Los investigadores de seguridad y el FBI advierten que una ola de estafas con temas de la FIFA ya está afectando a los fanáticos de la Copa Mundial 2026 días antes del inicio del 11 de junio.
Informes recientes describen miles de dominios similares de FIFA, malware bancario oculto dentro de aplicaciones de streaming pirateadas y al menos una operación que copia las páginas de inicio de sesión de FIFA en cantidades suficientes como para hacerse cargo de cuentas reales.
Ese es un objetivo obvio. Se espera que asistan más de 6 millones de aficionados en 16 ciudades de Estados Unidos, Canadá y México, y la FIFA dijo que el torneo tuvo una sobresuscripción de casi 30 veces con más de 150 millones de solicitudes de entradas en los primeros 15 días. Las entradas escasean, los aficionados están ansiosos y el dinero circula rápidamente. Esto es exactamente lo que necesitan los estafadores.
1 operador, 300 sitios clonados de FIFA
Los hallazgos más detallados provinieron del Group-IB, que rastreó más de 4.300 dominios fraudulentos de la FIFA registrados desde agosto de 2025. En el centro hay un grupo llamado GHOST STADIUM, una operación de habla china e impulsada por las finanzas que ejecuta un kit de phishing en más de 300 de estos sitios.
Los falsos están bien. Esta página es una copia casi perfecta de fifa.com, que imita el inicio de sesión único real de FIFA realizado por PingIdentity, hasta el ID de cliente real copiado del sitio en vivo. Debido a que las imágenes se cargan directamente desde los propios servidores de la FIFA, la página parece auténtica y evita las herramientas que marcan imágenes copiadas.
Las partes que causan daños son: La página de inicio de sesión falsa también le pide que restablezca su contraseña. Una vez que la víctima ingresa sus datos, el atacante puede bloquear su acceso a su cuenta FIFA y potencialmente revender las entradas asociadas a ella.
La mayor parte del tráfico proviene de anuncios de Facebook, con el mismo código de seguimiento reutilizado en todo el grupo, así como enlaces en Telegram, WhatsApp y resultados de búsqueda. Este sitio acepta pagos de cinco formas diferentes. Ingreso directo de tarjetas, pasarelas de pago externas, aplicaciones de transferencia de dinero como Chime y Nequi, procesadores exclusivos de México y opciones de moneda virtual para convertir pagos con tarjeta en moneda virtual. La moneda virtual es muy difícil de recuperar.
Por último, la venta de entradas oficiales de la FIFA nunca utiliza criptomonedas, por lo que cualquier vendedor que solicite criptomonedas resultará ser una estafa.
Group-IB estima que las pérdidas por fraude de entradas premium y de entretenimiento oscilan entre 71 y 474 millones de dólares, y dice que el total de toda la campaña podría alcanzar miles de millones de dólares. Estas son estimaciones basadas en infraestructura verificada y pérdidas no verificadas.
Miles de dominios, muchos tipos diferentes de estafas
No es sólo el Grupo IB. FortiGuard Labs contó más de 13.000 dominios con temas de la Copa Mundial registrados entre enero y mayo, aproximadamente el 8,8% de los cuales eran maliciosos o sospechosos.
El aviso del FBI enumera docenas de dominios falsos de la FIFA, que van desde imitaciones mal escritas hasta páginas falsas de reclutamiento de la FIFA, y advierte que hay más en camino. Otros investigadores han mapeado miles de sitios similares y más de 1.000 cuentas sociales falsas.
El fraude de billetes es sólo una parte de la historia. Group-IB también descubrió tiendas de productos falsificados, sitios de transmisión falsos que cobran tarifas de suscripción e instalan malware que entrega el control a los atacantes, y sitios de apuestas falsos que recopilan escaneos de pasaportes y selfies con fines de suplantación.
Bitdefender rastreó por separado los correos electrónicos de la lotería de la FIFA que prometían pagos de hasta 2 millones de dólares. Group-IB también advirtió contra el mercado de «phishing como servicio», que vende kits de estafas y robots de compra de boletos disponibles en el mercado, por lo que eliminar a un operador no servirá de mucho.
Los dominios falsos capturan búsquedas de tickets, los anuncios y los resultados de búsqueda generan tráfico, los volcados de contraseñas robadas alimentan la apropiación de cuentas y las aplicaciones descargadas convierten la caza de flujos en fraude bancario.
Malware bancario en aplicaciones de streaming
Para los fanáticos que buscan transmisiones gratuitas de partidos, existe un peligro aún mayor en el teléfono. En ThreatFabric, vimos un aumento en las aplicaciones maliciosas de transmisión no oficiales que se hacen pasar por la popular RojaDirecta en torno a la reciente final de la Liga de Campeones, y esperamos que se replique a mayor escala en la Copa del Mundo.
Kaspersky ha asociado estas mismas aplicaciones con troyanos bancarios de Android, malware creado para desviar dinero de aplicaciones bancarias y criptográficas, nombrando a las dos familias Massiv y Perseus. Estas aplicaciones no están en Google Play, por lo que debes hacer clic en una advertencia que normalmente las bloquearía para instalarlas.
Una vez instalado, el malware utiliza las herramientas de accesibilidad de Android para apoderarse del teléfono. Pueden superponer pantallas de inicio de sesión bancarias falsas sobre aplicaciones reales, registrar lo que escriben sus propietarios, interceptar códigos únicos de mensajes de texto e iniciar sesión en aplicaciones para mantener las cuentas seguras y controlar pantallas de forma remota.
Perseus se basa en el código filtrado de un antiguo troyano llamado Cerberus, que también lee la aplicación Notas en busca de contraseñas guardadas y frases de recuperación criptográficas. Según ThreatFabric, la señal de alerta más simple es que su aplicación de transmisión requiere acceso de accesibilidad. No hay ninguna razón honesta para necesitarlo.
Fraude social, robo de inicio de sesión y Wi-Fi peligroso
Las redes sociales también están llenas de estafas. Bitdefender descubrió más de 55 campañas publicitarias con temas de fútbol en Facebook e Instagram que promocionaban kits falsificados, pegatinas Panini falsificadas y páginas de phishing. Dos de las operaciones de venta de productos se rastrearon hasta operadores chinos a través de etiquetas de seguimiento de anuncios.
Fortinet contó más de 1.700 cuentas de FIFA suplantadas, casi el 90% de ellas en Facebook e Instagram, así como un esquema que utilizaba anuncios de trabajo e invitaciones de calendario falsos de la FIFA para enviar a los solicitantes a un inicio de sesión similar en Google.
La información de inicio de sesión de FIFA robada ya está en circulación. Fortinet descubrió cientos de miles de inicios de sesión de usuarios y más de 4.600 direcciones web de FIFA en datos eliminados por malware de robo de credenciales como Vidar, LummaC2 y RedLine.
El Wi-Fi en la ciudad anfitriona es en sí mismo un problema. La investigación de Kaspersky Lab en Ciudad de México, Monterrey y Guadalajara encontró que entre el 10% y el 12% de las redes estaban abiertas y sin contraseña, y la función de emparejamiento WPS todavía estaba habilitada en casi la mitad. Ambos dejan una fácil apertura para puntos de acceso maliciosos «gemelos malvados» que copian la red real y leen silenciosamente su tráfico.
Que tener en cuenta
Estas estafas dejan evidencia clara. No confíes en los anuncios ni en los resultados de búsqueda, compra únicamente a través de fifa.com e introduce la dirección tú mismo. Activamos el inicio de sesión multifactor y tratamos a los vendedores que solicitan pagos en criptomonedas como estafas, ya que la venta de entradas de FIFA nunca requiere pago en criptomonedas.
Para Android, la señal de alerta más obvia es una aplicación de transmisión que solicita acceso de accesibilidad que no necesita. Cuando utilices Wi-Fi abierto en tu ciudad anfitriona, utiliza datos móviles siempre que sea posible y evita iniciar sesión en tu cuenta bancaria o de correo electrónico.
Para los equipos de seguridad, el trabajo es fácil. Supervise nuevos dominios con temas de FIFA y páginas de inicio de sesión similares, marque los inicios de sesión del personal y de los clientes que aparecen en los registros de ladrones de Vidar, LummaC2 o RedLine, y prepare a su equipo antifraude para un aumento en las multas y devoluciones de cargo a mediados de julio.
Mehta dice que él también está respondiendo. Actualmente, la compañía muestra ventanas emergentes de advertencia cuando las personas buscan entradas de la FIFA en Facebook y ha trabajado con Visa para cerrar las redes de Facebook vinculadas a sitios falsos de la Copa Mundial que promueven juegos de azar falsos. El FBI está pidiendo a cualquier persona que haya sido estafada que llame al IC3.
La mayor preocupación es lo que todavía nos espera. Group-IB contó aproximadamente 3.800 dominios FIFA no autorizados inactivos, sin uso y listos para ser activados. Con kits de estafas y bots ya preparados en el mercado, es fácil hacer llamadas durante el período de mayor actividad del 11 de junio al 19 de julio, cuando las búsquedas de boletos, transmisiones y viajes están en su punto máximo.
Source link
