos de pasaportes y selfies para robo de identidad.
Bitdefender rastreó por separado los correos electrónicos de la lotería FIFA prometiendo pagos de hasta 2 millones de dólares. Group-IB también señaló un mercado de «phishing como servicio» que vende kits de estafa ya hechos y bots de compra de entradas, por lo que eliminar a un operador apenas ayuda.
Las piezas encajan: los dominios falsos detectan las búsquedas de tickets, los anuncios y resultados de búsqueda empujan el tráfico, el volcado de contraseñas robadas alimenta la toma de control de cuentas y las aplicaciones sideloaded convierten la búsqueda de streams en fraude bancario.
Malware bancario oculto en aplicaciones de streaming
Para los aficionados que buscan retransmisiones gratuitas de partidos, el mayor peligro está en el teléfono. ThreatFabric experimentó un repunte en aplicaciones de streaming no oficiales maliciosas, muchas haciéndose pasar por la popular RojaDirecta, alrededor de la reciente final de la Champions League, y espera repetir el Mundial a mayor escala.
Kaspersky vinculó esas mismas aplicaciones con troyanos bancarios Android, malware diseñado para drenar dinero de las aplicaciones bancarias y cripto, y nombró dos familias: Massiv y Perseus. Estas aplicaciones no están en Google Play, así que instalar una significa pasar por alto las advertencias que normalmente la bloquearían.
Una vez instalado, el malware utiliza las herramientas de accesibilidad de Android para apoderarse del teléfono. Puede poner pantallas falsas de inicio de sesión bancario sobre aplicaciones reales, registrar lo que escribe el propietario, interceptar los códigos de un solo uso de mensajes de texto y aplicaciones de inicio de sesión que están destinadas a mantener las cuentas seguras, y controlar la pantalla desde lejos.
Perseus, basado en el código filtrado de un troyano antiguo llamado Cerberus, incluso lee aplicaciones para tomar notas para encontrar contraseñas guardadas y frases de recuperación de criptomonedas. La señal de alerta más sencilla, dice ThreatFabric, es una aplicación de streaming que pide acceso a accesibilidad. No tiene ninguna razón honesta para necesitarlo.
Estafas sociales, accesos robados y Wi-Fi arriesgado
Las redes sociales están igual de llenas de estafas. Bitdefender encontró más de 55 campañas publicitarias temáticas de fútbol en Facebook e Instagram, promocionando kits falsificados, pegatinas de Panini falsas y páginas de phishing; dos de las operaciones de mercancías se retramaban hasta operadores chinos a través de sus etiquetas de seguimiento publicitario.
Fortinet contabilizó más de 1.700 cuentas de FIFA suplantadas, casi el 90% de ellas en Facebook e Instagram, además de un esquema que utilizaba anuncios de empleo falsos de FIFA e invitaciones en calendario para enviar a los candidatos a un usuario de Google que se pareciera.
Los accesos robados de la FIFA ya están en circulación. Fortinet encontró cientos de miles de inicios de sesión de usuarios, además de más de 4.600 direcciones web FIFA, en datos recogidos por malware que roba credenciales como Vidar, LummaC2 y RedLine.
El Wi-Fi de la ciudad anfitriona es un problema en sí mismo. Una encuesta de Kaspersky que recorrió Ciudad de México, Monterrey y Guadalajara encontró que entre el 10% y el 12% de las redes están abiertas y sin contraseña, con la función de emparejamiento WPS aún activa en casi la mitad. Ambos dejan aperturas fáciles para puntos de acceso «gemelos malvados» rebeldes que copian una red real y leen silenciosamente su tráfico.
Qué hay que vigilar
Estas estafas dejan señales claras. Compra solo a través de fifa.com y escribe la dirección tú mismo en lugar de confiar en un anuncio o un resultado de búsqueda. Activa el inicio de sesión multifactor y trata a cualquier vendedor que quiera un pago en criptomonedas como una estafa, ya que la venta de billetes de la FIFA nunca lo pide.
En Android, la señal de alarma más clara es una app de streaming pidiendo acceso de accesibilidad que no tiene razón para necesitar. En Wi-Fi abierto en las ciudades anfitrionas, mantente en los datos móviles siempre que puedas y evita iniciar sesión en cuentas bancarias o de correo electrónico.
Para los equipos de seguridad, el trabajo es sencillo: vigilar nuevos dominios temáticos de FIFA y páginas de inicio de sesión similares, marcar cualquier inicio de sesión de personal o cliente que aparezca en los registros de robos de Vidar, LummaC2 o RedLine, y preparar a los equipos de fraude para picos de tickets y devoluciones de cargo hasta mediados de julio.
Meta dice que también está respondiendo. Ahora muestra avisos emergentes cuando la gente busca entradas para la FIFA en Facebook, y se asoció con Visa para derribar una red de Facebook vinculada a sitios falsos de la Copa del Mundo que promovían apuestas falsas. El FBI pide a cualquiera que haya sido estafado que lo denuncie en IC3.
La mayor preocupación es qué sigue esperando. Group-IB contabilizó aproximadamente 3.800 dominios FIFA fraudulentos estacionados y sin usar, listos para activarse. Con kits de estafa y bots ya listos a la venta, la ventana concurrida es fácil de anticipar: del 11 de junio al 19 de julio, cuando las búsquedas de entradas, reproducciones y viajes estarán en su punto álgido.
Fuente: The Hacker News
