Por Mario Micucci, Investigador de Eset
Eset, compañía líder en detección proactiva de amenazas, identificó 5 páginas apócrifas que suplantan al máximo organismo del fútbol con la excusa de ofrecer entradas y merchandising de la Copa Mundial 2026. Los estafadores buscan obtener información sensible de sus víctimas, sus datos bancarios y hasta dinero. Estos sitios apócrifos pueden aparecer patrocinados en búsquedas en Google, pero también en anuncios en redes sociales, o incluso llegar por mensajes o correos.
Si bien informan desde Fifa (ente organizador del evento) que los boletos para todas las fases del torneo están "disponibles exclusivamente en FIFA.com/tickets", desde Eset encontramos cinco sitios falsos.
Sitio falso N°1: "fifa26.shop", busca engañar a sus víctimas desde la similitud de su URL con la oficial. Utiliza la técnica llamada Typosquatting que se caracteriza por crear dominios idénticos a los legítimos, con modificaciones sutiles (cambio, omisión o adición de caracteres, o uso de números en vez de letras).
La página imita con exactitud a la de Fifa: desde su diseño, colores y disposición, a las pestañas que permiten recorrer el resto del sitio.
Sitio falso N°2: "26-fifa.com". Al igual que el ejemplo anterior, busca a través de la URL no levantar sospechas, aprovechando su similitud con la web oficial. El diseño de la web falsa en general, como las pestañas para navegar son idénticas a la web oficial de la Fifa.
Sitio falso N°3: "fifa*.site", otro sitio falso que imita diseño de la web oficial de Fifa. El objetivo es claro, a través del uso de colores, tipografías y elementos visuales, busca generar una reacción automática de confianza en el usuario, especialmente en contextos donde la ansiedad por conseguir entradas puede reducir la atención a señales de alerta.
Sitio falso N°4: "fifa*.store". En estos sitios de phishing los ciberatacantes suelen aprovechar extensiones como ".store" o ".shop" para reforzar la apariencia comercial del sitio. A simple vista, las víctimas pueden interpretar estas Urls como legítimas, especialmente porque los dominios falsos incluyen la palabra "fifa", un recurso frecuente en campañas de suplantación de identidad.
Sitio falso N°5, "fifa*.shop". Esta similitud de técnicas demuestra para Eset que no se trata de casos aislados, sino de campañas organizadas.
No es novedad que los cibercriminales aprovechan la fiebre mundialista. Hasta la Fifa está al tanto de las estafas y engaños que pueden sucederse alrededor del evento de fútbol más importante del mundo. En su página web, el organismo es terminante: "Sí, existen riesgos al adquirir boletos fuera del sitio oficial. La Fifa recomienda que todas las compras se realicen exclusivamente en FIFA.com/tickets". En primer término, aclara que "los boletos adquiridos en sitios de reventa no oficiales, redes sociales o a través de terceros pueden ser falsos. Aunque parezcan legítimos, estos boletos fraudulentos se podrían rechazar en la entrada del estadio".
