LA COPA MUNDIAL DE LA FIFA 2026 COMIENZA EL 11 DE JUNIO. EN 16 CIUDADES DE ESTADOS UNIDOS, CANADÁ Y MÉXICO, MILES DE MILLONES DE PERSONAS LA VERÁN, VIAJARÁN, APOSTARÁN Y GASTARÁN. LOS CIBERDELINCUENTES TAMBIÉN HAN ESTADO OBSERVANDO, Y DESDE HACE MUCHO MÁS TIEMPO.
Check Point Research y Check Point Exposure Management dedicaron el último año a monitorear el panorama de amenazas cibernéticas que se está desarrollando en torno a este torneo. Lo que surgió fue un esfuerzo coordinado de preparación en tres sectores clave para la economía de la Copa Mundial: finanzas, viajes y hostelería, y apuestas. La infraestructura ya está construida y la mayor parte ya está operativa.
Sector financiero: El fraude sigue al dinero
El ecosistema financiero que rodea a cualquier megaevento es precisamente el entorno que prefieren los ciberdelincuentes. El aumento vertiginoso del volumen de transacciones, los comerciantes desconocidos, los plazos de compra reducidos y los flujos internacionales disminuyen el escrutinio que normalmente frena el fraude.
En torno a este torneo, las estafas con criptomonedas impulsadas por eventos están proliferando. Tokens como $WORLDCUP presentan las características típicas de las estafas de suplantación de identidad: ningún equipo identificable, ninguna auditoría de seguridad independiente, ninguna afiliación con la FIFA y una agresiva promoción en redes sociales diseñada para explotar la expectación previa al torneo.
En el lado del consumidor, el fraude con tarjeta no presente y las campañas de ingeniería social están replicando patrones documentados en Qatar 2022 y París 2024, dirigidos a la compra de entradas, viajes y servicios de hostelería.
En el ámbito B2B, la situación es aún más crítica. Un estudio de Proofpoint reveló que más de un tercio de los socios oficiales de la Copa Mundial de la FIFA 2026 carecen de la aplicación suficiente de DMARC para prevenir la suplantación de dominio en sus cadenas de suministro. Esa brecha abre la puerta al fraude por correo electrónico empresarial, donde se generan facturas fraudulentas y se redirigen pagos con mínimas dificultades. FinCEN también ha emitido advertencias sobre el elevado riesgo de blanqueo de capitales, ya que los flujos de efectivo transfronterizos en torno al torneo ejercen presión sobre los bancos, las plataformas fintech y los procesadores de pagos que operan cerca de las ciudades sede.
Más allá del fraude, los ecosistemas financieros en torno a la Copa Mundial también están expuestos a una mayor actividad delictiva organizada. Las autoridades han advertido que el aumento de las transacciones transfronterizas y el flujo de visitantes crea oportunidades para el lavado de dinero y las redes de trata de personas, especialmente en las ciudades anfitrionas. Esto ejerce una presión adicional sobre los bancos, las plataformas fintech, los casinos y los procesadores de pagos, que deben monitorear los patrones de transacciones anómalas vinculadas a actividades de explotación.
Transporte y hostelería: Tolerancia cero ante las interrupciones del servicio, máxima presión para pagar.
Los ciberdelincuentes han atacado la infraestructura de transporte y hostelería en todos los grandes torneos recientes, y las tácticas se han intensificado en cada ocasión.
En la Copa Mundial de Brasil 2014, Anonymous lanzó ataques DDoS coordinados contra el sitio web oficial del torneo, portales gubernamentales y patrocinadores corporativos, incluyendo Emirates Airline. En PyeongChang 2018, un malware destructivo denominado Olympic Destroyer paralizó el sitio web oficial de los Juegos Olímpicos, las plataformas de venta de entradas y el Wi-Fi del estadio durante la ceremonia de apertura, dejando a miles de personas sin poder imprimir sus entradas. En la Copa Mundial de Qatar 2022, un grupo vinculado a China comprometió discretamente al proveedor de telecomunicaciones que daba soporte a las operaciones de la Copa Mundial, insertando un acceso persistente en la infraestructura de red que pasó desapercibido durante todo el torneo.
Más recientemente, durante los Juegos Olímpicos de Invierno de Milán-Cortina 2026, NoName057(16) lanzó campañas DDoS contra los servicios de hostelería y transporte italianos, mientras que la infraestructura de señalización ferroviaria fue saboteada físicamente. Ambos eventos coincidieron con la ceremonia de apertura.
Más cerca de casa, el fraude dirigido a los aficionados ya está en auge. Los dominios que imitaban a los de la FIFA, suplantando la identidad de hoteles y plataformas de reservas de viajes, alcanzaron su punto máximo en abril de 2026, y las marcas de alojamiento representaron el 56 % de la actividad de suplantación en la muestra. Estos sitios ya están creados y listos para su uso.
Con 16 ciudades sede en tres países y millones de aficionados en tránsito, la superficie de ataque para la FIFA 2026 es mayor que la de cualquier torneo anterior. El precedente histórico deja claro lo que vendrá después.
Apuestas: La infraestructura está preparada y lista.
El sector de las apuestas se enfrenta a una amenaza estructuralmente diferente a las demás: gran parte de la infraestructura fraudulenta ya está registrada, parcialmente desplegada y a la espera de activación. Dominios con contenido provisional, páginas de destino inactivas y configuraciones incompletas sugieren que los atacantes están programando la activación para que coincida con el pico de actividad de apuestas durante el torneo.
Un análisis de investigación de Check Point Exposure Management de una muestra de 758 dominios (datos de registro de dominios de código abierto) muestra que solo abril de 2026 representó el 22 % de los registros de dominios similares a marcas de todo el año, ocho semanas antes del inicio. Marzo y abril juntos representan el 34 % de la muestra anual. Los dominios presentan contenido de marcador de posición, páginas de error de Cloudflare o temas genéricos de apuestas, lo que concuerda con la estrategia de los operadores de preparar la infraestructura para su activación en las dos últimas semanas antes del 11 de junio.
La suplantación de identidad en aplicaciones móviles se ha disparado hasta alcanzar aproximadamente 60 veces el nivel base fuera de los torneos, en comparación con el mismo período de 2025. Se publicaron más de 35 aplicaciones falsas de apuestas deportivas confirmadas en Google Play, en una operación coordinada dirigida a varias marcas importantes con cuentas de desarrollador ficticias. Mientras tanto, los canales de pronosticadores en Telegram ya están implementando esquemas de abuso de bonos, captando seguidores mediante enlaces de referencia y dividiendo las predicciones entre la audiencia para mantener la ilusión de ganar, al tiempo que obtienen comisiones de afiliados de operadores legítimos.
La exposición regulatoria es fundamental. Los reguladores estatales de EE. UU., la AGCO de Ontario y la Comisión de Juego del Reino Unido han anunciado un mayor control durante el período de torneos. Los operadores cuyos afiliados infrinjan las normas pueden enfrentar sanciones incluso si el operador no tenía conocimiento de ello. Esto representa una responsabilidad significativa cuando la actividad de los afiliados aumenta y la verificación está bajo presión. La razón por la que los atacantes se centran en los servicios financieros, el transporte y los juegos de azar es sencilla: estos sectores son fundamentales para la economía del Mundial. Procesan los mayores volúmenes de transacciones, operan bajo presión de tiempo y dependen en gran medida de la confianza de los usuarios, lo que los convierte en objetivos ideales para ataques diseñados para escalar rápidamente y causar interrupciones visibles.
Qué significa esto para su postura de seguridad
El denominador común en los tres sectores es el factor tiempo. Los ciberdelincuentes ya están preparando infraestructura, probando puntos de entrada y activando campañas en momentos de máxima visibilidad y presión operativa. Para cuando comience el torneo, el margen de tiempo para la preparación prácticamente habrá desaparecido.
Este informe destaca un cambio en la forma en que se desarrollan las ciberamenazas en torno a eventos globales: los atacantes ya no esperan oportunidades, sino que las crean con antelación. Para las organizaciones, esto significa que la preparación debe comenzar antes del torneo. Para los aficionados, significa reconocer que la confianza por sí sola ya no es suficiente.
La solución de Gestión de la Exposición de Check Point proporciona monitorización continua de la suplantación de identidad de marca, las superficies de ataque expuestas, las señales de la dark web y la actividad de los ciberdelincuentes, lo que brinda a los equipos de seguridad y marketing la visibilidad necesaria para actuar antes de que se active la infraestructura preparada.
El informe completo abarca los tres sectores en profundidad, incluyendo incidentes específicos, perfiles de ciberdelincuentes, paralelismos históricos con Qatar 2022 y París 2024, y recomendaciones adaptadas a los servicios financieros, el transporte y la hostelería, y los operadores de juegos de azar. En un evento definido por su escala y visibilidad globales, incluso un solo incidente cibernético puede convertirse rápidamente en una noticia mundial.
