Cinco páginas que suplantan a la FIFA con la excusa de ofrecer entradas y merchandising de la Copa Mundial 2026 fueron identificadas por la compañía de detección proactiva de amenazas ESET.

Los estafadores, según dicha empresa, buscan obtener información sensible de sus víctimas, sus datos bancarios y hasta dinero.

Estos sitios, descritos como "apócrifos" pueden aparecer patrocinados en búsquedas en Google, pero también en anuncios en redes sociales o incluso llegar por mensajes o correos.

"Si bien informan desde FIFA que los boletos para todas las fases del torneo están 'disponibles exclusivamente en FIFA.com/tickets', desde ESET encontramos cinco sitios falsos que se hacen pasar por el sitio oficial del Mundial", anunció Mario Micucci, investigador de seguridad informática de ESET Latinoamérica.

Estos son los cinco sitios web que suplantan a la FIFA y que fueron identificados y analizados por ESET:

Primer sitio falso: "fifa26.shop" busca engañar a sus víctimas desde la similitud de su URL con la oficial. Utiliza la técnica llamada Typosquatting que se caracteriza por crear dominios idénticos a los legítimos, con modificaciones sutiles (cambio, omisión o adición de caracteres, o uso de números en vez de letras).

La página imita con exactitud a la de FIFA desde su diseño, colores y disposición, a las pestañas que permiten recorrer el resto del sitio.

Logra replicar el flujo de la web oficial, lo que hace sentir a la víctima que la experiencia es legítima.

En caso de que la víctima desee avanzar con la compra de entradas o merchandising, la página falsa solicita el registro de la persona. Lo riesgoso, según ESET, es que copia al detalle a la página oficial de la FIFA, que también pide registro.

Luego de que la víctima se registra en la página falsa de FIFA ID, el sitio también permite comprar supuestos boletos para los partidos de la Copa Mundial.

Se puede elegir el partido deseado en cualquiera de las fases del torneo y luego lleva al carrito de compra.

Si la víctima continua el proceso, sus datos bancarios viajarán a las manos del cibercriminal detrás del sitio falso, sin obtener ninguna entrada para la Copa Mundial.

Segundo sitio falso: "26-fifa.com". Al igual que el ejemplo anterior busca, a través de la URL, no levantar sospechas y aprovecha su similitud con la web oficial.

El diseño de la web falsa en general, así como las pestañas para navegar, son idénticas a la web oficial de la FIFA.

También se le pide a la víctima que se registre (que entregue sus datos personales), para después habilitar la supuesta compra de entradas y merchandising del Mundial.

Al obtener el nombre completo de la víctima, su email, teléfono y contraseña, el ciberatacante puede iniciar un ataque de robo de identidad.

Desde ESET alertan que, dado que muchas personas reutilizan contraseñas en distintos servicios, entregar credenciales en una página falsa puede derivar en accesos indebidos a correos electrónicos, redes o plataformas bancarias.

Tercer sitio falso: "fifa*.site", otro sitio falso que imita casi a la perfección el diseño de la web oficial de FIFA.

El objetivo es claro, a través del uso de colores, tipografías y elementos visuales, busca generar una reacción automática de confianza en el usuario, especialmente en contextos donde la ansiedad por conseguir entradas puede reducir la atención a señales de alerta.

Cuarto sitio falso: "fifa*.store". En estos sitios de ciberataque los responsables suelen aprovechar extensiones como ".store" o ".shop" para reforzar la apariencia comercial del sitio.

"A simple vista, las víctimas pueden interpretar estas URLs como legítimas, especialmente porque los dominios falsos incluyen la palabra 'FIFA', un recurso frecuente en campañas de suplantación de identidad", agrega Miccuci.

Quinto sitio falso: "fifa*.shop". La similitud entre técnicas demuestra para ESET que no se tratan de casos aislados, sino de campañas organizadas.

"Los actores maliciosos suelen registrar diversas variantes de una misma página para maximizar el alcance del engaño y así mantener operativa la campaña incluso si algunos dominios son dados de baja. Esta lógica del phishing es cada vez más frecuente en eventos masivos y de alta exposición mediática, como lo es la Copa Mundial de Fútbol 2026", refuerza el investigador de ESET.

En su página web, el organismo es preciso a la hora de analizar si existe algún riesgo al comprar boletos para la Copa Mundial fuera del sitio oficial: "Sí, existen riesgos al adquirir boletos fuera del sitio oficial. La FIFA recomienda que todas las compras se realicen exclusivamente en FIFA.com/tickets".

La FIFA aclara además que "los boletos adquiridos en sitios de reventa no oficiales, redes sociales o a través de terceros pueden ser falsos. Aunque parezcan legítimos, estos boletos fraudulentos se podrían rechazar en la entrada del estadio".