Estafa de la Copa del Món de la FIFA 2026

Investigadors de seguretat i l'FBI alerten que una onada a gran escala de frau amb temàtica de la FIFA ja té com a objectiu els aficionats de la Copa del Món 2026, tot i que el torneig no començarà fins a l'11 de juny.

L'esdeveniment presenta una oportunitat atractiva per als ciberdelinqüents. S'espera que més de sis milions d'espectadors assisteixin a partits a 16 ciutats dels Estats Units, Canadà i Mèxic. La FIFA va informar que va rebre més de 150 milions de sol·licituds d'entrades durant els primers 15 dies de venda, cosa que fa que la demanda sigui aproximadament 30 vegades més gran que l'oferta disponible. L'escassetat d'entrades, els aficionats inquiets i les transaccions ràpides han creat les condicions ideals per al frau a gran escala.

Investigacions recents han descobert milers de dominis fraudulents amb temàtica de la FIFA, programari maliciós amagat dins d'aplicacions de streaming no autoritzades i campanyes de phishing sofisticades capaces de segrestar comptes legítims de la FIFA.

L’auge de la xarxa de phishing GHOST STADIUM

Els investigadors han identificat més de 4.300 dominis fraudulents relacionats amb la FIFA registrats des de l'agost del 2025. Al centre d'aquesta activitat hi ha un grup de parla xinesa amb motivacions financeres conegut com a GHOST STADIUM, que opera una infraestructura de phishing que abasta més de 300 llocs web.

L'operació es basa en una rèplica molt convincent del lloc web oficial de la FIFA. Les pàgines falses imiten de prop el sistema d'inici de sessió únic de la FIFA basat en PingIdentity i fins i tot utilitzen un ID de client legítim copiat de la plataforma real. Per augmentar la credibilitat, les imatges es carreguen directament des dels servidors de la FIFA, cosa que ajuda els llocs a evadir alguns mètodes de detecció que marquen contingut copiat.

La característica més perjudicial és una funció fraudulenta de restabliment de contrasenyes. Les víctimes que introdueixen les seves credencials sense saber-ho lliuren el control dels seus comptes als atacants, que poden bloquejar el propietari legítim i revendre qualsevol tiquet associat.

El trànsit es genera principalment a través d'anuncis de Facebook, amb identificadors de seguiment idèntics que apareixen a tota la xarxa de phishing. Els visitants addicionals arriben a través dels canals de Telegram, missatges de WhatsApp i resultats de cerca manipulats.

La infraestructura fraudulenta accepta pagaments a través de múltiples canals, incloent-hi transaccions directes amb targeta, passarel·les de pagament de tercers, serveis de transferència de diners com ara Chime i Nequi, processadors regionals mexicans i sistemes de conversió de criptomonedes. L'opció de criptomonedes és particularment perillosa perquè recuperar els fons robats esdevé significativament més difícil.

Un senyal d'alerta clar destaca: la plataforma oficial de venda d'entrades de la FIFA no accepta criptomonedes. Qualsevol venedor que sol·liciti pagaments amb criptomonedes s'ha de considerar fraudulent.

Els investigadors estimen que el frau en bitllets premium i d'hostaleria per si sol podria generar pèrdues que oscil·len entre els 71 i els 474 milions de dòlars. Segons l'escala de la infraestructura descoberta, els danys totals podrien arribar a milers de milions de dòlars, tot i que aquestes xifres continuen sent projeccions en lloc de pèrdues confirmades.

Un ecosistema creixent de frau

Només entre gener i maig, es van registrar més de 13.000 dominis amb temàtica de la Copa del Món, amb aproximadament un 8,8% identificats com a maliciosos o sospitosos.

L'FBI ja ha publicat avisos que enumeren nombrosos dominis fraudulents relacionats amb la FIFA, incloent-hi llocs web semblants amb errors ortogràfics i portals d'ocupació falsos de la FIFA. Els investigadors esperen que sorgeixin més dominis maliciosos a mesura que s'acosti el torneig. Altres equips de seguretat també han identificat milers de llocs web d'imitació i més de mil perfils falsos de xarxes socials.

Les estafes amb entrades només representen una part d'un ecosistema criminal molt més gran. Els estafadors també operen botigues de mercaderies falsificades, plataformes d'apostes esportives falses i serveis de streaming fraudulents que no només cobren quotes de subscripció, sinó que també distribueixen programari maliciós capaç de donar als atacants control remot sobre els dispositius de les víctimes.

Altres esquemes inclouen notificacions falses de la loteria de la FIFA que prometen premis de fins a 2 milions de dòlars. Els investigadors també han identificat un mercat en expansió de phishing com a servei on els delinqüents poden comprar kits d'estafa ja preparats i bots automatitzats de compra d'entrades, cosa que facilita que els nous actors entrin al panorama del frau.

Aquestes operacions estan altament interconnectades. Els dominis falsos capturen cerques relacionades amb tiquets, els anuncis i els resultats de cerca manipulats generen trànsit, les bases de dades de credencials robades permeten l'assumpció de comptes i les aplicacions mòbils malicioses transformen una cerca de transmissions gratuïtes en frau bancari.

Aplicacions de streaming que roben més que atenció

Per als aficionats que busquen retransmissions gratuïtes de la Copa del Món, els dispositius mòbils poden presentar el risc més gran.

Recentment, uns investigadors han observat un augment d'aplicacions de streaming no oficials i malicioses que es feien passar per serveis populars com ara RojaDirecta al voltant de la final de la Lliga de Campions de la UEFA. Es preveu que campanyes similars s'intensifiquin durant la Copa del Món.

Moltes d'aquestes aplicacions s'han vinculat a troians bancaris d'Android, incloent-hi famílies de programari maliciós conegudes com Massiv i Perseus. Com que aquestes aplicacions no estan disponibles a través de Google Play, els usuaris han d'ignorar els avisos de seguretat integrats d'Android per instal·lar-les.

Un cop instal·lat, el programari maliciós utilitza de manera abusiva els serveis d'accessibilitat d'Android per obtenir un control ampli sobre el dispositiu. Els atacants poden mostrar pàgines d'inici de sessió bancàries falses sobre aplicacions legítimes, enregistrar pulsacions de tecles, interceptar codis d'autenticació d'un sol ús de missatges SMS i aplicacions d'autenticació, i operar el dispositiu de forma remota.

Perseus, que es va desenvolupar utilitzant codi font filtrat del troià bancari Cerberus, va encara més enllà cercant contrasenyes emmagatzemades i frases de recuperació de criptomonedes en aplicacions de presa de notes.

Una aplicació de streaming que sol·licita permisos d'accessibilitat sense una raó legítima s'ha de tractar com un avís de seguretat important.

Les xarxes socials es converteixen en un vedat de caça

Les plataformes de xarxes socials s'han convertit en un canal de distribució principal per a les estafes de la Copa del Món.

Els investigadors han descobert més de 55 campanyes publicitàries amb temàtica futbolística a Facebook i Instagram que promocionen samarretes falsificades, articles de col·lecció Panini falsos i llocs web de phishing. L'anàlisi de la infraestructura publicitària ha vinculat diverses d'aquestes operacions amb operadors xinesos.

Els investigadors també han catalogat més de 1.700 comptes falsos de xarxes socials de la FIFA, gairebé el 90% dels quals operen a Facebook i Instagram. Una campanya destacada va utilitzar anuncis de feina i invitacions de calendari fraudulentes de la FIFA per redirigir els sol·licitants a pàgines d'inici de sessió de Google falsificades.

Mentrestant, les credencials de la FIFA robades ja circulen pels mercats criminals. Investigadors de seguretat han vinculat centenars de milers de comptes d'usuari compromesos i més de 4.600 adreces web relacionades amb la FIFA a famílies de programari maliciós que roben credencials com ara Vidar, LummaC2 i RedLine.

Riscos de la Wi-Fi pública a les ciutats amfitriones

Les xarxes sense fil a les ciutats amfitriones de la Copa del Món introdueixen una altra capa de risc.

Una enquesta realitzada a la Ciutat de Mèxic, Monterrey i Guadalajara va descobrir que entre el 10% i el 12% de les xarxes Wi-Fi detectades estaven completament obertes i no eren segures. Gairebé la meitat encara tenien activada la configuració protegida de Wi-Fi (WPS), cosa que creava oportunitats d'atac addicionals.

Aquestes debilitats faciliten que els delinqüents despleguin punts d'accés "bessons malvats", és a dir, xarxes malicioses dissenyades per imitar punts d'accés Wi-Fi legítims i interceptar en secret el trànsit dels usuaris.

Com poden mantenir-se protegits els aficionats i les organitzacions

Diversos senyals d'alerta poden ajudar a identificar estafes relacionades amb la Copa del Món abans que es produeixin danys:

• Compra entrades només a través del lloc web oficial de la FIFA i introdueix manualment l'adreça web en comptes de confiar en anuncis o enllaços de motors de cerca. Activa l'autenticació multifactor als comptes de la FIFA i evita que qualsevol venedor sol·liciti pagaments amb criptomoneda.
• Eviteu instal·lar aplicacions de streaming no oficials, especialment les que sol·liciten permisos d'accessibilitat. Quan utilitzeu Wi-Fi pública a les ciutats amfitriones, confieu en les dades mòbils sempre que sigui possible i eviteu accedir a comptes bancaris, de correu electrònic o altres comptes sensibles.

Les organitzacions també tenen un paper important a jugar. Els equips de seguretat haurien de supervisar els dominis amb temàtica de la FIFA recentment registrats, detectar pàgines d'inici de sessió fraudulentes, identificar empleats o clients exposats a dumps de credencials de Vidar, LummaC2 o RedLine i preparar els equips de resposta al frau per a l'augment de disputes per entrades i l'activitat de devolució de càrrecs durant tot el torneig.

Les amenaces que encara esperen activar-se

Potser la troballa més preocupant és que aproximadament 3.800 dominis fraudulents coneguts relacionats amb la FIFA romanen inactius i aparcats, llestos per al desplegament en qualsevol moment.

Amb els kits de phishing, els bots automatitzats i les credencials robades ja àmpliament disponibles, els investigadors esperen que el període de més risc sigui de l'11 de juny al 19 de juliol. Durant aquest període, les cerques de bitllets, arranjaments de viatge i serveis de streaming arribaran al seu punt àlgid, creant les condicions ideals perquè els ciberdelinqüents ampliïn les seves operacions.