La empresa de ciberseguridad ESET emitió una alerta global tras detectar cinco sitios web apócrifos que suplantan la identidad de la FIFA con el objetivo de ejecutar fraudes financieros y robo de identidad. Estos portales operan bajo una estructura de espejo, replicando con exactitud el diseño, logotipos y el flujo de registro de la plataforma oficial del Mundial 2026, afectando a usuarios que buscan entradas para el torneo en México, Estados Unidos y Canadá.
Los dominios identificados incluyen extensiones como .shop, .store y .site, táctica que aprovecha la familiaridad de los consumidores con el comercio electrónico para reducir las alertas de seguridad. El proceso de estafa inicia con un registro falso de FIFA ID, donde se solicita el nombre completo, correo electrónico y contraseñas, datos que posteriormente son utilizados para intentos de robo de identidad en otros servicios digitales.
El punto crítico del fraude ocurre en la pasarela de pagos. Los cibercriminales han configurado carritos de compra donde las víctimas seleccionan partidos y mercancía oficial inexistente. Al ingresar los 16 dígitos de la tarjeta bancaria, la fecha de vencimiento y el código CVV, la información es capturada en tiempo real por los atacantes sin que se procese ninguna compra legítima.
De acuerdo con los especialistas, esta campaña utiliza una estrategia de redundancia: registran múltiples variantes del mismo dominio para que, en caso de que una página sea dada de baja, las demás permanezcan activas. Esta logística permite que el fraude sea escalable y resistente a los reportes de las autoridades de telecomunicaciones.
La FIFA ha reiterado que el único canal autorizado para la adquisición de entradas es el portal FIFA.com/tickets. Cualquier otro sitio que ofrezca «accesos VIP» o «ventas exclusivas» fuera de este dominio debe considerarse una amenaza de seguridad. En México, la Guardia Nacional a través de su Dirección General Científica recomienda no realizar depósitos a cuentas de terceros.
La relevancia de este ataque radica en el volumen de usuarios; con 48 selecciones participando por primera vez, la demanda de boletos es histórica. Esto genera un entorno de «urgencia emocional» que los delincuentes aprovechan para que el usuario omita revisar la URL antes de completar transacciones de alto valor económico.
Para evitar el compromiso de cuentas, se recomienda a la ciudadanía activar la autenticación de dos pasos (2FA) en sus correos electrónicos y utilizar tarjetas digitales con CVV dinámico para compras en línea. La prevención es la única barrera efectiva ante una campaña de suplantación que ya circula masivamente en anuncios pagados de redes sociales.
