Los expertos y las agencias de inteligencia más importantes, como el FBI, ya han catalogado el Mundial de Fútbol de 2026 como la superficie de ataque más compleja y grande de toda la historia. Celebrada conjuntamente entre Canadá, México y Estados Unidos, se espera una asistencia presencial de más de 6,5 millones de espectadores, incluyendo un panel con 48 selecciones y más de 100 partidos distribuidos en diferentes ciudades. Adicionalmente, la superficie se amplía aún más para los ciberdelincuentes y las estafas si se tiene en cuenta que la audiencia digital estimada se espera que alcance los 6.000 millones de espectadores, prácticamente la mitad del planeta. En los últimos tiempos, no obstante, este Mundial no es una excepción, sino otro objetivo más para grupos especializados en este tipo de ciberataques, como ya ocurrió con los Juegos Olímpicos de Invierno de Pionyang 2018, cuando el malware conocido como Olimpic Destroyer consiguió congelar todos los sistemas de WiFi, además de la venta de entradas y las redes de transmisión. O con la Copa Mundial de Qatar en 2022, cuando un grupo de amenazas relacionado con China fue capaz de vulnerar la seguridad de un proveedor de telecomunicaciones asociado a las retransmisiones, dirigiéndose a sus routers para la exfiltración de datos. Y suma y sigue, ya que más recientemente, durante la Eurocopa de 2024, la televisión pública polaca sufrió un ataque DDoS que paró completamente las retransmisiones, y ese mismo año, durante los Juegos de París, grupos de ciberdelincuentes hicieron proliferar deepfakes para atacar al Comité Olímpico Internacional. Como el Mundial de Fútbol de este año no es ninguna excepción, tanto firmas de ciberseguridad como organizaciones de inteligencia ya han alertado de las estafas que han identificado, así como de riesgos evidentes para los usuarios, algo que se complica al celebrarse en 3 países diferentes. Enlaces falsos, ventas de entradas fraudulentas y campañas SMS masivas Aunque apenas estamos al comienzo del Mundial, los ciberdelincuentes llevan preparándose meses, e incluso años, para este evento internacional: solo en 2026, se han registrado unos 13.000 dominios con referencias a la FIFA, con un 8,8% de enlaces maliciosos o bajo sospecha, según los datos de investigaciones de Meta y el FBI. En tal caso, los ciberdelincuentes están aprovechando para suplantar la web oficial de la FIFA, la organización que gestiona todo el evento, con la conocida técnica de typosquatting, el registro malintencionado de webs que imitan a otras. Este tipo de ataque ya es bastante conocido y se basa en la introducción de caracteres muy parecidos que no hagan saltar las alarmas para el usuario; por ejemplo, el caso más típico sería escribir g00gle, en lugar de Google. Organizaciones mexicanas como la Procuraduría Federal del Consumidor (PROFECO), dependiente del Gobierno, han identificado incluso el uso de las conocidas como “páginas espejo”. A través de estas, los cibercriminales se atreven a realizar llamadas de vídeo con las víctimas para mostrarles portales falsos de tickets en tiempo real, lo que puede llevar a que la víctima confíe, pague sus entradas y acabe viendo desaparecer al estafador –y su dinero–. Anna Lazaricheva, analista sénior de spam en Kaspersky, es clara sobre la prevalencia de estafas durante este tipo de acontecimientos: “Desgraciadamente, los grandes eventos deportivos que atraen a audiencias masivas nunca pasan desapercibidos para los estafadores”. Y advierte: “Correos que parecen inofensivos o incluso atractivos pueden ocultar enlaces peligrosos y archivos adjuntos maliciosos. En algunos casos, una interacción descuidada con estos mensajes puede provocar infecciones graves en los dispositivos. Recomendamos a los usuarios ignorar cualquier correo o página web sospechosa para proteger sus finanzas y mantener a salvo sus dispositivos y datos personales”. Incluso en los casos más avanzados de smishing, el Centro Canadiense para la Ciberseguridad ha advertido ya de campañas con el conocido como SMS blasters, que son dispositivos de radiofrecuencia que permiten realizar campañas masivas de mensajes fraudulentos. Como las técnicas que los ciberdelincuentes utilizan continúan perfeccionándose, organizaciones y expertos en seguridad ofrecen varias recomendaciones para protegerse, tanto si vas presencialmente o lo vas a ver desde casa o algún establecimiento. Cómo protegerse, tanto si vas como si lo ves desde un bar o desde casa La primera recomendación en la que coinciden todos los expertos es directamente escribir el dominio fifa.com en la parte de direcciones del navegador, en lugar de acceder desde un buscador. Una medida clave, ya que los atacantes utilizan la técnica conocida como envenenamiento SEO; es decir, que pagan por colocar dominios en las primeras posiciones, también entre los enlaces patrocinados. Además, si se continúa dudando de un enlace, siempre hay que revisar que cuente con HTTPS al principio, y cuyos dominios no terminen en extensiones raras, como .cab, .live o .pink. Si aun así vas a pagar algo y no te fías al 100%, lo mejor es que no realices ningún pago mediante medios extraños, siempre desde la tarjeta de crédito y preferiblemente desde la versión móvil, no la física. Por último, y no menos importante, si acudes al evento en directo, lo mejor es que adquieras una VPN de confianza; en caso de que vayas a verlo a un bar o cualquier otro tipo de establecimiento, nunca te conectes a un punto WiFi abierto. En algunos casos, los ciberdelincuentes aprovechan esta aglomeración de personas para crear redes maliciosas. Si te conectas sin ningún tipo de VPN, estarás exponiendo tus datos a los estafadores. Básicamente, ante el perfeccionamiento de las técnicas de los estafadores y una superficie de ataque tan vasta, lo mejor es que el usuario final sea el que extreme las precauciones.