Cada cuatro años, el Mundial de la FIFA capta la atención de miles de millones de personas. Esta atención genera oportunidades, no solo para patrocinadores, emisoras y comerciantes legítimos, sino también para los ciberdelincuentes, quienes ven en este evento un terreno fértil para las estafas.

Con la inminencia del Mundial de la FIFA 2026, Check Point® Software Technologies Ltd. (NASDAQ: CHKP), pionero y líder global en soluciones de ciberseguridad, advirtió sobre los primeros indicios de ciberestafas. En tan solo dos meses, desde el 1 de agosto de 2025, más de 4300 dominios recién registrados, que hacen referencia a la FIFA, al Mundial o a las ciudades sede, han aparecido en internet. 

A primera vista, muchos de estos dominios parecen inofensivos. Sin embargo, al analizarlos en conjunto, revelan una estrategia mucho más elaborada. Aparecen de forma sincronizada, no de manera aleatoria; se agrupan en torno a un pequeño número de registradores de dominio en lugar de distribuirse ampliamente; y comparten patrones de nomenclatura e infraestructura DNS, como si fueran generados por un mismo script.

Estos dominios representan fragmentos de una infraestructura preparada con la intención de obtener beneficios. Algunos están diseñados para anunciar entradas falsas que nunca se entregarán, otros prometen transmisiones en directo que en realidad contienen malware, y otros ofrecen productos que están destinados a ser falsificados. Lo que resulta aún más preocupante es la evidencia de ataques sistemáticos: redes de bots preparadas para colapsar los sistemas de venta de entradas, modelos de precios manipulados mediante la demanda artificial y mercados clandestinos que ofrecen herramientas y técnicas para cometer fraudes. En esta fase, lo que se observa no es el fraude en sí, sino la infraestructura que se está montando discretamente en el entorno del torneo.

Dinámica del registro de dominios

Una de las señales más claras de coordinación se observa en el aspecto temporal. Los datos revelaron que casi 1500 dominios se registraron en un breve periodo, entre el 8 y el 12 de agosto de 2025, con otro pico de actividad a principios de septiembre. Este patrón es incompatible con la actividad espontánea de los aficionados y sugiere, más bien, la adquisición masiva y automatizada de dominios. 

También se detectó la estrategia de maduración de dominios. Varios se registraron no solo para el Mundial de 2026, sino también para ediciones futuras, como las de 2030 y 2034. Estos registros, que permanecen inactivos durante años, tienen como objetivo generar una apariencia de legitimidad antes de su activación, una táctica común en las campañas fraudulentas dirigidas a marcas.

Concentración de registradores y extensiones de dominio

Los registros fraudulentos no se distribuyen uniformemente entre los diferentes registradores. La mayoría de los dominios se concentraban en un pequeño número de registradores, principalmente GoDaddy, Namecheap, Gname, Dynadot y Porkbun. 

Estos proveedores son populares por su gran capacidad, sus promociones de precios y la facilidad para automatizar procesos masivos. La distribución de las extensiones de dominio sigue un patrón similar. El dominio .com domina el mercado, representando más de la mitad de los casos, mientras que una gran cantidad de extensiones de bajo coste, como .online, .shop, .store y .football, ofrecen alternativas económicas para quienes buscan expandir sus operaciones fraudulentas.

Segmentación geográfica y lingüística

Los datos geográficos indican una segmentación intencionada, tanto para audiencias globales como para mercados locales. Los dominios que hacían referencia a países anfitriones (Estados Unidos, México, Canadá) y ciudades anfitrionas (Dallas, Miami, Toronto, Vancouver, Ciudad de México) eran frecuentes, diseñados para mejorar el posicionamiento SEO y generar credibilidad entre los viajeros. 

La segmentación lingüística refuerza esta estrategia: el inglés predomina en las estafas de streaming dirigidas a un público global, el español y el portugués se utilizan ampliamente en fraudes relacionados con entradas y merchandising dirigidos a aficionados latinoamericanos, y el francés aparece en grupos más pequeños, probablemente dirigidos a aficionados europeos.

Atractivos temáticos

Los dominios se centran en tres tipos principales de estafas: venta de entradas falsas, transmisión ilegal de eventos y venta de productos falsificados. Algunos grupos de dominios se dedicaban a un solo tema, como fifa2026ticketsmiami.com, mientras que otros combinaban varios elementos en un mismo dominio, por ejemplo fifa2026tickets-streamlive.com. Este último caso sugiere el uso de plantillas predefinidas, que permiten a los estafadores variar el contenido manteniendo una estructura uniforme.

Términos relacionados con la transmisión en streaming («HD», «ver en directo», «gratis») eran comunes, aunque los dominios relacionados con la venta de entradas, si bien eran menos frecuentes, resultaban más perjudiciales económicamente, dada la elevada cuantía de las pérdidas por víctima.

Los dominios que vendían productos como camisetas, equipaciones y ropa deportiva estaban disponibles en varios idiomas, principalmente español y portugués.

Superposición de infraestructura

El análisis de los registros DNS reveló el uso repetido de servidores de nombres idénticos en diferentes grupos de dominios, lo que sugiere que no se trata de decenas de actores independientes, sino de un pequeño número de operadores semiprofesionales que gestionan un gran número de dominios. 

Esta superposición, junto con los registros sincronizados y los patrones léxicos similares, respalda la hipótesis de una actividad coordinada.

Campañas en múltiples plataformas

Los dominios por sí solos no explican el riesgo. Su verdadero potencial radica en su difusión a través de diversas plataformas. En canales de Telegram ya se han detectado anuncios de entradas falsas y camisetas piratas. Los foros de la dark web siguen ofreciendo entradas fraudulentas y herramientas para realizar estafas de phishing o fraudes con tarjetas de crédito, todo ello bajo la marca de la FIFA. 

Se prevé que las páginas de redes sociales, que a menudo se hacen pasar por canales oficiales, redirijan el tráfico a estos dominios, mientras que los anuncios maliciosos en los resultados de búsqueda podrían superar en relevancia a las propias páginas web de la FIFA. 

Lo que surge no es un conjunto de estafas aisladas, sino un ecosistema de distribución de fraudes, que abarca desde el registro de dominios hasta los mercados clandestinos y las redes sociales convencionales.

Abuso de la venta de entradas y tácticas avanzadas

Quizás lo más preocupante sean las amenazas sistémicas a la infraestructura de venta de entradas de la FIFA. Hay indicios de que se están preparando redes de bots para saturar las plataformas de venta, adquirir entradas en masa y revenderlas a precios inflados. 

Estos picos de demanda generados por bots también interfieren con los algoritmos de precios dinámicos, lo que provoca que los aficionados legítimos tengan que pagar precios más altos. Paralelamente, vendedores de la dark web ofrecen abiertamente kits de bots, redes de servidores proxy y guías para eludir los sistemas de seguridad de la FIFA. 

El caso judicial de la FTC contra Live Nation/Ticketmaster en septiembre de 2025 demuestra cómo la automatización de la reventa ha desestabilizado las principales plataformas de venta de entradas y pone de manifiesto la vulnerabilidad de eventos con alta demanda, como el Mundial, ante este tipo de abusos.

Sobre el autor

El Eco de Tandil

Más de 143 años escribiendo la historia de Tandil