La Copa Mundial de la FIFA 2026 comenzó el 11 de junio. Según Check Point Research, para esa fecha, la infraestructura de fraude dirigida a él ya había sido construida, preparada y parcialmente implementada. Las actividades de los actores de amenazas se planificaron con meses de anticipación en tres sectores y al menos en 10 idiomas.
Check Point Exposure Management publicó este mes su Informe sobre amenazas cibernéticas de la Copa Mundial de la FIFA 2026, que cubre servicios financieros, transporte, hotelería y juegos de azar. Aquí hay tres hallazgos que vale la pena leer atentamente.
1 de cada 3 socios de la FIFA no puede bloquear la suplantación de correo electrónico
Una encuesta previa al torneo realizada por Proofpoint encontró que más de un tercio de los socios oficiales de la Copa Mundial de la FIFA 2026 no cuentan con suficiente aplicación de DMARC para evitar la suplantación de dominio. Esto significa que los atacantes pueden enviar correos electrónicos que parecen provenir de patrocinadores, proveedores y socios logísticos sin barreras técnicas.
La cadena de suministro del Mundial es enorme. Aerolíneas, hoteles, socios de transmisión, contratistas de mercancías y empresas de catering. Cualquier correo electrónico de adquisiciones que pase por esa cadena se convierte en un posible punto de interceptación. Los altos volúmenes de transacciones, los plazos ajustados y las interrupciones operativas debido a eventos globales crean exactamente las condiciones que limitan el rigor de la verificación de pagos.
Las capacidades de gestión de la superficie de ataque y protección de la marca digital de Check Point se crean teniendo en cuenta este tipo de exposición externa, monitoreando continuamente los ecosistemas de los socios en busca de brechas de autenticación e infraestructura de suplantación de identidad antes de que puedan ser utilizados por los atacantes.
Las aplicaciones de apuestas deportivas falsas se disparan 60 veces por encima del valor base
Utilizando la misma metodología, una comparación controlada entre ocho marcas importantes de apuestas deportivas que abarcaron 60 días en 2025 y 2026 no encontró detecciones de aplicaciones falsas en la línea de base fuera del torneo. Encontramos 64 en la ventana previa al torneo. Esto es aproximadamente 60 veces la tarifa base, que se concentró en abril y mayo de 2026 y se concentró en Google Play.
Al menos cinco cuentas de desarrolladores diferentes publicaron aplicaciones que se hacían pasar por dos o más marcas de apuestas deportivas diferentes en cuestión de horas o días. Se trata de una operación multimarca adaptada al inicio del torneo.
La superficie de ataque aquí se extiende mucho más allá de la tienda de aplicaciones. Check Point Exposure Management también identificó un canal activo de Telegram en ruso que opera como un servicio de informantes falso, dirigiendo a los seguidores a través de enlaces de referencia y generando comisiones de afiliados por depósitos fraudulentos. El canal divide la selección entre su audiencia, por lo que aproximadamente la mitad de sus suscriptores siempre «ganan» lo suficiente como para seguir depositando. Las casas de apuestas pagan comisiones a los afiliados por cada conversión.
El monitoreo de la web oscura de Check Point cubre los canales de Telegram a esta profundidad, brindando a los equipos de seguridad y fraude visibilidad de las operaciones antes de que el contenido de la ventana del torneo se active por completo.
Un hotel y un sitio de viajes falsos construidos dos meses antes del inicio
Check Point Exposure Management realizó un seguimiento de los registros mensuales de dominios similares con temas de la FIFA dirigidos a servicios de viajes y hotelería desde noviembre de 2025 hasta mayo de 2026. Solo abril de 2026, ocho semanas antes del inicio, representó el 21,9% de la muestra total de 12 meses. Para marzo y abril combinados, es del 34%.
Las marcas de hoteles y alojamiento representan el 56% del total, y las marcas de viajes y tours representan otro 27%. Estos sitios se crearon para detener a los fanáticos en el punto de compra, donde la urgencia es mayor y los hábitos de verificación son más débiles.
Un pequeño número de registradores manejan la mayor parte de la infraestructura. GoDaddy, Hostinger, Namecheap, Porkbun e IONOS albergan colectivamente el 56% de los dominios fraudulentos. Un hallazgo interesante que vale la pena informar es que el TLD .top representa el 28% de los registros. .top es un TLD de uso general que tiene un umbral de respuesta al fraude bajo y costos de registro bajos, lo que lo hace adecuado para el phishing. Quienes requieren una infraestructura que siga funcionando la eligen intencionadamente.
Un subconjunto de dominios también tiene registros MX configurados. Esto significa que pueden recibir correos electrónicos, falsificar rutas de respuesta e interceptar flujos de restablecimiento de contraseñas de las cuentas de las víctimas. Se trata de infraestructuras de phishing activas que se registran y organizan antes del inicio de un torneo.
Las capacidades de phishing y protección de marca de Check Point monitorean continuamente este tipo de infraestructura previamente implementada, con una tasa de éxito de eliminación del 99 % y un tiempo promedio de reparación de 12 horas. Para las organizaciones que clonan marcas a escala antes de un evento global, las únicas variables que importan son las velocidades de detección y remediación.
¿Qué significa esto?
Los equipos de seguridad que apoyan a las organizaciones en los sectores financiero, de viajes, hotelero y de juegos de azar deben tratar el período actual como alto, no porque el panorama de amenazas haya cambiado durante el Día Inaugural, sino porque los actores de amenazas ya estaban presentes antes de que comenzara el Día Inaugural.
Lea el Informe completo de amenazas cibernéticas de la Copa Mundial de la FIFA 2026 o comuníquese con Check Point Exposure Management si ve una escalada.
Source link
