Sociedad

Detectan 5 sitios falsos que suplantan a FIFA para vender boletos y mercancía del Mundial 2026

ESET identifica páginas falsas activas que atraen fanáticos que buscan entradas, alojamiento e incluso merchandising, y así obtener información sensible, datos bancarios y el dinero de las víctimas.
Detectan 5 sitios falsos que suplantan a FIFA ESET
Redacción 16-05-2026

TIJUANA.- 

ESET Latinoamérica, compañía líder en detección proactiva de amenazas, identificó cinco páginas apócrifas que suplantan al máximo organismo del futbol con la excusa de ofrecer entradas y merchandising de la Copa Mundial 2026. Los estafadores buscan obtener información sensible de sus víctimas, datos bancarios y hasta dinero. Estos sitios falsos pueden aparecer patrocinados en búsquedas de Google, así como en anuncios en redes sociales o incluso llegar mediante mensajes y correos electrónicos.

"Si bien informan desde FIFA (ente organizador del evento) que los boletos para todas las fases del torneo están disponibles exclusivamente en FIFA.com/tickets, desde ESET encontramos cinco sitios falsos que se hacen pasar por el sitio oficial de la Copa del Mundo 2026 de la FIFA", comentó Mario Micucci.

ESET analizó cada uno de estos sitios que imitan al oficial, con el objetivo de ayudar a identificarlos.

El sitio falso número 1, "fifa26.shop", busca engañar a sus víctimas mediante la similitud de su URL con la oficial. Utiliza la técnica llamada "typosquatting", que se caracteriza por crear dominios idénticos a los legítimos, con modificaciones sutiles, como cambios, omisiones o adiciones de caracteres, así como el uso de números en lugar de letras.

Detectan 5 sitios falsos que suplantan a FIFA

La página imita con exactitud a la de FIFA: desde su diseño, colores y disposición, hasta las pestañas que permiten recorrer el resto del sitio. Además, replica el flujo de la web oficial, haciendo sentir a la víctima que la experiencia es legítima. Esto confirma que los ataques de phishing actuales buscan copiar experiencias completas para generar confianza.

La calidad de la imitación es alta, por lo que resulta complejo diferenciarla del sitio oficial. En caso de que la víctima desee avanzar con la compra de entradas o merchandising, la página falsa solicita el registro de la persona. Lo riesgoso, según ESET, es que copia a detalle la página oficial de FIFA, que también requiere registro, aprovechando así un elemento clave como el FIFA ID para generar confianza.

Este sitio apócrifo también utiliza la promesa de venta de merchandising para engañar a sus víctimas. La similitud con el sitio oficial es clara, al grado de ofrecer camisetas de todas las selecciones participantes y permitir seleccionar productos y agregarlos al carrito de compra.

En caso de que la víctima ingrese los datos de su tarjeta, ESET advirtió que no recibirá ninguna camiseta, sino que entregará información confidencial al actor malicioso detrás del sitio falso.

Asimismo, luego de que la víctima se registra en la página falsa de FIFA ID, el sitio permite comprar supuestos boletos para los partidos de la Copa Mundial. Se puede elegir el partido deseado, en cualquiera de las fases del torneo, y posteriormente se dirige al carrito de compra. Si la víctima continúa el proceso, sus datos bancarios llegarán a manos del ciberdelincuente detrás del sitio falso, sin obtener ninguna entrada para la Copa Mundial.

El sitio falso número 2, "26-fifa.com", al igual que el ejemplo anterior, busca no levantar sospechas mediante una URL similar a la oficial. El diseño general de la web falsa, así como las pestañas de navegación, son idénticos a los del sitio oficial de FIFA.

Detectan 5 sitios falsos que suplantan a FIFA

En este caso, se le pide a la víctima registrarse y proporcionar datos personales para posteriormente habilitar la supuesta compra de entradas y merchandising del Mundial. Al obtener el nombre completo, correo electrónico, teléfono y contraseña de la víctima, el ciberatacante puede iniciar un robo de identidad.

Desde ESET alertaron que muchas personas reutilizan contraseñas en distintos servicios, por lo que entregar credenciales en una página falsa puede derivar en accesos indebidos a correos electrónicos, redes sociales o plataformas bancarias.

El sitio falso número 3, "fifa*.site", también imita el diseño de la web oficial de FIFA. El objetivo es claro: mediante el uso de colores, tipografías y elementos visuales, busca generar una reacción automática de confianza en el usuario, especialmente en contextos donde la ansiedad por conseguir entradas puede reducir la atención a señales de alerta.

El sitio falso número 4, "fifa*.store", utiliza extensiones como ".store" o ".shop" para reforzar la apariencia comercial del sitio.

"A simple vista, las víctimas pueden interpretar estas URLs como legítimas, especialmente porque los dominios falsos incluyen la palabra 'fifa', un recurso frecuente en campañas de suplantación de identidad", agregó Mario Micucci.

Por su parte, el sitio falso número 5, "fifa*.shop", demuestra que no se trata de casos aislados, sino de campañas organizadas.

"Los actores maliciosos suelen registrar diversas variantes de una misma página para maximizar el alcance del engaño y mantener operativa la campaña incluso si algunos dominios son dados de baja. Esta lógica del phishing es cada vez más frecuente en eventos masivos y de alta exposición mediática, como la Copa Mundial de Futbol 2026", explicó el investigador de ESET.

No es novedad que los ciberdelincuentes aprovechen la fiebre mundialista. Incluso la propia FIFA está al tanto de las estafas y engaños que pueden surgir alrededor del evento de futbol más importante del mundo.

En su página web, FIFA advierte sobre los riesgos de adquirir boletos fuera del sitio oficial y recomienda que todas las compras se realicen exclusivamente en FIFA.com/tickets.

Además, aclara que los boletos adquiridos en sitios de reventa no oficiales, redes sociales o a través de terceros pueden ser falsos y rechazados en la entrada de los estadios.

ESET compartió algunos puntos clave para evitar ser víctima de este tipo de sitios de phishing:

  1. Verificar la URL. Para cualquier compra vinculada a la Copa Mundial, se debe visitar el sitio oficial: FIFA.com. Es importante prestar atención a sitios que agreguen palabras, guiones o extensiones como ".shop", ".store" o ".site". Cualquier mínima diferencia puede ser un indicio de estafa.
  2. No hacer clic en anuncios. Los sitios falsos suelen promocionarse mediante anuncios patrocinados en redes sociales y aplicaciones de mensajería. La recomendación es ingresar manualmente a los sitios oficiales y evitar acceder mediante enlaces compartidos por terceros.
  3. Desconfiar de ofertas "exclusivas" o "imposibles". La urgencia y la ansiedad son utilizadas por los ciberdelincuentes para hacer más efectivas sus estafas, especialmente con frases como "cupos limitados", "acceso VIP" o "descuentos en entradas". La recomendación es desconfiar de todo aquello que parezca demasiado bueno para ser verdad.

"Los casos encontrados son una clara muestra de una tendencia cada vez más preocupante: frente a eventos masivos, los sitios falsos ya no son páginas rudimentarias, improvisadas o fáciles de detectar. Hoy replican diseños, experiencias de usuario y flujos de compra completos para parecer legítimos y reducir las sospechas de las víctimas. La principal defensa sigue siendo la atención: verificar la URL, desconfiar de ofertas imposibles y acceder únicamente a canales oficiales. Porque durante la fiebre mundialista no sólo hay que estar atentos a lo que pasa dentro de la cancha, sino también fuera de ella", concluyó Mario Micucci.

Para más información, se puede consultar WeLiveSecurity, el sitio de noticias de ESET.

Además, ESET invita a conocer su podcast "Conexión Segura", enfocado en temas de seguridad informática, disponible en Spotify.

Temas relacionados ESET FIFA sitios falsos de internet

Lee también