Cada cuatro años, el Mundial de la FIFA capta la atención de miles de millones de personas. Esta atención genera oportunidades, no solo para patrocinadores, emisoras y comerciantes legítimos, sino también para los ciberdelincuentes, quienes ven en este evento un terreno fértil para las estafas.
Con la inminencia del Mundial de la FIFA 2026, Check Point® Software Technologies Ltd. (NASDAQ: CHKP), pionero y líder global en soluciones de ciberseguridad, advierte sobre los primeros indicios de ciberestafas. En tan solo dos meses, desde el 1 de agosto de 2025, más de 4300 dominios recién registrados, que hacen referencia a la FIFA, al Mundial o a las ciudades sede, han aparecido en internet. A primera vista, muchos de estos dominios parecen inofensivos. Sin embargo, al analizarlos en conjunto, revelan una estrategia mucho más elaborada. Aparecen de forma sincronizada, no de manera aleatoria; se agrupan en torno a un pequeño número de registradores de dominio en lugar de distribuirse ampliamente; y comparten patrones de nomenclatura e infraestructura DNS, como si fueran generados por un mismo script.
Estos dominios representan fragmentos de una infraestructura preparada con la intención de obtener beneficios. Algunos están diseñados para anunciar entradas falsas que nunca se entregarán, otros prometen transmisiones en directo que en realidad contienen malware, y otros ofrecen productos que están destinados a ser falsificados. Lo que resulta aún más preocupante es la evidencia de ataques sistemáticos: redes de bots preparadas para colapsar los sistemas de venta de entradas, modelos de precios manipulados mediante la demanda artificial y mercados clandestinos que ofrecen herramientas y técnicas para cometer fraudes. En esta fase, lo que se observa no es el fraude en sí, sino la infraestructura que se está montando discretamente en el entorno del torneo.
Dinámica del registro de dominios
Una de las señales más claras de coordinación se observa en el aspecto temporal. Los datos revelaron que casi 1500 dominios se registraron en un breve periodo, entre el 8 y el 12 de agosto de 2025, con otro pico de actividad a principios de septiembre. Este patrón es incompatible con la actividad espontánea de los aficionados y sugiere, más bien, la adquisición masiva y automatizada de dominios. También se detectó la estrategia de maduración de dominios. Varios dominios se registraron no solo para el Mundial de 2026, sino también para ediciones futuras, como las de 2030 y 2034. Estos registros, que permanecen inactivos durante años, tienen como objetivo generar una apariencia de legitimidad antes de su activación, una táctica común en las campañas fraudulentas dirigidas a marcas.
Concentración de registradores y extensiones de dominio
Los registros fraudulentos no se distribuyen uniformemente entre los diferentes registradores. La mayoría de los dominios se concentraban en un pequeño número de registradores, principalmente GoDaddy, Namecheap, Gname, Dynadot y Porkbun. Estos proveedores son populares por su gran capacidad, sus promociones de precios y la facilidad para automatizar procesos masivos. La distribución de las extensiones de dominio sigue un patrón similar. El dominio .com domina el mercado, representando más de la mitad de los casos, mientras que una gran cantidad de extensiones de bajo coste, como .online, .shop, .store y .football, ofrecen alternativas económicas para quienes buscan expandir sus operaciones fraudulentas.
Segmentación geográfica y lingüística
Los datos geográficos indican una segmentación intencionada, tanto para audiencias globales como para mercados locales. Los dominios que hacían referencia a países anfitriones (EE. UU., México, Canadá) y ciudades anfitrionas (Dallas, Miami, Toronto, Vancouver, Ciudad de México) eran frecuentes, diseñados para mejorar el posicionamiento SEO y generar credibilidad entre los viajeros. La segmentación lingüística refuerza esta estrategia: el inglés predomina en las estafas de streaming dirigidas a un público global, el español y el portugués se utilizan ampliamente en fraudes relacionados con entradas y merchandising dirigidos a aficionados latinoamericanos, y el francés aparece en grupos más pequeños, probablemente dirigidos a aficionados europeos.
Atractivos temáticos
Los dominios se centran en tres tipos principales de estafas: venta de entradas falsas, transmisión ilegal de eventos y venta de productos falsificados. Algunos grupos de dominios se dedicaban a un solo tema, como fifa2026ticketsmiami.com, mientras que otros combinaban varios elementos en un mismo dominio, por ejemplo fifa2026tickets-streamlive.com. Este último caso sugiere el uso de plantillas predefinidas, que permiten a los estafadores variar el contenido manteniendo una estructura uniforme.
Términos relacionados con la transmisión en streaming («HD», «ver en directo», «gratis») eran comunes, aunque los dominios relacionados con la venta de entradas, si bien eran menos frecuentes, resultaban más perjudiciales económicamente, dada la elevada cuantía de las pérdidas por víctima. Los dominios que vendían productos como camisetas, equipaciones y ropa deportiva estaban disponibles en varios idiomas, principalmente español y portugués.
Ejemplos de sitios web fraudulentos con temática de la FIFA 2026, utilizados como anzuelo para engañar a los usuarios.
Superposición de infraestructura
El análisis de los registros DNS reveló el uso repetido de servidores de nombres idénticos en diferentes grupos de dominios, lo que sugiere que no se trata de decenas de actores independientes, sino de un pequeño número de operadores semiprofesionales que gestionan un gran número de dominios. Esta superposición, junto con los registros sincronizados y los patrones léxicos similares, respalda la hipótesis de una actividad coordinada.
Campañas en múltiples plataformas
Los dominios por sí solos no explican el riesgo. Su verdadero potencial radica en su difusión a través de diversas plataformas. En canales de Telegram ya se han detectado anuncios de entradas falsas y camisetas piratas. Los foros de la dark web siguen ofreciendo entradas fraudulentas y herramientas para realizar estafas de phishing o fraudes con tarjetas de crédito, todo ello bajo la marca de la FIFA. Se prevé que las páginas de redes sociales, que a menudo se hacen pasar por canales oficiales, redirijan el tráfico a estos dominios, mientras que los anuncios maliciosos en los resultados de búsqueda podrían superar en relevancia a las propias páginas web de la FIFA. Lo que surge no es un conjunto de estafas aisladas, sino un ecosistema de distribución de fraudes, que abarca desde el registro de dominios hasta los mercados clandestinos y las redes sociales convencionales.
Abuso de la venta de entradas y tácticas avanzadas
Quizás lo más preocupante sean las amenazas sistémicas a la infraestructura de venta de entradas de la FIFA. Hay indicios de que se están preparando redes de bots para saturar las plataformas de venta, adquirir entradas en masa y revenderlas a precios inflados. Estos picos de demanda generados por bots también interfieren con los algoritmos de precios dinámicos, lo que provoca que los aficionados legítimos tengan que pagar precios más altos. Paralelamente, vendedores de la dark web ofrecen abiertamente kits de bots, redes de servidores proxy y guías para eludir los sistemas de seguridad de la FIFA. El caso judicial de la FTC contra Live Nation/Ticketmaster en septiembre de 2025 demuestra cómo la automatización de la reventa ha desestabilizado las principales plataformas de venta de entradas y pone de manifiesto la vulnerabilidad de eventos con alta demanda, como el Mundial, ante este tipo de abusos.
Panorama de riesgos
Las implicaciones de estos hallazgos afectan a diversos actores. Los aficionados están expuestos a fraudes de alto valor, como la venta de entradas falsas, el robo de credenciales durante la preventa y la distribución de contenido malicioso. La FIFA y sus patrocinadores se enfrentan a la erosión de la marca, pérdidas económicas por la venta de productos falsificados y daños a su reputación, lo que podría afectar a sus canales oficiales. Las ciudades y los recintos sede también se ven involucrados, ya que las estafas geolocalizadas ofrecen a los viajeros ofertas fraudulentas relacionadas con alojamiento, transporte y servicios. Por último, el ecosistema de internet en general (registradores de dominio, redes publicitarias, plataformas de mensajería) corre el riesgo de ser utilizado para la difusión de campañas fraudulentas.
Recomendaciones
Los datos indican la existencia de un ecosistema de fraude preactivo que ya está operativo y a la espera del momento oportuno. Check Point Software Technologies Ltd recomienda que las medidas de mitigación deben comenzar ahora, no en 2026. Es fundamental el monitoreo continuo de las combinaciones FIFA + año + ciudad en varios idiomas, con la colaboración de registradores de dominio para la rápida eliminación de dominios fraudulentos. Los registradores más vulnerables, como GoDaddy y Namecheap, deben implementar procesos de verificación y respuesta a abusos más estrictos. La recopilación de información en diferentes plataformas (Telegram, foros de la dark web, plataformas publicitarias) es esencial para detectar los canales de distribución.
Los sistemas de venta de entradas deben reforzarse contra la automatización. Se deben implementar medidas de detección de comportamiento y protección contra bots durante la preventa y el sorteo, para identificar las actividades sospechosas. La FIFA y sus socios deben implementar estrategias proactivas de optimización de motores de búsqueda y publicidad, promocionando dominios y anuncios verificados con antelación para contrarrestar la publicidad fraudulenta.
Finalmente, los aficionados también deben estar atentos, ya que el factor humano suele ser el eslabón más débil. Algunas medidas prácticas incluyen:
- Comprar las entradas únicamente a través de canales oficiales: La FIFA publicará los canales de venta autorizados. En caso de duda, verifique la información en el sitio web oficial de la FIFA.
- Tenga cuidado con los enlaces: Los correos electrónicos falsos con información sobre la «tarjeta de aficionado» o las «actualizaciones del calendario» son comunes en las estafas. No haga clic en enlaces o archivos adjuntos sospechosos.
- Verifique el nombre de dominio: Las páginas web fraudulentas suelen usar nombres de dominio con errores ortográficos sutiles (por ejemplo, fifaw0rldcup2026.com). Revise siempre la URL.
- Evite ofertas que parezcan demasiado buenas para ser verdad: Las promesas de entradas garantizadas, acceso anticipado o grandes descuentos suelen ser señales de alerta.
- Utilice herramientas de seguridad: Mantenga actualizados su navegador, antivirus y software de seguridad para bloquear sitios web maliciosos, intentos de phishing y anuncios fraudulentos.
El Mundial de 2026 aún no ha comenzado, pero su sombra fraudulenta ya se vislumbra. En los márgenes digitales del torneo, se está gestando una economía paralela: dominios registrados de forma coordinada, con una infraestructura común, que esperan ser promocionados a través de canales de Telegram, mercados en la dark web, campañas en redes sociales y publicidad pagada.
En este contexto, el fraude no es un oportunismo improvisado, sino que está planificado y ejecutado con la misma precisión y a la misma escala que el propio torneo. Para la FIFA, los patrocinadores y las ciudades anfitrionas, el reto es garantizar la seguridad en el entorno digital antes del inicio del evento. Para los aficionados, la responsabilidad radica en tener precaución: la atractiva oferta de entradas baratas o transmisiones gratuitas puede esconder una trampa. El Mundial de 2026 debería ser recordado por sus goles y su espectacularidad, no por las estafas que dejaron a millones de aficionados sin poder disfrutarlo.
