El Mundial 2026, que se jugará entre el 11 de junio y el 19 de julio con 48 selecciones en Canadá, México y Estados Unidos, concentra búsquedas y transacciones vinculadas a entradas, viajes, transmisiones y promociones. Ese aumento de actividad digital se combina con la urgencia por acceder a tickets o contenidos y amplía la superficie para estafas y episodios de ciberseguridad.
En ese marco, el FBI emitió una alerta pública por sitios web falsos que imitan a FIFA con el objetivo de robar información personal, vender entradas o productos falsos y facilitar estafas económicas antes y durante el torneo. La advertencia se inscribe en un escenario de alto volumen de interacción online, con audiencias masivas y participación de marcas, empresas y plataformas digitales.
Para las organizaciones, el riesgo no se limita a los sistemas centrales. Una acción cotidiana puede convertirse en puerta de entrada: un colaborador que hace clic en un enlace falso, busca una transmisión no oficial desde un dispositivo corporativo, escanea un QR engañoso o ingresa datos en una página que aparenta ser legítima. “Durante eventos masivos como el Mundial, los atacantes no solo explotan vulnerabilidades técnicas: también explotan emociones”, dijo Sergio Oroña, CEO de SparkFound.
Las amenazas que suelen intensificarse alrededor de este tipo de eventos incluyen phishing, suplantación de sitios oficiales, campañas falsas por WhatsApp o correo electrónico, promociones fraudulentas, sorteos inexistentes, venta de entradas falsas, robo de credenciales y uso de sitios de *streaming* no verificados. Aunque muchas maniobras parecen orientadas al consumidor final, también impactan en el mundo corporativo: marketing puede recibir propuestas comerciales falsas; administración, gestionar pagos a proveedores apócrifos; y los equipos de IT, enfrentar un mayor volumen de alertas en fechas de alta actividad digital.
“El Mundial es un buen recordatorio de que la ciberseguridad no depende solo de la tecnología”, dijo Oroña, y vinculó la prevención con hábitos digitales, visibilidad sobre activos y capacidad de detectar comportamientos anómalos a tiempo.
Entre las prácticas recomendadas figuran verificar siempre la URL antes de ingresar datos; evitar enlaces de promociones o entradas recibidos por canales no oficiales; no descargar aplicaciones o extensiones desconocidas; desconfiar de ofertas demasiado urgentes o atractivas; y utilizar canales oficiales para compras, reservas o transmisiones. En el plano corporativo, se sugiere reforzar la concientización interna sobre phishing y enlaces falsos, evitar el uso de *streaming* no oficial desde redes o dispositivos de la empresa y verificar proveedores, entradas, paquetes de *hospitality* y viajes corporativos antes de realizar pagos.
También se plantea revisar el estado de accesos, activar autenticación multifactor en cuentas críticas y accesos remotos, monitorear comportamientos anómalos en usuarios, dispositivos y redes, reforzar la protección de endpoints y contar con un plan de respuesta ante incidentes para actuar rápidamente ante una brecha.
