Mundial 2026: así operan las estafas digitales que ya están atacando a empresas y aficionados

Podríamos pensar que falta mucho para el inicio del Mundial 2026; los países anfitriones siguen en preparativos y los equipos apenas sueñan con el primer partido. Pero la realidad es que la justa deportiva empezó con los registros, compras o reservaciones en línea que se han hecho desde el anuncio del torneo; y, desgraciadamente, también arrancó para los ciberdelincuentes.

Como sucede en cada edición, este evento masivo es el escenario perfecto para el cibercrimen. Y es que no se trata solo de futbol, sino de uno de los momentos de mayor interacción digital global, con millones de personas conectadas buscando las mejores experiencias, mientras las empresas compiten por ofrecerlas.

Ante esto, el phishing, un tipo de fraude en línea cuyo objetivo es robar información sensible mediante ingeniería social, suele ser el primero en entrar a la cancha. Y debemos tener cuidado porque, aunque es una amenaza muy conocida, los criminales ahora usan inteligencia artificial (IA) para mejorar sus ataques y hacerlos más efectivos y difíciles de detectar, convirtiendo al Mundial en un campo de juego peligroso para empresas y usuarios.

El partido contra las empresas: un objetivo con información de alto valor

Solo el año pasado se registraron 14.4 millones de ataques de phishing a empresas en México; hablamos de un promedio de 40 mil ataques al día. Y se espera un repunte ante la demanda en plataformas digitales durante el Mundial; las compañías de servicios son especialmente atractivas para los cibercriminales, que buscan dañar su infraestructura para paralizar sus operaciones o robar la valiosa información que gestionan.

De hecho, hay una amenaza específica para el sector de alojamiento que ya llegó al país. Se trata del grupo llamado RevengeHotels, que apunta a hoteles para robar datos de tarjetas de crédito de los huéspedes. Su táctica principal es enviar correos fraudulentos a los empleados, disfrazados de solicitudes de reserva, pidiendo revisar documentos adjuntos. Al hacerlo, la víctima instala un programa malicioso que permite a los criminales obtener la información.

Pero no solo el sector hotelero es blanco de ataques; también lo son el retail, los servicios financieros y básicamente quien desee ser parte del ecosistema mundialista. En ediciones anteriores se ha detectado el envío de correos falsos a empresas invitándolas a participar en supuestas licitaciones para ser proveedores del torneo.

Dado el impacto económico de este evento, es fácil caer en la trampa por el deseo de conseguir un contrato histórico.

Además de estos ataques dirigidos, los criminales también suelen suplantar la identidad de las compañías, con réplicas maliciosas de sus sitios y canales de comunicación oficiales, golpeando su reputación y la confianza de los consumidores, quienes terminan siendo los principales afectados. Por eso, también es importante que la afición cuide su línea defensiva y evite caer en estafas que buscan robar datos personales y vaciar cuentas bancarias.

Los anzuelos para la afición ponen su bolsillo en juego

En 2025, México registró 360 millones de estafas a través de mensajes falsos de phishing, es decir, un incremento de 202% respecto al año anterior. Se prevé que esta amenaza aumente durante el Mundial por tres jugadores estrella: el bombardeo publicitario de productos y servicios relacionados con el torneo, la urgencia o el miedo de los usuarios a perdérselos (FOMO) y el uso de IA para camuflar las estafas entre las promociones y comunicaciones reales.

Los cibercriminales capitalizan la ansiedad de los fans mediante notificaciones y ofertas falsas en redes sociales, correos, mensajes e incluso llamadas que buscan provocar un clic inmediato hacia portales casi idénticos a los originales para simular una experiencia real. El gancho principal son los boletos para los partidos; además de la reventa de entradas falsas, existe el riesgo de caer en páginas que imitan a vendedores legítimos para capturar datos bancarios, una amenaza que ha costado a los aficionados cerca de tres millones de dólares en los últimos dos años.

A esto se suman las trampas diseñadas para el resto de la experiencia mundialista, desde sitios que imitan aerolíneas y alojamientos para captar a quienes buscan paquetes de viaje, hasta tiendas virtuales con reseñas inventadas que venden mercancía de equipos y jugadores que nunca llega.

También son comunes las estafas que notifican a la víctima que ganó una supuesta lotería de una casa de apuestas, pero exigen pagos por adelantado para cobrar premios inexistentes; o plataformas de streaming falsas que prometen ver los partidos “exclusivos” por una suscripción y solo roban el dinero a cambio de nada.

Todos estos esquemas son simples pero efectivos; afortunadamente, protegerse es igual de sencillo.

La mejor estrategia es jugar a la defensiva

Para ganar este torneo, la táctica es la prevención. Las empresas pueden protegerse si:

• Cumplen con estándares internacionales de seguridad digital y privacidad de datos.
• Utilizan cuentas de correo y líneas telefónicas distintas para operaciones internas, reservas y uso personal de colaboradores.
• Evitan el uso de software obsoleto, ya que los sistemas desactualizados facilitan el robo de datos.
• Capacitan a sus colaboradores en ciberseguridad y realizan simulaciones de ataques de phishing para que sepan detectar los correos fraudulentos.
• Utilizan soluciones de protección para dispositivos y servidores de correo, disminuyendo la posibilidad de infección mediante comunicaciones fraudulentas.

Por su parte, para los usuarios se recomienda:

• No hacer clic en enlaces sospechosos en mensajes, correos o redes sociales; acceder siempre escribiendo la dirección oficial en el navegador.
• Comprar boletos solo en canales oficiales; evitar revendedores en redes sociales o páginas poco conocidas.
• Verificar la legitimidad de los servicios de streaming; acceder únicamente desde enlaces oficiales del torneo o plataformas reconocidas.
• Comprar mercancía únicamente en tiendas oficiales de los equipos o distribuidores autorizados.
• Usar soluciones de seguridad que bloqueen intentos de fraude y phishing en tiempo real.

Queda claro que no podemos esperar al inicio del Mundial para protegernos, pues las estafas ya están ocurriendo hoy. Aunque las tácticas de la ciberdelincuencia se vuelvan más sofisticadas, la prevención sigue siendo nuestra mejor herramienta; usarla a nuestro favor es la única forma de asegurar que nuestra experiencia mundialista se quede en la grada y no en manos de los criminales.

María Isabel Manjarrez, Investigadora de seguridad del Equipo Global de Investigación y Análisis de Kaspersky. María Isabel Manjarrez es investigadora de seguridad en Kaspersky. Anteriormente, colaboró con Deloitte por cinco años. Ha impartido conferencias locales e internacionales. Es ingeniera por el ITESM.