Detectan más de 4.300 dominios falsos de la FIFA en una estafa masiva relacionada con el Mundial 2026
El campeonato ni siquiera ha empezado y los estafadores ya venden "aire" por miles de dólares.
Quedan pocas semanas para la Copa Mundial de la FIFA 2026, y los estafadores ya han desplegado en torno al torneo toda una red de sitios falsos. Los especialistas Group-IB encontraron más de 4300 dominios que se hacen pasar por recursos oficiales de la FIFA, y una de las campañas podría causar a las víctimas pérdidas por cientos de millones de dólares.
Group-IB identifica como principal participante de la operación a la agrupación de habla china GHOST STADIUM. Según la compañía, gestiona más de 300 sitios falsos, donde se copian las páginas de la FIFA para que los usuarios inicien sesión en su cuenta y compren entradas. Las páginas parecen casi auténticas, admiten 11 idiomas, incluido el ruso, y usan elementos de diseño de los recursos oficiales de la FIFA para no levantar sospechas.
Los estafadores atraen a los aficionados con anuncios de entradas baratas, incluso a través de Facebook. En los sitios muestran ventanas emergentes que instan a comprar la entrada con urgencia; luego el usuario llega a una página falsa donde se le pide iniciar sesión o completar un pedido. Allí recaban el nombre de usuario, la contraseña, el nombre, la dirección, el teléfono y los datos de pago. Después de que la víctima introduce las credenciales, puede ser redirigida al sitio real de la FIFA, por lo que el fraude no siempre se detecta de inmediato.
Group-IB considera que solo el fraude con entradas caras y paquetes de hospitalidad podría provocar pérdidas de entre 71 millones y 474 millones de dólares. En 79 sitios del grupo encontrado los atacantes ofrecían entradas con precios desde 1500 hasta más de 10 000 dólares. En uno de esos dominios los especialistas detectaron más de 600 registros, tras lo cual estimaron la posible escala del daño en toda la red.
A las víctimas se les exige el pago de diferentes maneras. Entre las variantes encontradas había formularios para introducir datos de tarjeta bancaria, servicios de pago externos, transferencias mediante aplicaciones, sistemas de pago regionales y casos en los que las víctimas compran criptomoneda a través de plataformas de pago legales. Independientemente del método de pago, el aficionado no recibe la entrada y el dinero va a los estafadores.
GHOST STADIUM no es la única amenaza en torno al torneo. Group-IB también encontró sitios falsos con transmisiones de partidos, tiendas de mercancía falsificada, plataformas de apuestas y casinos falsos, así como rastros de software malicioso que roba credenciales. En la darknet ya se venden 2513 pares de nombres de usuario y contraseñas de cuentas de la FIFA, y en total los especialistas detectaron alrededor de 130 000 registros de malware con menciones a la FIFA.
La Copa Mundial de la FIFA 2026 se celebrará en Estados Unidos, Canadá y México del 11 de junio al 19 de julio. El torneo será el mayor de la historia: están previstos 104 partidos en 16 ciudades, y, según la FIFA, más de 6 millones de aficionados asistirán a los estadios. Esta demanda convierte a las entradas en un cebo conveniente para los estafadores, especialmente cuando los usuarios temen no conseguir plazas para el partido deseado.
Se aconseja a los aficionados comprar las entradas solo a través del sitio oficial fifa.com, verificar con atención la dirección de la página y no acceder a anuncios sobre entradas baratas en redes sociales y aplicaciones de mensajería. Cualquier oferta para pagar la entrada con criptomoneda debe considerarse una estafa. Quienes ya han introducido sus datos en un sitio sospechoso deben cambiar de inmediato la contraseña de su cuenta de la FIFA, comprobar posibles cambios en la cuenta y contactar con el banco si se realizó un pago.