Usan la técnica Typosquatting, que se caracteriza por crear dominios idénticos a los legítimos, que van desde el diseño y los colores hasta las pestañas que permiten recorrer el sitio, con modificaciones sutiles.
Al menos cinco páginas apócrifas suplantan al máximo organismo del futbol con la excusa de ofrecer entradas y merchandising de la Copa Mundial 2026, de acuerdo con la firma de ciberseguridad ESET.
Los estafadores buscan información sensible de sus víctimas y hasta dinero. Los sitios apócrifos pueden aparecer patrocinados en búsquedas en Google, pero también en anuncios en redes sociales, o incluso llegar por mensajes o correos.
La empresa precisó que se trata de “fifa26.shop”, “26-fifa.com”, “fifa*.site”, fifa*.store” y “fifa*.shop”.
Estos sitios falsos utilizan la técnica Typosquatting, que se caracteriza por crear dominios idénticos a los legítimos, que van desde el diseño y los colores hasta las pestañas que permiten recorrer el sitio, con modificaciones sutiles como el cambio, omisión o adición de caracteres, o uso de números en vez de letras, por lo que las similitudes con la página oficial empiezan desde las URL.
En esos sitios de phishing, los ciberatacantes suelen aprovechar extensiones como “.store” o “.shop” para reforzar la apariencia comercial del sitio.
A simple vista, las víctimas pueden interpretar las URL como legítimas, especialmente porque los dominios falsos incluyen la palabra “fifa”, un recurso frecuente en campañas de suplantación de identidad”.
“Los actores maliciosos suelen registrar diversas variantes de una misma página para maximizar el alcance del engaño y así mantener operativa la campaña incluso si algunos dominios son dados de baja. Esta lógica del phishing es cada vez más frecuente en eventos masivos y de alta exposición mediática, como lo es la Copa Mundial de Futbol 2026”, indicó Mario Micucci, investigador de seguridad informática de ESET Latinoamérica, según un comunicado.
ESET señala que si la víctima ingresa datos personales, el intruso podrá obtener email, teléfono y contraseña, y podrá iniciar un ataque de robo de identidad.
Además, menciona que debido a que muchas personas reutilizan contraseñas en diversos servicios, entregar credenciales en una página falsa puede derivar en accesos indebidos a correos electrónicos, redes o plataformas bancarias.
Para evitar ser víctimas de phishing, la compañía recomendó verificar la URL y visitar la página oficial de la FIFA, así como, prestar atención a sitios que quieran confundir con su similitud, que agregan palabras, guiones o extensiones como .shop, .store o .site.
Se debe evitar hacer clic en anuncios, ya que los sitios falsos suelen promocionarse por esa vía, e ingresar manualmente a los sitios de confianza y no a través de links, anuncios promocionales o compartidos por terceros.
Sugirió desconfiar de ofertas “exclusivas” o “imposibles”, pues la urgencia, la ansiedad o la oportunidad son anzuelos que los ciberdelincuentes suelen utilizar para que sus estafas sean más efectivas. En el contexto de la Copa Mundial, lo hacen a través de frases como “cupos limitados”, “acceso VIP” o “descuentos en entradas”.
“Los casos encontrados son la clara muestra de una tendencia cada vez más preocupante frente a eventos masivos, los sitios falsos ya no son páginas rudimentarias, improvisadas o fáciles de detectar: hoy replican diseños, experiencias de usuario y flujos de compra completos para parecer legítimos y reducir las sospechas de las víctimas”, concluyó Mario Micucci.
Este artículo fue publicado originalmente en Forbes México
Lea también: La FIFA aumentará los premios del Mundial de 2026