SCyberTip 

Campañas de phishing camino al mundial de futbol 2026

Jose Rodriguez
Post Views: 17

Durante eventos de gran interés público, como la Copa Mundial de la FIFA 2026 —que se celebrará en México, Estados Unidos y Canadá—, los ciberdelincuentes aprovechan la emoción y la euforia que generan para llevar a cabo distintos tipos de fraude. Utilizan el phishing como un medio por el cual intentan manipular a sus víctimas con la temática mundialista, enviándoles mensajes de correos falsos sobre boletos, hospedaje, promociones, sorteos, transmisiones y supuestos premios, o redirigiéndolos a sitios fraudulentos. Mediante estos engaños, los ciberdelincuentes buscan robar dinero, contraseñas, datos bancarios o información personal.

La siguiente publicación tiene como finalidad, proporcionar información acerca de los ataques de tipo phishing y algunos pretextos que pueden surgir aprovechando la fiebre mundialista. Además, brindaremos algunas recomendaciones para evitar ser afectados por esta amenaza.

“Phishing” proviene originalmente de la palabra “fishing”, término en inglés relacionado con la pesca y, en esencia, es empleado para describir la acción de los ciberdelincuentes de lanzar una “carnada” utilizando pretextos llamativos para los usuarios, y que estos “muerdan el anzuelo” (realicen las acciones esperadas por los ciber delincuentes). En general, este tipo de ataque puede incluir tanto correos como sitios apócrifos, por lo que, a continuación, brindaremos la descripción de cada uno y cómo pueden ser aprovechados por los ciberdelincuentes durante las fechas mundialistas.

Sitios de phishing

Se trata de páginas diseñadas para imitar la apariencia de servicios legítimos y que incluyen mensajes con el objetivo de engañar a los usuarios para que introduzcan sus datos —generalmente a través de formularios—. El propósito de estos sitios es obtener información personal, datos financieros o credenciales de acceso a sus cuentas de cualquier tipo (correo, redes sociales, cuentas de registro en sitios oficiales).

Es probable que, durante el periodo mundialista, algunos ciberdelincuentes aprovechen la euforia que genera este gran evento para convencer a usuarios de ingresar datos en sitios de phishing, utilizando pretextos que vayan desde comprar supuestos boletos para los partidos o realizar apuestas (pidiendo datos de cuentas bancarias y tarjetas), acceder a premios (registrándose con sus cuentas de correo o redes sociales), hasta descuentos o promociones que requieran la introducción de sus datos personales.

¿Cómo los identifico?

Estos sitios usualmente tienen nombres de dominio que intentan parecerse al sitio oficial, pero con faltas de ortografía.

Ejemplo:

  • En lugar de “tiendapanini.com.mx
  • Podría ser “tiendapamini.com.mx”.

También pueden contener palabras adicionales, que sigan estando relacionadas con el sitio legítimo.

Ejemplo:

  • En lugar de “nike.com
  • Podría ser “jerseys-nike.com

En algunos casos estos sitios utilizan imágenes y logos que parecen pertenecer al sitio oficial, pero pueden verse borrosos, o hasta deformes. También pueden contener supuestos enlaces legítimos que no llevan a ningún sitio oficial o que solo redirigen a la misma página. Además, la mayoría de estos sitios contienen textos que muestren un mensaje con urgencia o de acción inmediata, buscando obtener la información del usuario, lo más rápido posible, antes de que este se dé cuenta del peligro.

En la figura 1 que se muestra a continuación, se puede observar un ejemplo de un sitio de phishing que intenta convencer a los usuarios de ingresar datos personales y de su tarjeta bancaria, supuestamente para comprar boletos antes de que se acabe el tiempo de reserva. A pesar de lucir como un sitio de compra, con imágenes aparentemente legítimas, hay claros detalles como la URL sospechosa y el mensaje tan urgente, que indican que se trata de un sitio de phishing.

Figura 1. Ejemplo de sitio de phishing usando como pretexto venta de boletos para un partido del mundial

Por otro lado, el sitio legítimo de compra de boletos cuenta con diversas validaciones, tanto de pre-registro, selección de partidos, comprobación CAPTCHA y fila virtual, entre otros.

Figura 2. Sitio de compra de boletos con dominio oficial

Figura 3. Validaciones adicionales para compra de boletos en sitio oficial

A continuación, se muestra un diagrama de flujo de cómo los ciberdelincuentes realizan este tipo de ataques.

Figura 4. Flujo de ataque de sitios de phishing

Correos de phishing

Se trata de mensajes de correo no solicitados que lleguen a las bandejas de entrada de los usuarios y que suelen imitar la apariencia de servicios legítimos. Estos correos apelan con frecuencia a un sentido de urgencia para inducir al usuario a actuar rápidamente, sin prestar atención a posibles señales de alerta. Las acciones solicitadas pueden incluir la descarga de archivos adjuntos maliciosos o el acceso a enlaces que redirigen a sitios fraudulentos, entre los cuales también se pueden encontrar sitios de phishing.

Es probable que, durante el periodo mundialista, algunos ciberdelincuentes aprovechen este gran evento y la euforia que genera para convencer a usuarios de abrir correos de fuentes desconocidas mediante asuntos llamativos, utilizando pretextos como regalos y promociones de productos del mundial, venta de boletos a partidos o viajes a las sedes del mundial, registros de noticias exclusivas de los partidos, o cancelaciones de reservaciones, entre otros, buscando que los usuarios presionen sobre direcciones URL sospechosas o descarguen y ejecuten archivos adjuntos maliciosos.

¿Cómo los identifico?

Uno de los indicios más comunes es el sentido de urgencia, cuyo objetivo es presionar al usuario con advertencias para realizar acciones de forma inmediata.

Ejemplos:

  • ¡Promoción única por tiempo limitado! No te la pierdas.
  • Acción urgente requerida. Cancelación de reserva.
  • Problemas de pagos, acción inmediata requerida.

También es importante revisar cuidadosamente el remitente. Aunque el nombre puede parecer legítimo, la dirección de correo suele contener dominios sospechosos, errores ortográficos o variaciones sutiles respecto al dominio oficial.

Ejemplo:

  • Dirección oficial de boletos no-reply[@]tickets[.]fifa[.]org
  • Dirección de correo fraudulenta noreply[@]boletosmundialfifa[.]net

Otro aspecto clave es que los textos del mensaje frecuentemente incluyen errores gramaticales, redacción poco natural o inconsistencias en el idioma. Además, pueden utilizar saludos genéricos como “Estimado usuario” en lugar de dirigirse a la persona por su nombre.

En la figura 5, se puede observar un ejemplo de un correo de phishing que intenta convencer a los usuarios de ingresar a una URL sospechosa. A pesar de lucir como un correo de promoción proveniente de una empresa organizadora o algún patrocinador, hay claros detalles como la dirección de correo de origen que no pertenece a ningún patrocinador oficial, la URL sospechosa a la que se busca redirigir al usuario y el mensaje tan urgente, que indican que se puede tratar de un sitio de phishing o fraudulento.

Figura 5. Ejemplo de correo de phishing usando como pretexto la compra de boletos para un partido del mundial

En contraposición, en la figura 5 podemos ver un correo legítimo, cuyo remitente es una dirección de correo que pertenece al sitio oficial, está dirigido específicamente al usuario del registro —evitando ser genérico—, brindando fechas y horarios para interacción sin llamar al sentido de urgencia del usuario, además de incitar al usuario a visitar los sitios oficiales.

Figura 6. Ejemplo de correo legítimo para el sorteo de compra de boletos como procedimiento oficial

A continuación, se muestra un diagrama de flujo de cómo los ciberdelincuentes realizan este tipo de ataques.

Figura 7. Flujo de ataque de correos de phishing

Recomendaciones para sitios de phishing

  • Verificar siempre las URLs de los sitios web, en búsqueda de signos de alerta como faltas de ortografía o palabras adicionales sospechosas.
  • Si se desconfía de algún sitio, verificar por otros canales oficiales (redes sociales, propaganda, correos) si la URL es la misma para confirmar que se trata de un sitio legítimo.
  • Buscar elementos sospechosos en los sitios (imágenes de mala calidad, textos con faltas de ortografía, enlaces que no apuntan a ningún lugar).
  • Si se identifica en el sitio un formulario para ingresar información, asegurarse de que sea únicamente en sitios legítimos y solo si es totalmente imprescindible.
  • Verificar si los mensajes que apelan a la urgencia o a la acción inmediata son coherentes con los procedimientos habituales de los servicios legítimos. En caso de duda, es recomendable confirmar la solicitud a través de canales oficiales antes de realizar cualquier acción
  • Antes de ingresar datos bancarios, asegúrese de que el sitio es el oficial y que cuenta con medidas de seguridad, como el candado que aparece en la parte superior de los navegadores.
  • Evitar ingresar datos a sitios desde redes públicas.
  • Para la compra de boletos o reservaciones en sitios legítimos, utilizar tarjetas digitales. Ya que estas no mantienen los mismos datos de forma constante y pueden cambiarse inmediatamente en caso de que sean robados.
  • Evitar descargar archivos de cualquier sitio que no sea una fuente legítima.

Recomendaciones para correos de phishing

  • Verificar la legitimidad del remitente de los correos recibidos. Confirmar por otros canales si la dirección de correo del remitente es legítima.
  • Verificar que el remitente sea congruente con el contenido del correo electrónico.
  • Antes de pulsar en los enlaces, sobreponer el cursor y validar con detenimiento si la URL corresponde al sitio al que desea ingresar.
  • Evitar abrir enlaces sospechosos.
  • Evitar abrir o descargar los archivos adjuntos si identifica señales de alarma.
  • Dudar de la legitimidad de los archivos adjuntos que sean de tipo ejecutable o desconocido (Exe, JavaScript, MSI, VBScript, HTA, CMD, LNK, entre otros).
  • Evitar reenviar correos sospechosos a otros usuarios.
  • Evitar utilizar las cuentas de correo institucional para uso personal.
  • Evitar proporcionar información personal o sensible a solicitudes inesperadas por correo.
  • Si no espera un correo, evitar interactuar con él. Por ejemplo, si no se planea comprar un boleto, evitar abrir ofertas de este tipo.
  • Evitar realizar cualquier operación financiera con correos inesperados.
  • Validar que la cuenta de correo de su propiedad cuente con el múltiple factor de autenticación activado.

Recomendaciones de contención

En caso de ser víctima de alguno de estos ataques, se recomienda realizar las siguientes acciones:

  • Cambia tus contraseñas de inmediato: Modifica las credenciales de las cuentas que puedan haberse visto comprometidas, especialmente si reutilizas contraseñas en otros servicios.
  • Activa la autenticación multifactor (MFA): Habilita un segundo factor de autenticación para añadir una capa adicional de seguridad a tus cuentas y disminuir la posibilidad de que un desconocido acceda a ellas incluso teniendo las credenciales.
  • Contacta a la institución afectada: Si proporcionaste datos bancarios o financieros, informa de inmediato a tu banco o proveedor de servicios para que puedan tomar medidas preventivas, como bloquear cuentas, cancelar transferencias o monitorear actividad sospechosa.
  • Revisa la actividad de tus cuentas: Verifica movimientos recientes, inicios de sesión desconocidos o cambios no autorizados, y repórtalos cuanto antes.
  • Analiza tu dispositivo: Si descargaste o ejecutaste archivos, realiza un escaneo completo con un antivirus o solución de seguridad confiable para detectar y eliminar posible malware.
  • Desconecta temporalmente el dispositivo (si es necesario): Si sospechas una infección, desconéctate de internet para evitar la comunicación con servidores maliciosos mientras se analiza el equipo con el antivirus o solución de seguridad.
  • Elimina el correo sospechoso: Después de reportarlo (si aplica), bórralo de tu bandeja de entrada para evitar futuras interacciones accidentales.
  • Reporta el incidente: Notifica el correo como phishing dentro de tu cliente de correo o repórtalo al equipo de seguridad de tu organización.
  • Mantente alerta ante posibles seguimientos: Los atacantes pueden intentar nuevos contactos por el mismo y otros medios. Desconfía de mensajes o llamadas posteriores relacionados con el mismo tema.