ESET identificó cinco páginas apócrifas que suplantan a la FIFA y al sitio oficial de la Copa Mundial 2026 con la excusa de ofrecer entradas y merchandising. El objetivo de estas maniobras es obtener información sensible, datos bancarios y dinero de las víctimas. Las páginas pueden aparecer como resultados patrocinados en búsquedas de Google, difundirse mediante anuncios en redes sociales o llegar por mensajes y correos.
La investigación se enfoca en dominios que replican la estética y el recorrido de compra del sitio legítimo para reducir sospechas. “Si bien informan desde FIFA (ente organizador del evento) que los boletos para todas las fases del torneo están “disponibles exclusivamente en FIFA.com/tickets”, desde ESET encontramos cinco sitios falsos que se hacen pasar por el sitio oficial de Copa del Mundo 2026 de la FIFA.”, dijo Mario Micucci, investigador de Seguridad Informática de ESET Latinoamérica.
El primer caso, “fifa26.shop”, utiliza *typosquatting*, una técnica que crea dominios casi idénticos a los legítimos mediante cambios sutiles, como omisiones o sustituciones de caracteres, o el uso de números en lugar de letras. La página imita diseño, colores, disposición y pestañas de navegación, y reproduce el flujo de la web oficial. En el proceso de compra solicita el registro de la persona, en línea con el mecanismo del sitio legítimo, y ofrece camisetas y otros productos para agregar al carrito. El riesgo aparece cuando se ingresan datos de tarjeta: no se obtiene el artículo y la información queda en manos del actor malicioso.
El segundo dominio, “26-fifa.com”, mantiene una lógica similar: diseño y pestañas idénticas a la web oficial y un registro previo para habilitar una supuesta compra de entradas y merchandising. Al capturar nombre completo, email, teléfono y contraseña, el atacante puede iniciar un robo de identidad. ESET advirtió que la reutilización de contraseñas en distintos servicios amplifica el impacto, ya que la entrega de credenciales puede derivar en accesos indebidos a correos electrónicos, redes o plataformas bancarias.
Los otros tres casos se presentan como “fifa*.site”, “fifa*.store” y “fifa*.shop”. En estas variantes se repite la suplantación visual y se aprovechan extensiones asociadas al comercio para reforzar la apariencia de legitimidad. “A simple vista, las víctimas pueden interpretar estas URLs como legítimas, especialmente porque los dominios falsos incluyen la palabra “fifa”, un recurso frecuente en campañas de suplantación de identidad.”, dijo Micucci.
En su web, la FIFA advierte: “Sí, existen riesgos al adquirir boletos fuera del sitio oficial. La FIFA recomienda que todas las compras se realicen exclusivamente en FIFA.com/tickets”. También señala que “los boletos adquiridos en sitios de reventa no oficiales, redes sociales o a través de terceros pueden ser falsos. Aunque parezcan legítimos, estos boletos fraudulentos se podrían rechazar en la entrada del estadio”.
Entre las medidas preventivas, ESET recomendó verificar la URL y, para compras vinculadas a la Copa Mundial, visitar el sitio oficial “https://fifa.com”, ingresar manualmente a sitios de confianza y desconfiar de ofertas “exclusivas” o “imposibles” con frases como “cupos limitados”, “acceso VIP” o “descuentos en entradas”.
