Según marca el calendario oficial, la Copa del Mundo 2026 comienza el 11 de junio con el encuentro entre México y Sudáfrica. Pero desde ESET alertan que los cibercriminales ya están jugando su partido en el mundo digital. La firma comparte las diversas formas en las que se está aprovechando el interés masivo que despierta la Copa Mundial de Fútbol como señuelo para realizar engaños y estafas.

A continuación, se analizan las 8 modalidades que están usando los ciberatacantes para estafar:

1. Apps y sitios para ver los partidos del Mundial

La ansiedad por no perderse ningún encuentro es la emoción más explotada por los cibercriminales. A través de aplicaciones y sitios web fuera de los repositorios oficiales, se promete transmitir en vivo cada partido de manera gratuita y en calidad HD.

Por ejemplo, Magis TV, aplicación que ganó popularidad en Argentina, Colombia y México para ver deportes sin pagar suscripción, ya fue bloqueada en varios países (dando lugar a su sucesora Xuper TV). Desde ESET se observó que esta app solicitaba permisos críticos e invasivos que no corresponden a una plataforma convencional de streaming.

“En cuanto a las plataformas online, el riesgo radica en el pedido por parte del sitio de crear una cuenta, pagar un cargo mínimo o iniciar sesión vinculando redes sociales. El objetivo es robar credenciales de acceso, tarjetas y datos bancarios. A su vez, retransmitir contenido sin contar con los derechos vulnera la propiedad intelectual, lo que puede derivar en bloqueos de Internet o acciones judiciales”, alerta Mario Micucci, Investigador de Ciberseguridad de ESET Latinoamérica.

Es importante recordar que DirecTV tiene los derechos para transmitir los 104 partidos del cronograma en Latinoamérica, mientras que otros servicios emitirán solamente algunos encuentros puntuales.

2. Venta de entradas para el Mundial

La ilusión de asistir a un partido puede verse empañada si la compra no se realiza mediante canales oficiales. La FIFA es terminante al respecto: “Existen riesgos al adquirir boletos fuera del sitio FIFA.com/tickets”, y recomienda que todas las compras se realicen exclusivamente en dicha plataforma.

Los sitios falsos reproducen logotipos, tipografías y el diseño original para ganar credibilidad. Para persuadir a sus víctimas, los cibercriminales suelen apelar a anuncios que presionan con la urgencia, usando frases como: “Últimas entradas disponibles” o “Descuento por tiempo limitado”.

3. Sitios que suplantan la identidad de FIFA

El interés por conseguir alojamiento y mercancía oficial es aprovechado mediante la suplantación de identidad de los organizadores. ESET detectó plataformas fraudulentas activas —como “fifa.shop”, “fifa.store” y “wc***-fifa.com”— que utilizan URLs similares a la legítima.

Estos sitios engañan al usuario al replicar detalladamente el formulario de registro y el flujo de compra original. Incluso simulan el uso del sistema FIFA ID para generar una falsa sensación de confianza mientras recolectan datos personales y bancarios.

4. Visas y paquetes para el Mundial

Otro engaño común son los paquetes turísticos armados que prometen la inclusión de una supuesta “visa para el Mundial”, un documento que en realidad no existe. ESET detectó portales web que cobran por asesorías fraudulentas y guías de tramitación falsas.

Ante esto, el Departamento de Estado de EE. UU. ha aclarado de forma oficial que los extranjeros que visiten el país durante el torneo deben tramitar la misma visa de visitante regular (B1/B2) o contar con la autorización ESTA del Programa de Exención de Visa.

Asimismo, se ha suplantado el FIFA PASS (un sistema real para programar citas prioritarias si ya se tienen entradas), promocionándolo falsamente como un mecanismo para evitar entrevistas consulares o emitir visas directamente. Para verificar los requisitos reales de los tres países anfitriones (Estados Unidos, Canadá y México), se debe consultar únicamente el sitio oficial de la FIFA.

5. Sitios de apuestas, “prode” y predicciones

El mercado de las apuestas deportivas moverá sumas multimillonarias de cara al 2030, y la fiebre mundialista no es la excepción. Los analistas de ESET han identificado plataformas de apuestas apócrifas que imitan el diseño y la experiencia de usuario de las casas oficiales.

El peligro principal de estos sitios maliciosos radica en que incitan al usuario a descargar aplicaciones externas a las tiendas oficiales. El fin de estos archivos es infectar el dispositivo con malware para extraer dinero y credenciales. También abundan los sitios de “prodes” o predicciones que exigen un pago inicial de inscripción prometiendo premios ostentosos, pero operan sin licencias ni supervisión legal.

6. Aplicaciones falsas de la Copa del Mundo 2026

Además del streaming, los atacantes diseñan aplicaciones falsas de calendarios, resultados en tiempo real y supuestos servicios interactivos. Utilizan logos idénticos y nombres casi iguales a las herramientas legítimas.

La señal de alarma clave es cuando la aplicación solicita permisos extraños (como acceso a la cámara, mensajes SMS, fotos o contactos) o exige la descarga de archivos adicionales. ESET recomienda:

• Descargar apps únicamente desde Google Play o App Store.

• Revisar el nombre del desarrollador y la cantidad de descargas.

• Leer los comentarios de otros usuarios.

• Desconfiar de promesas de funciones exclusivas o acceso premium gratuito.

7. Estafas en torno al álbum oficial

El furor por el álbum de figuritas de Panini también es blanco de fraudes. Se han reportado tiendas virtuales falsas con precios sospechosamente bajos, así como supuestas promociones y preventas exclusivas distribuidas por WhatsApp y redes sociales.

En Argentina, se viralizó el caso de una periodista estafada mediante una plataforma de entregas a domicilio, donde recibió un álbum y cromos completamente apócrifos. A raíz de esto, Panini Argentina aclaró de forma contundente en sus redes oficiales: “Nuestros únicos canales de venta online son a través del sitio web www.zonakids.com y de nuestra Tienda Oficial Panini en Mercado Libre. Alertamos al público a fin de evitar que se produzcan fraudes”.

8. Criptomonedas y NFTs del Mundial

El ecosistema cripto también se utiliza como anzuelo. Diversos sitios web aseguran tener un vínculo legítimo con el certamen autoproclamándose como el “token oficial de la Copa Mundial”.

Un caso concreto es el sitio worldcup*.fun, el cual promete un reparto gratuito (airdrop) de más de 1.400 millones de tokens de una supuesta criptomoneda llamada $WC. Como elemento de ingeniería social, la página muestra un contador de participantes que se detiene estratégicamente en el número 48, haciendo alusión a la cantidad de selecciones que competirán en este torneo.

Desde ESET recuerdan que la FIFA no avala estas criptomonedas externas y que el único entorno legítimo de activos digitales de la organización es su propia plataforma, FIFA Collect.