Estafas durante el Mundial 2026: ¿Cuáles son las más
comunes?

2026-06-01

La urgencia de los usuarios por presenciar los 104 encuentros del torneo ha detonado la distribución de aplicaciones de streaming que operan fuera de la legalidad y los repositorios oficiales.

La inauguración del Mundial 2026 está planeada para el jueves 11 de junio en la Ciudad de México; se realizarán 13 partidos, de los cuáles, cinco se llevarán a cabo en la CdMx y cuatro en Guadalajara y Monterrey.

ÚNETE A IDC en nuestro canal de Whatsapp

Aunque pareciera que será un evento que traerá grandes beneficios económicos para el comercio local, también será el escenario perfecto para los cibercriminales. ESET, compañía de ciberseguridad, alertó que la Copa del Mundo puede ser un señuelo para realizar diversos engaños y estafas.

Sitios falsos, entradas a partidos y apps sin licencia para ver el Mundial

ESET analizó ocho formas en las que los ciberatacantes están usando el Mundial 2026 para estafar.

La primera que detectó fue el uso de apps y sitios para ver los partidos del Mundial, debido a que los usuarios buscan cualquier forma y medio para no perderse ningún partido es una de las maneras que usan para atacar al solicitar permisos críticos e invasivos que no corresponden a una app convencional de streaming.

ESET especificó que lo realizan a través de aplicaciones y sitios web que no se encuentran en los repositorios oficiales y prometen transmitir en vivo cada partido del torneo, como era el caso Magis TV, que ya ha sido bloqueada en varios países.

“En cuanto a las plataformas online, el riesgo radica en el pedido por parte del sitio de crear una cuenta, pagar un cargo mínimo, iniciar sesión con Google, vincular con Facebook, o ingresar datos personales. El objetivo es robar credenciales de acceso, tarjetas, datos bancarios, entre otros datos sensibles y personales”, alertó el Investigador de Ciberseguridad de ESET Latinoamérica, Mario Micucci.

Solo DirecTV cuenta con los derechos para transmitir los 104 partidos de la Copa Mundial en Latinoamérica, mientras que otros servicios emitirán solamente algunos partidos.

En segundo lugar, abordaron el tema de la venta de entradas para los partidos en canales no oficiales.

“Adquirir tickets por otros medios puede ser al menos riesgoso. Sobre todo, cuando las páginas falsas reproducen logotipos, tipografías, colores, diseño y experiencia de compra con el objetivo de ganar credibilidad y que las personas entreguen sus datos personales y bancarios. Para persuadir a sus víctimas, los cibercriminales suelen apelar a anuncios donde se destacan la urgencia y la oportunidad,con frases del tipo: “Últimas entradas disponibles”, “Descuento por tiempo limitado” o “Oferta única”, advirtieron los especialistas de ESET.

Por otro lado, también surgen los sitios que suplantan la identidad de la FIFA. ESET encontró al menos cinco sitios apócrifos que apelan a la similitud de su URL con la oficial, además de imitar el diseño, colores y el flujo de compra para hacer sentir a la víctima que es el sitio real. Aunado a que aprovechan el FIFA ID para generar confianza, y hacer creer al usuario que están por comprar entradas, merchandising o reservando alojamiento por un canal oficial, cuando no es así.

En cuarto lugar, ESET mencionó las visas y paquetes para el Mundial, en las cuales observaron que existen sitios que ofrecen guías y asesoramiento para quienes necesitan tramitar la visa.

En este punto, señalaron que es importante mencionar el ejemplo del Departamento de Estado de EE. UU. que dejó en claro que las personas extranjeras que visiten el país durante la Copa deben tener la misma visa de visitante B1/B2, o el Programa de Exención de Visa con autorización ESTA.

Sitios de apuestas, aplicaciones y criptomonedas

La empresa de ciberseguridad explicó que los sitios de apuestas serán uno de los elementos más explotados por la fiebre mundialista: “Lo peligroso es que estos sitios, que son detectados como maliciosos, invitan a la víctima a descargar una aplicación que no se encuentra en los repositorios oficiales. Su objetivo es infectar el dispositivo, obtener dinero, credenciales de acceso y cualquier otro tipo de información sensible”, agregó Micucci de ESET.

Otra variable son los sitios que invitan a sus víctimas a realizar predicciones sobre los resultados de la Copa Mundial. La víctima paga una supuesta inscripción inicial, para participar por un “suculento” premio.

ESET recomendó descargar solamente aplicaciones desde tiendas oficiales como Google Play o App Store, revisar el nombre del desarrollador, leer comentarios y verificar la cantidad de descargas antes de instalar cualquier app vinculada al Mundial. Como también, desconfiar de aquellas apps que prometen recompensas imposibles como acceso premium o funciones exclusivas.

Asimismo, hicieron hincapié en que el álbum oficial será un blanco perfecto para estafar a quien esté interesado en comprarlo. Un medio de comunicación argentino mostró cómo estafaron a una de sus periodistas, mostrando las diferencias entre el álbum real y el obtenido a través de una app de pedidos (que incluía stickers apócrifos).

En último lugar, ESET habló sobre las criptomonedas y NFTs de la Copa del Mundo. En el caso del sitio worldcup*.fun , por ejemplo, promete un supuesto reparto gratuito de tokens que asciende a más 1,400,000,000 de $WC y evidencia un detalle que llama la atención: el contador de participantes justo muestra el número 48, que es la cantidad de selecciones participantes del torneo por primera vez en la historia.

Los especialistas de ciberseguridad aseguraron que si bien el señuelo puede cambiar según el caso (entradas en oferta, streaming exclusivo, apuestas o preventa de álbumes), la gran mayoría de los engaños comparten características como la urgencia, exclusividad, recompensa inmediata, apariencia legítima, aprovechamiento la reputación de empresas reconocidas, pedido de datos sensibles, entre otras.