La compañía de ciberseguridad ESET alertó este martes sobre la circulación de sitios falsos que se hacen pasar por la FIFA para estafar a usuarios interesados en adquirir entradas y productos relacionados con la Copa Mundial de Fútbol 2026.
La empresa identificó al menos cinco páginas fraudulentas que utilizan diseños similares a los oficiales para obtener datos personales, contraseñas e información bancaria de las víctimas. Según ESET, estos portales pueden aparecer en anuncios patrocinados de Google, publicaciones en redes sociales o incluso ser compartidos mediante correos y mensajes.
“Si bien informan desde FIFA (ente organizador del evento) que los boletos para todas las fases del torneo están “disponibles exclusivamente en FIFA.com/tickets”, desde ESET encontramos cinco sitios falsos que se hacen pasar por el sitio oficial de Copa del Mundo 2026 de la FIFA”, comentó Mario Micucci, investigador de Seguridad Informática de ESET Latinoamérica para un comunicado de la institución.
Uno de los sitios detectados es “fifa26.shop”, una página que replica casi por completo el diseño oficial de FIFA y utiliza una técnica conocida como “typosquatting”, que consiste en crear dominios con nombres muy parecidos a los originales para confundir a los usuarios.
La empresa advirtió que, si una persona ingresa información bancaria en estos portales, los datos quedan expuestos a ciberdelincuentes y las compras nunca se concretan.
De acuerdo con la investigación, la página falsa copia colores, pestañas, formularios y hasta el flujo de navegación del portal legítimo. Además, solicita a las personas registrarse para supuestamente comprar entradas o artículos deportivos.
Otro de los sitios identificados es “26-fifa.com”, el cual también imita la apariencia de la web oficial y pide a las víctimas ingresar nombre completo, correo electrónico, número telefónico y contraseña.
ESET explicó en el escrito que el robo de credenciales puede derivar en ataques de identidad, especialmente porque muchas personas reutilizan las mismas claves en distintas plataformas digitales.
La compañía también detectó otros dominios fraudulentos con extensiones como “.site”, “.store” y “.shop”, utilizados para aparentar legitimidad y reforzar la idea de que se trata de páginas oficiales de venta.
“A simple vista, las víctimas pueden interpretar estas URLs como legítimas, especialmente porque los dominios falsos incluyen la palabra “fifa”, un recurso frecuente en campañas de suplantación de identidad.”, agregó Micucci.
Según ESET, este tipo de campañas se vuelve más frecuente durante eventos masivos y de alta exposición mediática como la Copa Mundial, debido al interés de miles de aficionados por conseguir entradas o promociones.
La propia FIFA advirtió en su sitio web sobre los riesgos de adquirir boletos fuera de sus canales oficiales. El organismo indicó que las entradas compradas en sitios no autorizados o redes sociales podrían ser falsas y no ser aceptadas en los estadios.
Como medida preventiva, ESET recomendó verificar cuidadosamente las direcciones web, evitar ingresar desde enlaces patrocinados y desconfiar de ofertas “demasiado buenas para ser verdad”, especialmente aquellas que prometen accesos VIP o descuentos exclusivos.
“Los casos encontrados son la clara muestra de una tendencia cada vez más preocupante frente a eventos masivos, los sitios falsos ya no son páginas rudimentarias, improvisadas o fáciles de detectar: hoy replican diseños, experiencias de usuario y flujos de compra completos para parecer legítimos y reducir las sospechas de las víctimas”, concluyó Micucci.
