La trampa del Mundial 2026: sitios que copian a la FIFA para vaciar tarjetas y robar datos
Expertos en ciberseguridad alertan sobre páginas que copian la imagen de la FIFA y buscan obtener tarjetas bancarias, correos electrónicos y contraseñas de los usuarios.
Los portales no solo copian el diseño y apariencia, también replican el proceso completo de compra, desde el registro con FIFA ID hasta la selección de partidos y camisetas.(Miladin Pusicic/Getty Images)
Expansión Digital
Millones de buscan en este momento boletos para asistir al Mundial 2026. Y mientras lo hacen, algunos ya entregaron su nombre completo, correo electrónico, contraseña y número de tarjeta a cibercriminales sin saberlo.
La empresa de ciberseguridad ESET detectó cinco sitios web que se hacen pasar por la página oficial de la FIFA con un nivel de imitación difícil de distinguir a simple vista. Estos portales no solo copian el diseño y apariencia, también replican el proceso completo de compra, desde el registro con FIFA ID hasta la selección de partidos y camisetas.
Publicidad
Cuáles son los sitios falsos que venden boletos para el Mundial 2026
1. https://***fifa26[.]shop
(ESET)
Este primer sitio (https://***fifa26[.]shop) replica punto por punto la experiencia del portal oficial: mismos colores, misma disposición de pestañas y el mismo proceso de registro con FIFA ID. Según ESET, el objetivo es que la víctima perciba la navegación como completamente legítima desde el primer clic.
Tras completar el registro, el usuario puede seleccionar partidos por fase del torneo, elegir camisetas de cualquier selección participante y agregarlas al carrito. El momento crítico aparece al ingresar los datos de la tarjeta: ahí la información termina directamente en manos de los cibercriminales. No hay boleto. No hay camiseta. Solo el robo de datos.
(ESET)
2. https://****26-fifa[].com.
(ESET)
Aunque mantiene una dinámica similar al caso anterior, ESET advierte un riesgo que va más allá del fraude inmediato. Para permitir la supuesta compra, el sitio pide nombre completo, correo electrónico, teléfono y contraseña. Con esa información, los atacantes ya tienen la base necesaria para intentar un robo de identidad.
El problema crece porque muchas personas reutilizan la misma contraseña en distintos servicios. La clave capturada en este portal podría coincidir con la del correo electrónico, cuentas bancarias o plataformas de trabajo. En ese escenario, ni siquiera hace falta un ataque técnico más sofisticado.
3. https://fifa****[.]site
Más que apoyarse en un engaño técnico, este sitio apuesta por una reacción emocional. Reproduce con precisión la identidad visual de la FIFA —colores, tipografías y elementos gráficos— para generar confianza automática en el usuario. Los especialistas señalan que esta estrategia suele ser especialmente efectiva cuando la urgencia por conseguir entradas reduce la atención a señales de alerta.
Dicho de otra manera: el portal no solo imita visualmente a la FIFA. También está diseñado para aparecer en el momento en que el aficionado está más distraído y dispuesto a avanzar rápido sin verificar detalles.
Publicidad
4. https://fifa****[.]store
Aquí se observa una táctica cada vez más utilizada: emplear extensiones de dominio como “.store” o “.shop” para reforzar la apariencia comercial del sitio. Para muchos usuarios, estos dominios no despiertan sospechas; incluso pueden transmitir una sensación de formalidad. Al combinarse con la palabra “fifa”, crean una dirección que parece oficial sin realmente serlo.
De acuerdo con ESET, este recurso es frecuente en campañas de suplantación de identidad porque los consumidores ya normalizaron que muchas tiendas digitales utilicen extensiones distintas a “.com”.
5. https://fifa*****[.]shop
(ESET)
El quinto caso deja claro algo que los sitios anteriores ya insinuaban: no son intentos aislados de oportunistas, sino una campaña organizada. Los cibercriminales registran múltiples variantes del mismo dominio bajo una lógica simple: si una página es reportada y dada de baja, las demás siguen activas. Así evitan depender de un solo sitio.
Según ESET, esta estrategia de redundancia aparece cada vez más en eventos masivos con alta exposición mediática. El Mundial 2026, con cientos de millones de espectadores y tres países sede, encaja perfectamente en el tipo de escenario que vuelve rentable este modelo de fraude.
Cuál es la página segura para comprar boletos del Mundial 2026
Conviene recordar que, tal como advierte la propia FIFA, organizadora del torneo, los boletos para todas las fases del Mundial solo estarán disponibles a través de FIFA.com/tickets .
Cómo evitar caer en fraudes al comprar entradas para el Mundial 2026
Quienes busquen entradas o productos relacionados con el torneo deben revisar varios detalles antes de completar cualquier compra en línea.
1 – Verificar la URL
Este punto es fundamental: cualquier compra relacionada con la Copa Mundial debe realizarse únicamente desde el sitio oficial: https://fifa.com .
También conviene revisar cuidadosamente el dominio para detectar páginas que intenten confundir con direcciones parecidas, como las analizadas por los especialistas. Muchas agregan palabras, guiones o extensiones como “.shop”, “.store” o “.site”. Una diferencia mínima puede ser señal de fraude.
2 – No hacer clic en anuncios
Muchos de los sitios falsos detectados se promocionan mediante anuncios pagados y publicaciones patrocinadas en redes sociales o aplicaciones de mensajería.
Por eso, la recomendación es ingresar manualmente a sitios de confianza y evitar acceder mediante enlaces compartidos, publicidad o mensajes enviados por terceros.
3 – Desconfiar de ofertas “exclusivas” o “imposibles”
La urgencia y la sensación de oportunidad son algunos de los recursos más utilizados por los ciberdelincuentes para volver más efectivas sus estafas.
En el contexto del Mundial, esto suele aparecer en mensajes con frases como “cupos limitados”, “acceso VIP” o “descuentos en entradas”. La recomendación es desconfiar de cualquier oferta que parezca demasiado buena para ser verdad.
