ESET identifica páginas falsas activas que atraen fanáticos que buscan entradas, alojamiento e incluso merchandising, y así obtener información sensible, datos bancarios y el dinero de las víctimas.
ESET identificó 5 páginas apócrifas que suplantan al máximo organismo del fútbol con la excusa de ofrecer entradas y merchandising de la Copa Mundial 2026. Los estafadores buscan obtener información sensible de sus víctimas, sus datos bancarios y hasta dinero. Estos sitios apócrifos pueden aparecer patrocinados en búsquedas en Google, pero también en anuncios en redes sociales, o incluso llegar por mensajes o correos.
“Si bien informan desde FIFA (ente organizador del evento) que los boletos para todas las fases del torneo están “disponibles exclusivamente en FIFA.com/tickets”, desde ESET encontramos cinco sitios falsos que se hacen pasar por el sitio oficial de Copa del Mundo 2026 de la FIFA”, comenta Mario Micucci, Investigador de Seguridad Informática de ESET Latinoamérica.
ESET analiza cada uno de estos sitios que imitan el sitio oficial, de manera de ayudar a identificarlos:
Sitio falso N°1: “fifa26.shop”, busca engañar a sus víctimas desde la similitud de su URL con la oficial. Utiliza la técnica llamada Typosquatting que se caracteriza por crear dominios idénticos a los legítimos, con modificaciones sutiles (cambio, omisión o adición de caracteres, o uso de números en vez de letras).
La página imita con exactitud a la de FIFA: desde su diseño, colores y disposición, a las pestañas que permiten recorrer el resto del sitio. Logra replicar el flujo de la web oficial, haciendo sentir a la víctima que la experiencia es legítima. Esto confirma que los ataques de phishing de hoy buscan copiar experiencias completas para generar confianza.
Imagen es del sitio falso:
Imagen del sitio oficial del evento. La calidad de la imitación es alta, siendo complejo diferenciarlas:
En caso de que la víctima desee avanzar con la compra de entradas o merchandising, la página falsa solicita el registro de la persona. Lo riesgoso, según ESET, es que copia al detalle a la página oficial de la FIFA, que también pide registro. Aprovecha así un elemento clave como el FIFA ID, para generar confianza:
Este sitio apócrifo, además, se vale de la promesa de la venta de merchandising para engañar a sus víctimas. La similitud con el sitio oficial es clara, al punto que ofrece camisetas de todas las selecciones participantes y permite seleccionar cualquier producto y agregarlo al carrito de compra:
En caso de que la víctima ingrese los datos de su tarjeta, ESET advierte que no se obtendrá ninguna camiseta, sino que se entrega información confidencial al actor malicioso detrás del sitio apócrifo:
A su vez, luego de que la víctima se registra en la página falsa de FIFA ID, la página también permite comprar supuestos boletos para los partidos de la Copa Mundial.
Se puede elegir el partido deseado, en cualquiera de las fases del torneo, y luego, lleva al carrito de compra:
Si la víctima continua el proceso, sus datos bancarios viajarán a las manos del cibercriminal detrás del sitio falso, sin obtener ninguna entrada para la Copa Mundial.
Sitio falso N°2: “26-fifa.com”. Al igual que el ejemplo anterior, busca a través de la URL no levantar sospechas, aprovechando su similitud con la web oficial. El diseño de la web falsa en general, como las pestañas para navegar son idénticas a la web oficial de la FIFA.
Se le pide a la víctima que se registre (que entregue sus datos personales), para después habilitar la supuesta compra de entradas y merchandising del Mundial. Al obtener el nombre completo de la víctima, su email, teléfono y contraseña, el ciberatacante puede iniciar un ataque de robo de identidad. Desde ESET alertan que dado que muchas personas reutilizan contraseñas en distintos servicios, por lo que entregar credenciales en una página falsa puede derivar en accesos indebidos a correos electrónicos, redes o plataformas bancarias.
Sitio falso N°3: “fifa*.site”, otro sitio falso que imita diseño de la web oficial de FIFA. El objetivo es claro, a través del uso de colores, tipografías y elementos visuales, busca generar una reacción automática de confianza en el usuario, especialmente en contextos donde la ansiedad por conseguir entradas puede reducir la atención a señales de alerta.
Sitio falso N°4: “fifa*.store”. En estos sitios de phishing los ciberatacantes suelen aprovechar extensiones como “.store” o “.shop” para reforzar la apariencia comercial del sitio. “A simple vista, las víctimas pueden interpretar estas URLs como legítimas, especialmente porque los dominios falsos incluyen la palabra “fifa”, un recurso frecuente en campañas de suplantación de identidad.”, agrega Miccuci de ESET.
Sitio falso N°5, “fifa*.shop”. Esta similitud de técnicas demuestra para ESET que no se tratan de casos aislados, sino de campañas organizadas. “Los actores maliciosos suelen registrar diversas variantes de una misma página para maximizar el alcance del engaño y así mantener operativa la campaña incluso si algunos dominios son dados de baja. Esta lógica del phishing es cada vez más frecuente en eventos masivos y de alta exposición mediática, como lo es la Copa Mundial de Fútbol 2026.”, refuerza el investigador de ESET.
No es novedad que los cibercriminales aprovechan la fiebre mundialista. Hasta la FIFA está al tanto de las estafas y engaños que pueden sucederse alrededor del evento de fútbol más importante del mundo. En su página web, el organismo es terminante a la hora de analizar si existe algún riesgo al comprar boletos para la Copa Mundial fuera del sitio oficial: “Sí, existen riesgos al adquirir boletos fuera del sitio oficial. La FIFA recomienda que todas las compras se realicen exclusivamente en FIFA.com/tickets”. En primer término, aclara que “los boletos adquiridos en sitios de reventa no oficiales, redes sociales o a través de terceros pueden ser falsos. Aunque parezcan legítimos, estos boletos fraudulentos se podrían rechazar en la entrada del estadio”.
ESET comparte puntos clave a tener en cuenta para no ser víctimas de estos sitios de phishing:
1 – Verificar la URL: Para todo lo referente a compras vinculadas a la Copa Mundial, se debe visitar el sitio oficial: https://fifa.com. Prestar atención frente a sitios que quieran confundir con su similitud, que agregan palabras, guiones o extensiones como “.shop”, “.store” o “.site”. Cualquier mínima diferencia es un gran indicio de estafa.
2 – No hacer clic en anuncios: Los sitios falsos suelen promocionarse a través de anuncio y patrocinio en redes sociales y apps de mensajería. El consejo es ingresar manualmente a los sitios de confianza, y no a través de links, anuncios promocionales, o compartidos por terceros.
3 – Desconfiar de ofertas “exclusivas” o “imposibles”: La urgencia, la ansiedad, la oportunidad son anzuelos que los ciberdelincuentes suelen utilizar para que sus estafas sean más efectivas. En el contexto de la Copa Mundial, lo hacen a través de frases como “cupos limitados”, “acceso VIP” o “descuentos en entradas”. La máxima es desconfiar de todo lo que parezca demasiado bueno como para ser verdad.
“Los casos encontrados son la clara muestra de una tendencia cada vez más preocupante frente a eventos masivos, los sitios falsos ya no son páginas rudimentarias, improvisadas o fáciles de detectar: hoy replican diseños, experiencias de usuario y flujos de compra completos para parecer legítimos y reducir las sospechas de las víctimas. La principal defensa sigue siendo la atención: desde verificar la URL, desconfiar de aquellas ofertas “imposibles”, hasta acceder únicamente a canales oficiales. Porque durante la fiebre mundialista, no solo hay que estar atentos a lo que pasa dentro de la cancha, sino también fuera de ella.”, concluye Mario Micucci de ESET.