Cada cuatro años, el mundo se detiene por la Copa Mundial de Fútbol. Sin embargo, en pleno 2026, la fiebre mundialista no solo atrae a millones de fanáticos, sino también a cibercriminales buscando lucrarse con estafas en el Mundial 2026.

En los últimos días, investigadores de ESET Latinoamérica han detectado cinco sitios web falsos que suplantan a la FIFA. Su objetivo es claro: Engañar a quienes buscan desesperadamente entradas o merchandising del torneo para robar información sensible, datos bancarios y, en última instancia, su dinero.

¿Cómo se propagan estas páginas fraudulentas?

Para mantener una navegación privada y segura de cara al evento, es vital entender cómo operan estas campañas de suplantación. Las mecánicas analizadas nos indican que debes prestar especial atención a:

• Resultados patrocinados en motores de búsqueda: Enlaces a páginas apócrifas camuflados como anuncios legítimos de Google u otros buscadores.
• Anuncios en redes sociales: Campañas que aprovechan la urgencia y el hype de los partidos.
• Mensajes directos y correos electrónicos: Estrategias de phishing tradicionales con ganchos altamente persuasivos.

Las reglas del juego en Ciberseguridad

El certamen arranca el 11 de junio en Estados Unidos, Canadá y México, pero los atacantes ya dieron el pitazo inicial. Es importante recordar la regla de oro dictada por la organización: Los boletos para todas las fases del torneo están disponibles exclusivamente a través del portal oficial FIFA.com/tickets.

A continuación, analizaremos en detalle cada uno de estos sitios apócrifos. Entrenar el ojo en ciberseguridad es fundamental, ya que con el paso de los días seguramente surgirán nuevas plataformas fraudulentas aprovechando el interés masivo.

SITIO FALSO #1

El primer sitio que encontramos es https://***fifa26[.]shop, y busca engañar a sus víctimas desde la similitud de su URL con la oficial. Para hacer un doble clic, la técnica denominada typosquatting se caracteriza por crear dominios idénticos a los legítimos, con modificaciones muy sutiles (cambio, omisión o adición de caracteres, hasta el uso de número en vez de letra).

A su vez, la página imita con exactitud la de FIFA: desde su diseño, colores y disposición, a las pestañas que permiten recorrer el resto del sitio. Es decir, logra replicar el flujo de la web oficial, haciendo sentir a la víctima que la experiencia es legítima. Esto confirma que los ataques de phishing de hoy buscan copiar experiencias completas para generar confianza.

La siguiente imagen es del sitio falso:

Y esta otra, corresponde al sitio oficial del evento. La similitud es clara, y la calidad de la imitación, muy alta, siendo muy complejo diferenciar una de otra.

Se aprecia la similitud entre ambos, que fortalece el engaño.
En caso de que la víctima desee avanzar con la compra de entradas o merchandising, la página primero solicita el registro de la persona. Esta es la página falsa:

Lo riesgoso es que copia al detalle a la página oficial de la FIFA, que también pide registro. Así, aprovecha un elemento clave como el FIFA ID para generar confianza. 

Se aprecia la similitud entre ambos, que fortalece el engaño.
Este sitio apócrifo, además, se vale de la promesa de la venta de merchandising para engañar a sus víctimas. La similitud con el sitio oficial es clara:

Al punto que ofrece camisetas de todas las selecciones participantes.

Y permite seleccionar cualquier producto y agregarlo al carrito de compra:

Este punto es crítico: en caso de que la víctima ingrese los datos de su tarjeta, no obtendrá ninguna camiseta, sino que estará entregando esta información sensible y confidencial al actor malicioso detrás del sitio apócrifo.

A su vez, luego de que la víctima se registra en la página falsa de FIFA ID, la página también permite comprar supuestos boletos para los partidos de la Copa Mundial.

Se puede elegir el partido deseado, en cualquiera de las fases del torneo:

Y luego, lleva al carrito de compra, donde, si la víctima continua el proceso, sus datos bancarios viajarán a las manos del cibercriminal detrás del sitio falso. Y obviamente, no obtendrá ninguna entrada para la Copa Mundial.

Sitio falso #2

El otro sitio que encontramos es https://****26-fifa[].com. Al igual que el ejemplo anterior, busca a través de la URL no levantar sospechas, aprovechando su similitud con la web oficiaA su vez, el diseño de la web falsa en general, como las pestañas para navegar son idénticas a la web oficial de la FIFA.

La dinámica de este sitio es similar al detallado en el ejemplo 1: le pide a la víctima que se registre (es decir, que entregue sus datos personales), para después habilitar la supuesta compra de entradas y merchandising del Mundial.

Obteniendo nombre completo de la víctima, su email, teléfono y contraseña, el ciberatacante puede iniciar un ataque de robo de identidad. Y lo que es peor: dado que muchas personas reutilizan contraseñas en distintos servicios, entregar credenciales en una página falsa puede derivar en accesos indebidos a correos electrónicos, redes o plataformas bancarias.

Sitio falso #3

El sitio https://fifa****[.]site también es falso, e imita diseño de la web oficial de FIFA.

El objetivo es claro: a través del uso de colores, tipografías y elementos visuales, busca generar una reacción automática de confianza en el usuario, especialmente en contextos donde la ansiedad por conseguir entradas puede reducir la atención a señales de alerta.

Sitio falso #4

El sitio falso https://fifa****[.]store permite abordar uno de los aspectos más interesantes de estos sitios de phishing: los ciberatacantes suelen aprovechar extensiones como “.store” o “.shop” para reforzar la apariencia comercial del sitio.

A simple vista, las víctimas pueden interpretar estas URLs como legítimas, especialmente porque los dominios falsos incluyen la palabra “fifa”, un recurso frecuente en campañas de suplantación de identidad.

Sitio falso #5

El último sitio falso https://fifa*****[.]shop refuerza lo planteado en el caso 4. Pero además, demuestra que no se trata de casos aislados, sino de campañas organizadas.

Los actores maliciosos suelen registrar diversas variantes de una misma página para maximizar el alcance del engaño y así mantener operativa la campaña incluso si algunos dominios son dados de baja.

Esta lógica del phishing es cada vez más frecuente en eventos masivos y de alta exposición mediática, como lo es la Copa Mundial de Fútbol 2026.

¿Qué dice la FIFA sobre comprar entradas para el Mundial 2026?

En su portal oficial, el organismo es tajante respecto a los peligros de adquirir pases fuera de sus canales autorizados: “Sí, existen riesgos al adquirir boletos fuera del sitio oficial. La FIFA recomienda que todas las compras se realicen exclusivamente en FIFA.com/tickets”.

Especialmente para los fanáticos de nuestra región en Centroamérica y República Dominicana que planean viajar, es crucial entender los tres grandes escenarios de riesgo que detalla la organización al recurrir a plataformas no oficiales:

• Boletos falsificados: Las entradas adquiridas en sitios de reventa, redes sociales o mediante terceros pueden ser fraudulentas. Aunque su diseño parezca 100% legítimo, el acceso al estadio será rechazado en los controles de seguridad.
• Entradas duplicadas o anuladas: Es común la reventa de un mismo boleto a múltiples personas o la circulación de pases previamente invalidados por FIFA Ticketing. Incluso si la entrada supera un escaneo inicial, se negará el ingreso si el sistema la detecta como ya utilizada.
• Precios exorbitantes y sin garantías: Las fuentes no oficiales inflan los costos de manera abusiva, especialmente para partidos de alta demanda (como eliminatorias o clásicos). 

El usuario asume el riesgo de pagar cifras altísimas sin contar con ninguna garantía sobre su autenticidad. La conclusión y principal medida preventiva es clara: Para proteger tu dinero y asegurar tu lugar en el estadio, debes comprar los boletos únicamente a través de FIFA.com/tickets.

¿Cómo evitar estafas al comprar entradas para el Mundial 2026?

Para quienes buscan asegurar su lugar en el evento, la prevención es la mejor estrategia. Presta atención a estos tres pilares antes de realizar cualquier transacción:

1. Verifica la URL: Para cualquier compra vinculada al torneo, el único destino seguro es fifa.com/tickets. Desconfía de dominios que agreguen palabras, guiones o utilicen extensiones inusuales (como .shop, .store o .site).
2. Ignora los anuncios patrocinados: Las redes de estafa invierten en publicidad en redes sociales y buscadores. Ingresa siempre manualmente la dirección oficial en tu navegador; no hagas clic en enlaces promocionales ni en ofertas enviadas por WhatsApp o correo electrónico.
3. Desconfía del sentido de urgencia: Frases como “cupos limitados”, “acceso VIP exclusivo” o “descuentos de última hora” son anzuelos psicológicos. Si una oferta parece demasiado buena para ser verdad, en el mundo de la ciberseguridad, es casi seguro que se trata de un fraude.

Tu mejor defensa en la cancha digital

Aunque el pitazo inicial aún no ha sonado, los cibercriminales ya están jugando su partido con réplicas exactas de sitios legítimos. Cuando el fraude es tan sofisticado, la atención visual ya no basta: Necesitas tecnología proactiva que actúe antes de que el daño esté hecho.

Para garantizar que tu entusiasmo mundialista no se convierta en un riesgo financiero, es vital contar con ESET Home Security. Esta solución te brinda una capa avanzada de ciberseguridad diseñada para el usuario actual: Bloquea automáticamente sitios de phishing (como los analizados arriba) y protege tus datos bancarios al momento de comprar, garantizando una navegación privada y segura en todo momento.