SCyberTip 

Campañas de vishing camino al mundial de futbol 2026

Diana Tadeo
Post Views: 5

Descripción de la amenaza

Durante eventos de gran interés público, como la Copa Mundial de la FIFA 2026 —que se celebrará en México, Estados Unidos y Canadá del 11 de junio al 19 de julio—, los ciberdelincuentes aprovechan la emoción, la alta demanda de boletos y la necesidad de organizar viajes, hospedaje y servicios asociados al evento para llevar a cabo distintos tipos de fraude. En este contexto, el vishing representa un riesgo relevante, ya que permite manipular a las víctimas mediante llamadas telefónicas, buzones de voz o servicios de voz sobre IP, utilizando pretextos relacionados con boletos, paquetes de hospitalidad, reservaciones, supuestos cargos bancarios, soporte de cuentas o promociones falsas.

El siguiente reporte tiene como finalidad proporcionar información acerca de los ataques de tipo vishing y algunos pretextos que pueden surgir aprovechando la fiebre mundialista. Además, se brindan recomendaciones para reducir la probabilidad de ser afectados por esta amenaza y acciones de contención en caso de haber interactuado con una llamada fraudulenta.

Análisis

El término “vishing” proviene de “voice phishing” y hace referencia a fraudes de ingeniería social realizados mediante llamadas telefónicas, mensajes o llamadas por voz sobre IP (VoIP). Esta técnica se trata de una variación del phishing que utiliza canales de voz para engañar a los usuarios y obtener información sensible o inducirlos a realizar acciones perjudiciales.

A diferencia del phishing por correo o del smishing por SMS, el vishing aprovecha la interacción en tiempo real con la víctima. Esto permite que el atacante ajuste su discurso, responda dudas y mantenga presión psicológica durante la llamada. Además, puede utilizar técnicas de suplantación de identificador de llamadas (caller ID spoofing), lo que permite que en el dispositivo de la víctima aparezca un nombre o número aparentemente confiable.

Durante el periodo mundialista, estos ataques pueden combinarse con campañas de phishing, smishing o fraudes en sitios web. Por ejemplo, un usuario podría recibir primero un correo o SMS sobre una supuesta reserva de boletos y, posteriormente, una llamada de soporte para validar el pago, entregar un código de verificación o confirmar datos bancarios. Este tipo de continuidad entre canales incrementa la credibilidad del engaño y dificulta que la víctima lo identifique como fraude.

Llamadas de vishing

Esta técnica de ingeniería social es utilizada para engañar a las víctimas y manipularlas con el fin de que revelen información sensible, realicen pagos, compartan códigos de autenticación o sigan instrucciones que comprometan su seguridad. Este tipo de fraude puede presentarse en múltiples contextos, como supuestas llamadas de bancos, servicios de soporte técnico, instituciones gubernamentales, empresas de paquetería, comercios o proveedores de servicios.

En el contexto de la Copa Mundial de Futbol 2026, los ciberdelincuentes podrían aprovechar la alta expectativa del evento para construir pretextos más creíbles, haciéndose pasar por FIFA, agencias de viaje, aerolíneas, hoteles, plataformas de venta de boletos, patrocinadores, bancos o supuestos centros de atención relacionados con el evento. A través de estas llamadas, podrían intentar obtener información personal, datos bancarios, credenciales, códigos de autenticación multifactor (MFA), pagos inmediatos o incluso inducir a la víctima a proporcionar acceso remoto a su dispositivo.

¿Cómo los identifico?

Uno de los principales indicios es que la llamada no haya sido solicitada por el usuario. Si el usuario no inició un trámite, compra de boletos, reservación, reclamación o contacto con soporte, cualquier llamada que solicite información o una acción inmediata debe considerarse sospechosa hasta ser verificada por un canal oficial.

También es importante considerar que el número mostrado en pantalla puede no ser confiable. Los atacantes pueden falsificar el identificador de llamadas para aparentar que llaman desde una institución, empresa reconocida o número local. Además, en algunos casos pueden utilizar información personal de la víctima, como nombre completo, número telefónico, correo electrónico, últimos dígitos de una tarjeta, datos de una compra o referencias a servicios contratados, con el objetivo de dar mayor credibilidad a la llamada. Sin embargo, el hecho de que el interlocutor conozca ciertos datos no confirma que la comunicación sea legítima. Por ello, si la llamada solicita datos personales, pagos, códigos de autenticación o realizar acciones inusuales, se recomienda colgar y contactar directamente a la organización mediante números publicados en sus sitios oficiales, no mediante el número proporcionado por el interlocutor

Al igual que en los casos de smishing, las llamadas de vishing pueden provenir de números sospechosos o no reconocidos, aunque esto no confirma por sí solo que se trate de un fraude, sí puede ser una señal de alerta.

Algunas características que pueden indicar que el número de origen es sospechoso son:

  • Números con códigos de país diferentes al del usuario o que no correspondan con los canales oficiales de la organización que supuestamente realiza la llamada.
  • Números que estén catalogados como fraude en internet o que hayan sido reportados previamente por otros usuarios.
  • Números no registrados, desconocidos o que se muestren como “spam”, “posible fraude”, “riesgo de spam” o similar por el dispositivo, la aplicación telefónica o el proveedor de telefonía.
  • Llamadas insistentes desde distintos números, especialmente si se realizan en un periodo corto y con el mismo pretexto.
Figura 1. Ejemplo de una posible llamada sospechosa detectada por el dispositivo

Además del número telefónico, el comportamiento de la llamada también puede revelar señales de alerta. Algunos indicios comunes de una llamada de vishing son los siguientes:

  • La llamada genera urgencia o presión: “últimos boletos disponibles”, “su reserva se cancelará”, “debe pagar en este momento” o “su cuenta será bloqueada”.
  • El interlocutor solicita datos que normalmente no deberían pedirse por teléfono, como contraseñas, PIN, códigos MFA, números completos de tarjeta, CVV, datos de pasaporte o fotografías de documentos.
  • Se pide realizar pagos por medios difíciles de revertir, como transferencias inmediatas, criptomonedas, tarjetas de regalo o aplicaciones de pago entre particulares.
  • El supuesto agente evita que el usuario cuelgue o verifique por otro canal, o insiste en que la operación debe resolverse durante la misma llamada.
  • La llamada está relacionada con una oferta demasiado conveniente, por ejemplo, boletos, paquetes VIP, hospedaje o viajes con descuentos inusuales respecto al mercado.
  • El interlocutor solicita instalar aplicaciones, compartir pantalla, aceptar acceso remoto o leer códigos recibidos por SMS, correo o aplicaciones de autenticación.

Pretextos que pueden observarse durante el periodo mundialista

Con base en las modalidades documentadas de fraude telefónico y en las advertencias recientes sobre estafas relacionadas con el Mundial 2026, los siguientes pretextos son plausibles para campañas de vishing durante el evento:

  • Venta o liberación de boletos: el supuesto agente indica que quedan entradas “reservadas” o “canceladas por otros usuarios” y exige pago inmediato para no perderlas.
  • Validación de cuenta o FIFA ID: el atacante afirma que hay un problema con el registro y solicita códigos de verificación, contraseñas o datos personales.
  • Paquetes de hospitalidad o accesos VIP: se ofrecen experiencias premium falsas o cargos adicionales para “confirmar” una reservación.
  • Reservaciones de hotel, vuelo o transporte: se advierte sobre cancelaciones, cambios de itinerario o cargos pendientes para inducir pagos o recolección de datos.
  • Problemas bancarios asociados a compras mundialistas: se suplanta al banco para preguntar por operaciones recientes y obtener códigos de autorización o datos de tarjeta.
  • Premios, sorteos o promociones de patrocinadores: se solicita un pago de envío, impuestos, verificación de identidad o datos bancarios para supuestamente entregar el premio.

A continuación, se muestra un diagrama de flujo de cómo los ciberdelincuentes realizan este tipo de ataques.

Figura 2. Flujo de ataque de una llamada de vishing

Recomendaciones para llamadas de vishing

  • Desconfiar de llamadas no solicitadas en las que se solicite información personal, datos bancarios, credenciales, códigos de autenticación, pagos inmediatos, instalación de aplicaciones o acceso remoto a dispositivos.
  • No confiar únicamente en el identificador de llamadas. Aunque el número parezca pertenecer a una organización legítima, este puede haber sido suplantado mediante técnicas de spoofing.
  • Si la llamada genera sospecha, colgar y contactar directamente a la organización a través de canales oficiales, como el sitio web institucional, aplicación oficial, centro de atención publicado o sucursal física.
  • No proporcionar contraseñas, códigos de autenticación multifactor (MFA), PIN, CVV, números completos de tarjeta, datos de identificación, información financiera o cualquier dato sensible durante una llamada inesperada.
  • No aprobar solicitudes de autenticación, cambios de contraseña, recuperación de cuenta o transferencias si fueron iniciadas o solicitadas durante una llamada no verificada.
  • No realizar pagos bajo presión. Desconfiar especialmente de solicitudes de transferencias inmediatas, criptomonedas, tarjetas de regalo, depósitos a cuentas personales o aplicaciones de pago entre particulares.
  • Evitar continuar la conversación si el interlocutor impide verificar la información por otro canal, insiste en mantener la llamada activa o afirma que la operación debe resolverse de manera inmediata.
  • No instalar aplicaciones, compartir pantalla, descargar archivos ni otorgar acceso remoto al dispositivo por instrucciones recibidas durante una llamada no verificada.
  • Validar directamente cualquier supuesto cargo, bloqueo de cuenta, promoción, reservación, compra, envío, trámite o alerta de seguridad desde los canales oficiales de la organización involucrada.
  • Evitar devolver llamadas a números proporcionados por el interlocutor. En su lugar, buscar el número oficial publicado por la organización en sus medios legítimos.
  • En entornos corporativos, reportar llamadas sospechosas al área de seguridad o mesa de ayuda, especialmente si solicitan credenciales, códigos MFA, aprobaciones, pagos, cambios de cuenta bancaria o información interna.
  • Capacitar a usuarios y personal de atención para reconocer llamadas que utilicen presión, urgencia, amenazas, recompensas, suplantación de identidad o solicitudes inusuales de información.

Recomendaciones de contención

En caso de ser víctima de alguno de estos ataques, se recomienda realizar las siguientes acciones:

  • Cambia tus contraseñas de inmediato: Modifica las credenciales de las cuentas que puedan haberse visto comprometidas, especialmente si reutilizas contraseñas en otros servicios.
  • Activa la autenticación multifactor (MFA): Habilita un segundo factor de autenticación para añadir una capa adicional de seguridad a tus cuentas y disminuir la posibilidad de que un desconocido acceda a ellas incluso teniendo las credenciales.
  • Contacta a la institución afectada: Si proporcionaste datos bancarios o financieros, informa de inmediato a tu banco o proveedor de servicios para que puedan tomar medidas preventivas, como bloquear cuentas, cancelar transferencias o monitorear actividad sospechosa.
  • Revisa la actividad de tus cuentas: Verifica movimientos recientes, inicios de sesión desconocidos o cambios no autorizados, y repórtalos cuanto antes.
  • Analiza tu dispositivo: Si descargaste o ejecutaste archivos, realiza un escaneo completo con un antivirus o solución de seguridad confiable para detectar y eliminar posible malware.
  • Desconecta temporalmente el dispositivo (si es necesario): Si sospechas una infección, desconéctate de internet para evitar la comunicación con servidores maliciosos mientras se analiza el equipo con el antivirus o solución de seguridad.
  • Reporta el incidente: Informa al área de seguridad de tu organización, a la plataforma suplantada, al banco o al proveedor correspondiente. Conserva número telefónico, fecha, hora, grabaciones, mensajes asociados y comprobantes de pago.
  • Bloquea y reporta el número: Utiliza las funciones del dispositivo o del operador para marcar la llamada como spam o fraude.
  • Mantente alerta ante posibles seguimientos: Los atacantes pueden intentar nuevos contactos por el mismo y otros medios. Desconfía de mensajes o llamadas posteriores relacionados con el mismo tema.