Un estudio de Radware indica que los aficionados, las emisoras, los patrocinadores y las empresas vinculadas al campeonato estarán entre los principales objetivos de los delitos digitales.
Con la Copa del Mundo a punto de acoger a 48 equipos en 16 ciudades de Estados Unidos, Canadá y México, los expertos en ciberseguridad de Radware, líder mundial en soluciones de seguridad, advierten que la magnitud sin precedentes del torneo está creando una de las mayores superficies de ataque digital jamás asociadas a un evento deportivo mundial.
Según el informe de ciberseguridad de la compañía para la Copa Mundial de 2026, la convergencia de tensiones geopolíticas, ciberdelitos impulsados por la IA y una infraestructura digital altamente interconectada está creando una tormenta perfecta para los ciberataques, el fraude y las interrupciones operativas durante el campeonato.
Las tensiones geopolíticas amplían el panorama de amenazas
El informe subraya la preocupación de que las tensiones geopolíticas puedan alimentar ciberataques con motivaciones políticas destinadas a perturbar el torneo o dañar la reputación de los países anfitriones. “La visibilidad global de la Copa del Mundo la convierte en una plataforma atractiva para grupos de hacktivistas y actores alineados con el Estado que buscan difundir desinformación, interrumpir servicios o generar atención mediática”, destacó Arie Simchis, director regional de Latinoamérica y el Caribe de Radware.
En eventos internacionales anteriores, como los Juegos Olímpicos de Verano e Invierno y el Festival de Eurovisión, se han registrado una importante actividad cibernética, que abarca desde ataques DDoS hasta intentos de comprometer la infraestructura.
Los objetivos van desde aficionados hasta empresas
Las tecnologías de IA generativa y deepfake están haciendo que las campañas de fraude sean cada vez más sofisticadas y difíciles de detectar. En esta Copa del Mundo, ya circulan estafas como sitios web falsos para obtener visas de viaje, diseñados para robar información de pasaportes y datos de pago; plataformas de venta de entradas clonadas que ofrecen boletos falsificados; videos deepfake y falsificaciones de voz de atletas, funcionarios y figuras públicas; tiendas fraudulentas de productos con licencia y esquemas de criptomonedas que explotan la marca del torneo; así como campañas de ingeniería social que utilizan la urgencia y la escasez de entradas para engañar a los consumidores.
El informe señala que los aficionados se enfrentan a mayores riesgos a medida que aumenta la demanda de entradas, viajes y alojamiento. Pero la ciberamenaza va mucho más allá de los aficionados. Organizaciones de toda Norteamérica, incluidos patrocinadores, emisoras, empresas turísticas, operadores de transporte y proveedores externos, también son objetivos indirectos debido a su integración en las cadenas de suministro digitales y físicas de la Copa Mundial. Una brecha de seguridad en un solo proveedor puede desencadenar interrupciones en cadena.
“Cuando los empleados utilizan dispositivos corporativos, cuentas comerciales o agentes de IA para actividades personales, como buscar entradas para la Copa del Mundo, reservar viajes o acceder a correos electrónicos personales, se vuelven directamente vulnerables a estafas relacionadas con el evento”, afirma Simchis.“Si un empleado cae en la trampa de un enlace de phishing o interactúa con un sitio web malicioso, la intrusión puede transformar a un atacante externo en una amenaza interna con acceso legítimo a los sistemas corporativos.”
El riesgo se ve agravado por la contratación de miles de empleados temporales y voluntarios, que pueden tener distintos niveles de conocimiento sobre ciberseguridad y privilegios de acceso.
Relleno de credenciales y reventa de entradas digitales
El informe también señala otro problema que las empresas deberían tener en cuenta durante el Mundial: los ataques automatizados dirigidos a las plataformas de venta de entradas, las aplicaciones de apuestas deportivas y los servicios de comercio electrónico.
Las campañas de robo de credenciales, en las que los atacantes utilizan combinaciones de nombre de usuario y contraseña previamente filtradas para acceder a las cuentas, siguen siendo una preocupación importante. Se prevé que las plataformas de apuestas deportivas y las billeteras digitales se enfrenten a un elevado volumen de ataques durante todo el torneo.
Mientras tanto, se espera que los bots impulsados por inteligencia artificial sigan alimentando las operaciones de reventa de entradas digitales, comprando rápidamente grandes cantidades de entradas para revenderlas a precios inflados en los mercados secundarios.
¿Qué pueden hacer las organizaciones y los aficionados para mitigar el problema?
Entre las principales recomendaciones de Radware se encuentran el fortalecimiento de los programas de gestión de riesgos de proveedores y amenazas internas, la implementación de la autenticación multifactor (MFA) resistente al phishing, la adopción de soluciones conductuales e híbridas para la protección contra ataques DDoS, la monitorización de campañas de desinformación y suplantación de marca, y la protección de aplicaciones web y API contra ataques automatizados.
Como medidas adicionales, las organizaciones también pueden optar por realizar auditorías de red e identificar puntos de acceso vulnerables, establecer planes específicos de respuesta ante incidentes cibernéticos y segmentar los sistemas operativos críticos de las redes corporativas.
Para los aficionados, las principales recomendaciones son:
• Utilice únicamente canales oficiales para la compra de billetes, visados y productos con licencia, verificando siempre que los sitios web pertenezcan a dominios gubernamentales legítimos o plataformas oficiales.
• Desconfíe de las ofertas con descuentos excesivos, las entradas revendidas por terceros, los supuestos tokens de criptomonedas vinculados al torneo y las solicitudes de pago mediante métodos irreversibles como transferencias bancarias, aplicaciones de transferencia de dinero o criptomonedas.
• Realice los pagos con tarjeta de crédito siempre que sea posible, ya que este método ofrece mecanismos de reclamación en caso de fraude.
• Durante los partidos y en las zonas de aficionados, mantenga el Wi-Fi y el Bluetooth desactivados cuando no los utilice y conéctese siempre únicamente a las redes oficiales.
• Si sospecha de fraude, guarde los correos electrónicos, mensajes, recibos y capturas de pantalla relacionados con la transacción e informe inmediatamente a su banco y a las autoridades pertinentes.
• Evite las plataformas de apuestas y quinielas no reguladas, ya que a menudo operan sin la supervisión adecuada y pueden suponer riesgos financieros y de seguridad.
“En un evento que se prevé que movilice una vasta infraestructura digital y a millones de personas, la ciberseguridad no es solo un complemento técnico, sino un elemento central de la operación. El éxito del evento también depende de la capacidad de la organización y de las empresas involucradas para anticipar amenazas y responder con rapidez a posibles incidentes”, concluye Simchis.