Podría decirse que cada cuatro años se para el mundo porque la Copa Mundial de Fútbol acapara la atención de la gran mayoría de las personas. En ese contexto entran los cibercriminales, que ponen el foco en la fiebre mundialista para llevar a cabo sus estafas y engaños.
En los últimos días, hemos encontrado cinco sitios falsos que se hacen pasar por la web oficial del Mundial 2026 de la FIFA para llevar a quienes buscan entradas o merchandising del Mundial, que está próximo a comenzar, a caer en esquemas de engaño con el fin de robar información sensible, datos bancarios y hasta dinero. ¿Cómo circulan estos sitios apócrifos? De acuerdo con las mecánicas analizadas en este tipo de campañas, es necesario prestar especial atención a los resultados patrocinados en motores de búsqueda, donde pueden aparecer enlaces a sitios falsos, pero también a anuncios en redes sociales e incluso a mensajes o correos electrónicos.
Es importante tener en cuenta que, tal como advierte la FIFA, organizadora del evento, los boletos para todas las fases del torneo están disponibles exclusivamente en FIFA.com/tickets.
A continuación, analizaremos el detalle de cada uno de estos sitios apócrifos para entrenar el ojo, ya que seguramente aparezcan nuevos aprovechando el interés masivo de este evento deportivo. El certamen comienza el 11 de junio y se desarrollará en Estados Unidos, Canadá y México, pero los cibercriminales ya están jugando su partido.
Sitio falso N°1
El primer sitio que encontramos es https://***fifa26[.]shop, y busca engañar a sus víctimas desde la similitud de su URL con la oficial. Para hacer un doble clic, la técnica denominada typosquatting se caracteriza por crear dominios idénticos a los legítimos, con modificaciones muy sutiles (cambio, omisión o adición de caracteres, hasta el uso de número en vez de letra).
A su vez, la página imita con exactitud la de FIFA: desde su diseño, colores y disposición, a las pestañas que permiten recorrer el resto del sitio. Es decir, logra replicar el flujo de la web oficial, haciendo sentir a la víctima que la experiencia es legítima. Esto confirma que los ataques de phishing de hoy buscan copiar experiencias completas para generar confianza.
La siguiente imagen es del sitio falso:
Y esta otra, corresponde al sitio oficial del evento. La similitud es clara, y la calidad de la imitación, muy alta, siendo muy complejo diferenciar una de otra.
En caso de que la víctima desee avanzar con la compra de entradas o merchandising, la página primero solicita el registro de la persona. Esta es la página falsa:
Lo riesgoso es que copia al detalle a la página oficial de la FIFA, que también pide registro. Así, aprovecha un elemento clave como el FIFA ID para generar confianza.
Este sitio apócrifo, además, se vale de la promesa de la venta de merchandising para engañar a sus víctimas. La similitud con el sitio oficial es clara:
Al punto que ofrece camisetas de todas las selecciones participantes.
Y permite seleccionar cualquier producto y agregarlo al carrito de compra:
Este punto es crítico: en caso de que la víctima ingrese los datos de su tarjeta, no obtendrá ninguna camiseta, sino que estará entregando esta información sensible y confidencial al actor malicioso detrás del sitio apócrifo.
A su vez, luego de que la víctima se registra en la página falsa de FIFA ID, la página también permite comprar supuestos boletos para los partidos de la Copa Mundial.
Se puede elegir el partido deseado, en cualquiera de las fases del torneo:
Y luego, lleva al carrito de compra, donde, si la víctima continua el proceso, sus datos bancarios viajarán a las manos del cibercriminal detrás del sitio falso. Y obviamente, no obtendrá ninguna entrada para la Copa Mundial.
Sitio falso N°2
El otro sitio que encontramos es https://****26-fifa[].com. Al igual que el ejemplo anterior, busca a través de la URL no levantar sospechas, aprovechando su similitud con la web oficial.
A su vez, el diseño de la web falsa en general, como las pestañas para navegar son idénticas a la web oficial de la FIFA.
La dinámica de este sitio es similar al detallado en el ejemplo 1: le pide a la víctima que se registre (es decir, que entregue sus datos personales), para después habilitar la supuesta compra de entradas y merchandising del Mundial.
Obteniendo nombre completo de la víctima, su email, teléfono y contraseña, el ciberatacante puede iniciar un ataque de robo de identidad. Y lo que es peor: dado que muchas personas reutilizan contraseñas en distintos servicios, entregar credenciales en una página falsa puede derivar en accesos indebidos a correos electrónicos, redes o plataformas bancarias.
Sitio falso N°3
El sitio https://fifa****[.]site también es falso, e imita diseño de la web oficial de FIFA.
El objetivo es claro: a través del uso de colores, tipografías y elementos visuales, busca generar una reacción automática de confianza en el usuario, especialmente en contextos donde la ansiedad por conseguir entradas puede reducir la atención a señales de alerta.
Sitio falso N°4
El sitio falso https://fifa****[.]storepermite abordar uno de los aspectos más interesantes de estos sitios de phishing: los ciberatacantes suelen aprovechar extensiones como “.store” o “.shop” para reforzar la apariencia comercial del sitio.
A simple vista, las víctimas pueden interpretar estas URLs como legítimas, especialmente porque los dominios falsos incluyen la palabra “fifa”, un recurso frecuente en campañas de suplantación de identidad.
Sitio falso N°5
El último sitio falsohttps://fifa*****[.]shop refuerza lo planteado en el caso 4. Pero además, demuestra que no se trata de casos aislados, sino de campañas organizadas.
Los actores maliciosos suelen registrar diversas variantes de una misma página para maximizar el alcance del engaño y así mantener operativa la campaña incluso si algunos dominios son dados de baja.
Esta lógica del phishing es cada vez más frecuente en eventos masivos y de alta exposición mediática, como lo es la Copa Mundial de Fútbol 2026.
¿Qué dice FIFA al respecto?
Que los cibercriminales aprovechan la fiebre mundialista no es una novedad. Al punto que hasta la FIFA está al tanto de las estafas y engaños que pueden sucederse alrededor del evento de fútbol más importante del mundo.
En su página web, el organismo es terminante a la hora de analizar si existe algún riesgo al comprar boletos para la Copa Mundial fuera del sitio oficial: “Sí, existen riesgos al adquirir boletos fuera del sitio oficial. La FIFA recomienda que todas las compras se realicen exclusivamente en FIFA.com/tickets”.
Luego, comparte los diversos escenarios a los que se pueden enfrentar las personas si realizan la compra de entradas a través de otros sitios.
En primer término, aclara que “los boletos adquiridos en sitios de reventa no oficiales, redes sociales o a través de terceros pueden ser falsos. Aunque parezcan legítimos, estos boletos fraudulentos se podrían rechazar en la entrada del estadio”.
También comparte que “existen casos en los que se ha vendido el mismo boleto a varias personas o se han revendido boletos previamente anulados por FIFA Ticketing. Incluso si el boleto pasa el escaneo inicial, se te podría negar la entrada si se detecta como inválido o previamente utilizado”.
Y para cerrar, afirma: “Las fuentes no oficiales suelen inflar los precios de manera considerable, en especial para partidos de alta demanda como eliminatorias, clásicos o derbis. Existe el riesgo de pagar un precio muy por encima del valor original, sin contar con garantía alguna sobre su autenticidad”.
La recomendación es clara: comprar los boletos únicamente a través de FIFA.com/tickets.
Cómo evitar estafas al comprar entradas para el Mundial 2026
Para quienes estén buscando entradas o productos vinculados al evento, es clave prestar atención a ciertos detalles antes de avanzar con una compra online.
1 – Verificar la URL
Este punto es clave: para todo lo referente a compras vinculadas a la Copa Mundial, se debe visitar el sitio oficial: https://fifa.com.
Además, es importante afinar el ojo para detectar sitios que quieran confundir mediante dominios similares, como los ejemplos analizados en este artículo, que agregan palabras, guiones o extensiones como “.shop”, “.store” o “.site”. Cualquier mínima diferencia es un gran indicio de estafa.
2 – No hacer clic en anuncios
Los sitios falsos como los expuestos en este artículo suelen promocionarse a través de anuncio y patrocinio en redes sociales y apps de mensajería.
El consejo es claro: ingresar manualmente a los sitios de confianza, y no a través de links, anuncios promocionales, o compartidos por terceros.
3 - Desconfiar de ofertas “exclusivas” o “imposibles”
La urgencia, la ansiedad, la oportunidad son anzuelos que los ciberdelincuentes suelen utilizar para que sus estafas sean más efectivas.
En el contexto de la Copa Mundial, lo hacen a través de frases como “cupos limitados”, “acceso VIP” o “descuentos en entradas”. La máxima es desconfiar de todo lo que parezca demasiado bueno como para ser verdad.
Pensamientos finales
Si bien la Copa Mundial no comenzó, los cibercriminales ya juegan su partido. La ecuación es clara: eventos globales de enorme popularidad, que generan ansiedad, entusiasmo y urgencia en las personas, son un contexto ideal para que las campañas de fraude online proliferen y sean aún más efectivas. La Copa Mundial encaja a la perfección en este escenario.
Y los casos encontrados son la clara muestra de una tendencia cada vez más preocupante: los sitios falsos ya no son páginas rudimentarias, improvisadas o fáciles de detectar: hoy replican diseños, experiencias de usuario y flujos de compra completos para parecer legítimos y reducir las sospechas de las víctimas.
En este contexto, la principal defensa sigue siendo la atención del usuario: desde verificar la URL, desconfiar de aquellas ofertas “imposibles”, hasta acceder únicamente a canales oficiales. Porque durante la fiebre mundialista, no solo hay que estar atentos a lo que pasa dentro de la cancha, sino también fuera de ella.
*Este artículo fue actualizado el 12/05/2026 para evitar referencias a plataformas específicas, ya que las técnicas descritas no se limitan a un proveedor en particular.
