La Unidad 42 de Palo Alto Networks publicó un análisis en donde advierte que el mundial será blanco perfecto para ciberataques a los fans y la cadena de suministro de la hostelería.
Así mismo, se podrán generar operaciones disruptivas entre Irán y nexo contra infraestructuras auxiliares estadounidenses, así como ataques contra ciudades anfitriones, federaciones y servicios de venta de billetes.
La Copa Mundial de la FIFA 2026 será el mayor evento deportivo jamás celebrado. A lo largo de 39 días, 16 ciudades anfitrionas en tres países acogerán 104 partidos, un torneo ampliado de 48 equipos y se estima que hay entre cinco y seis millones de espectadores en el recinto, además de una audiencia global de retransmisión que se acerca a la mitad del planeta.
El torneo comienza en el Estadio Azteca de Ciudad de México el 11 de junio de 2026 y concluye en el MetLife Stadium de East Rutherford, Nueva Jersey, el 19 de julio de 2026.
Esta es la primera Copa del Mundo organizada conjuntamente por tres naciones. Cada partido se desarrolla en una red temporal de torneos con múltiples anillos, integrada en entornos preexistentes de estadios de la NFL, MLS, CFL y Liga MX. Depende de una red de servicios municipales, que incluye transporte público, tráfico semáforo, tratamiento de agua y aguas residuales, energía regional, operaciones aeroportuarias y servicios de emergencia. Cada uno de esos puntos de contacto está dentro del alcance de un adversario.
Basada en una revisión de las operaciones cibernéticas contra megaeventos anteriores desde 2016 hasta los Juegos Olímpicos de Invierno Milano-Cortina 2026, esta evaluación concluye que las intrusiones disruptivas, el fraude criminal a gran escala y las operaciones de denegación de servicio distribuida (DDoS) y hackeo y filtración motivadas políticamente son muy probables. Las únicas preguntas significativas son quién, contra qué objetivos y con qué gravedad.
Hay tres pilotos en la lista de riesgos de la Copa del Mundo 2026:
Actividad nexo con Irán. El conflicto cinético entre EE.UU.–Israel e Irán, que comenzó el 28 de febrero de 2026, ha reordenado la superficie de amenaza para cualquier evento organizado por EE.UU. El Equipo de Hackeo de Handala, evaluado por el FBI de EE. UU. y varias firmas comerciales de inteligencia de amenazas como una tapadera para el Ministerio de Inteligencia y Seguridad de Irán (MOIS), llevó a cabo ataques significativos con limpiaparabrisas a principios de 2026. La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) publicó un aviso conjunto AA26-097A confirmando una campaña activa y en curso afiliada a Irán. La campaña se dirige a los controladores lógicos programables (PLC) Rockwell Automation y Allen-Bradley, expuestos a internet, en infraestructuras críticas de EE. UU., así como a los objetivos del Cuerpo de Guardianes Revolucionarios Islámicos (IRGC) sobre PLCs de la serie Vision Unitronics fabricados en Israel en objetivos de agua, energía y municipales de EE. UU. Estas son las mismas categorías de infraestructuras que las ciudades anfitrionas del Mundial operarán bajo la carga de torneos.
Hacktivismo Rusia-nexus. Desde 2022, NoName057(16) ha realizado más de 3.700 ataques DDoS verificados contra gobiernos y sectores críticos en los estados miembros de la OTAN. Aumentos documentados relacionados con eventos políticamente simbólicos, incluyendo la Cumbre de la OTAN, la Cumbre de Paz en Ucrania y afirmaciones de intención en los Juegos Olímpicos de París 2022 y los Juegos Olímpicos de Invierno de Milán Cortina 2026. La Operación Eastwood (julio de 2025) interrumpió pero no eliminó al grupo. El NCSC del Reino Unido confirmó la continuidad de sus operaciones hasta 2026. Estados Unidos, Canadá y México son socios o aliados de la OTAN y la Copa del Mundo es un evento políticamente simbólico de la más alta categoría.
Ciberdelincuencia con motivación económica. Group-IB identificó más de 16.000 dominios fraudulentos y 90 cuentas comprometidas del portal de fans Hayya durante el Mundial 2022 en Catar. La campaña de 2023 de Muddled Libra (operadores de ALPHV, también conocido como ransomware BlackCat) contra organizaciones de entretenimiento demostró que la pila de hospitalidad es un objetivo para los operadores de ransomware. La pila incluye reservas, claves digitales, máquinas de punto de venta (PoS) y datos de fidelización. El fraude en tickets, el fraude en alojamientos, el fraude con códigos QR de transporte y la toma de control de cuentas equivalente a FanID son objetivos principales a gran escala en los tres países anfitriones.
Los Juegos Olímpicos de París 2024 son un claro ejemplo de un precedente reciente. Las autoridades francesas (ANSSI) confirmaron al menos 140 eventos cibernéticos durante los Juegos, incluyendo 22 intrusiones no autorizadas confirmadas y un ataque de ransomware contra el recinto del Grand Palais.
Ninguno logró interrumpir la competición, pero solo gracias a la preparación que comenzó años antes. La preparación incluyó ejercicios contra 500 instalaciones vinculadas a los Juegos y apoyo de la coordinación sostenida entre gobierno e industria. El torneo de 2026 debe superar el mismo estándar en múltiples jurisdicciones, organismos reguladores y lenguajes.
Los defensores deben anticiparse ante la posibilidad de todo lo siguiente:
• Ciberdelincuentes que atacan a los fans y la cadena de suministro de la hostelería
• Operaciones disruptivas entre Irán y nexo contra infraestructuras auxiliares estadounidenses durante la ventana del torneo
• DDoS hacktivista pro-ruso e iraní y percibiendo ataques contra ciudades anfitriones, federaciones y servicios de venta de billetes
• Un limpiaparabrisas desplegado contra el IT del torneo durante una ceremonia de alta visibilidad