Copa Mundial FIFA 2026: qué dicen los números sobre el riesgo cibernético

Los grandes eventos deportivos son un imán para los estafadores, y la Copa Mundial FIFA 2026 no es una excepción. Investigaciones de Check Point Research y Proofpoint dibujan un panorama de dominios fraudulentos, aplicaciones de apuestas falsas y correo suplantado que ya está en marcha meses antes del pitido inicial.

Los números

  • Más de un tercio de los socios oficiales del torneo carecen de DMARC, lo que facilita la suplantación de su correo en campañas de phishing.
  • Se han detectado 64 aplicaciones falsas de apuestas deportivas en Google Play, unas 60 veces el volumen de referencia habitual.
  • En abril de 2026, los dominios lookalike relacionados con el evento representaron el 21,9% del total de dominios que imitaban marcas legítimas.
  • Solo cinco registradores alojan el 56% de estos dominios fraudulentos (GoDaddy, Hostinger, Namecheap, Porkbun e IONOS), y el TLD .top concentra el 28%.

Las tácticas

Los atacantes registran dominios parecidos a los oficiales, configuran registros MX para recibir y enviar correo desde ellos, y promocionan pronósticos y "chollos" de entradas a través de canales de Telegram de tipsters. El objetivo final es el robo de credenciales, el fraude con entradas y la instalación de apps maliciosas.

Recomendaciones inmediatas

  • Compra entradas y productos solo en los canales oficiales verificados de la FIFA.
  • Desconfía de apps de apuestas fuera de las tiendas oficiales y de "chollos" promocionados por Telegram o redes sociales.
  • Si gestionas una marca relacionada con el evento, implanta DMARC en modo reject, además de SPF y DKIM.
  • Forma a los empleados ante el aumento estacional de phishing temático.

¿Estás cubierto en DefensOps?

Desde el plan Essential, DefensOps ayuda a frenar las campañas oportunistas ligadas a grandes eventos:

  • T1566 – Phishing: detección de correos y enlaces que suplantan marcas y dominios oficiales.
  • T1583 – Adquisición de infraestructura (dominios): los feeds de threat intelligence integrados incorporan dominios recién registrados y lookalike para alertar cuando un usuario los visita.
  • T1656 – Suplantación: correlación de patrones de fraude de marca.

El motor de correlación cruza la navegación de los usuarios con los feeds de dominios maliciosos, señalando el acceso a infraestructura fraudulenta antes de que se materialice el fraude.

👉 Consulta los planes de DefensOps y solicita una demo


Fuentes: The Hacker News