Descripción de la amenaza 

La Copa Mundial de Fútbol de 2026 no solo será una fiesta para millones de aficionados, sino que también traerá una para que los ciber delincuentes aprovechen la emoción del torneo y engañen a los usuarios con fraudes digitales. 

Del 11 de junio al 19 de julio de 2026, México, Estados Unidos y Canadá recibirán a personas de todo el mundo que buscarán boletos, vuelos, hospedaje, transmisiones, mercancía oficial y promociones relacionadas con el mundial. 

Ese entusiasmo puede convertirse en un riesgo latente, ya que los fraudes digitales ya no dependen únicamente de correos mal escritos o páginas falsas fáciles de detectar. Hoy, con ayuda de la Inteligencia Artificial, los atacantes pueden crear mensajes más convincentes, sitios web casi idénticos a los oficiales, voces sintéticas, videos falsos y campañas personalizadas para cada víctima. 

En estos últimos años, la IA dejó de ser una amenaza emergente para formar parte de la infraestructura operativa del cibercrimen. No estamos hablando de una posibilidad futura, sino de una herramienta que ya se usa para hacer ataques más rápidos, creíbles y difíciles de detectar. 

¿Por qué el Mundial es un blanco atractivo? 

Los grandes eventos deportivos generan urgencia, emoción y mucho movimiento económico. Las personas compran boletos, reservan hoteles, buscan vuelos, descargan aplicaciones, siguen promociones y comparten información en redes sociales. Todo eso crea el escenario ideal para ataques de phishing, smishing, vishing, QRshing, robo de credenciales, fraudes bancarios y distribución de malware. 

El problema es que, con el uso de IA, estos mensajes pueden parecer mucho más creíbles: estar mejor redactados, adoptar un tono profesional e incluso incorporar datos personales reales para generar confianza. Los ataques impulsados por IA van en aumento¹, desde sitios de phishing más elaborados hasta campañas con deepfakes cada vez más difíciles de detectar 

¿Cómo puede usarse la IA en estos ataques? 

1. Mensajes falsos más creíbles 

Antes, una señal común de fraude eran los errores ortográficos o las traducciones extrañas. Eso ya no basta, porque ahora los modelos de lenguaje (LLM²) pueden crear texto con buena redacción, lenguaje formal y dar una apariencia profesional. El mensaje puede convencer de que es auténtico, pero conduce a una página web falsa. 

Figura 1. Ejemplo ilustrativo de un posible mensaje de phishing relacionado con el Mundial 2026. Imagen generada con apoyo de inteligencia artificial. 

2. Sitios web clonados 

La IA también facilita la creación rápida de páginas web falsas. Los atacantes pueden copiar el diseño de sitios legítimos y montar portales que parecen oficiales. Estos sitios pueden simular la venta de boletos, mercancía, paquetes de viaje, hospedaje o accesos a transmisiones. 

En el contexto del Mundial, ya han sido identificados múltiples sitios y dominios fraudulentos que intentan aprovechar el interés de los aficionados. Algunos de estos sitios suplantan páginas oficiales, promociones de boletos, transmisiones en vivo, paquetes de viaje o supuestos servicios relacionados con el torneo³. 

3. Ataques personalizados 

La IA puede analizar información pública de redes sociales, filtraciones de datos o bases de datos expuestas para crear mensajes más personalizados. Por ejemplo, si una persona publica que viajará a Guadalajara para ver un partido, podría recibir un correo falso con una supuesta promoción de hotel en esa ciudad. Mientras más específico parece el mensaje, más confianza genera; sin embargo, no porque un correo mencione tu nombre, tu ciudad o tu equipo favorito significa que sea legítimo.  

4. Audios y videos falsos 

Los deepfakes⁴ también se han convertido en una herramienta habitual dentro de los esquemas de fraude. 

Un atacante puede generar un vídeo falso en el que un jugador famoso recomiende una promoción atractiva, pero en realidad redirige a las personas a un fraude. De igual forma, puede crear una llamada con voz generada con IA que imite a cualquier persona. El uso de deepfakes de mayor calidad ha hecho que estas campañas sean más convincentes, aumentando el riesgo de que los usuarios confíen en mensajes, videos o llamadas que parecen legítimos.⁵. 

Por eso, ya no basta con ver o escuchar algo para confiar. Si una promoción no aparece en los canales oficiales, lo más seguro es no interactuar con ella. 

5. Aplicaciones falsas 

Durante el Mundial, podrían circular aplicaciones falsas que aparentan ser útiles para los aficionados, pero que en realidad buscan robar información, mostrar publicidad maliciosa o instalar malware en el dispositivo de la víctima. 

Diversos reportes⁶ de ciberseguridad han señalado la aparición de amenazas que incorporan IA generativa dentro de su funcionamiento malicioso. Estos casos muestran cómo la IA también puede utilizarse para crear malware más adaptable y difícil de detectar. 

¿Cómo identificar estas amenazas?  

Aunque los ataques sean más sofisticados, todavía existen señales que pueden ayudar a detectarlos: 

• Desconfía de mensajes que generen urgencia, soliciten datos personales o bancarios, prometan beneficios demasiado atractivos o incluyan enlaces sospechosos. 

• También, revisa cuidadosamente las direcciones URL antes de iniciar sesión o realizar pagos, especialmente si llegaste al sitio desde un anuncio, correo, SMS o mensaje de redes sociales. 

El FBI ha alertado sobre actores que suplantan sitios relacionados con FIFA antes del Mundial, por lo que verificar los dominios será una medida clave de prevención ⁷. 

La regla básica es simple: si un mensaje te presiona para actuar rápido, detente y verifica. 

Recomendaciones para protegerte 

• Para reducir el riesgo durante el Mundial, consulta siempre la información en canales oficiales, como el sitio web de FIFA, la aplicación oficial del evento o los portales legítimos de bancos, aerolíneas, hoteles y proveedores reconocidos. 

• Evita compartir contraseñas, códigos de autenticación multifactor (MFA⁸), datos bancarios o información personal a través de enlaces recibidos por correo, SMS, WhatsApp o redes sociales. 

• Antes de iniciar sesión, pagar o descargar una aplicación, revisa el dominio, el desarrollador y el origen del enlace. Si algo parece urgente, demasiado atractivo o fuera de los canales oficiales, lo más seguro es verificar antes de continuar. 

• En empresas, se recomienda reforzar filtros de correo, controles de acceso y campañas de concientización antes y durante el evento⁹. 

¿Qué hacer si caíste en un fraude? 

• Si hiciste clic en un enlace, ingresaste datos o descargaste un archivo sospechoso, actúa rápido. 

• Cambia tus contraseñas, activa la autenticación multifactor, revisa accesos recientes y contacta a tu banco si compartiste información financiera. 

• También conserva evidencia, como capturas, URLs, mensajes, comprobantes, fecha y hora. Esto puede ayudarte a reportar el incidente ante la plataforma suplantada, tu banco, el área de seguridad de tu organización. 

Conclusión 

El Mundial será uno de los eventos más importantes del mundo, pero también un escenario atractivo para el fraude digital. La IA permitirá que algunos ataques sean más realistas, personalizados y difíciles de detectar. Por eso, la mejor defensa será la verificación. Antes de comprar, pagar, descargar o compartir información, haz una pausa. En internet, durante el Mundial, no todo lo que parece oficial lo es. 

La Inteligencia Artificial no crea por sí sola estas amenazas, pero sí puede hacerlas más creíbles, rápidas y difíciles de detectar. Mensajes mejor redactados, sitios web más parecidos a los oficiales, audios falsos, videos manipulados y campañas personalizadas pueden aumentar la probabilidad de que una persona confíe en un enlace, descargue una aplicación o comparta información sensible. 

Por eso, durante el Mundial, la mejor defensa será la verificación. Antes de comprar, pagar, descargar una aplicación o compartir datos personales, es importante hacer una pausa y confirmar que la información provenga de canales oficiales. En internet, no todo lo que parece legítimo lo es, y en eventos de alto interés, la prevención puede marcar la diferencia entre disfrutar la experiencia o convertirse en víctima de un fraude digital. 

Fuentes

[1] https://www.welivesecurity.com/es/informes/ia-ransomware-regulacion-tendencias-ciberseguridad-2026/
[2] https://www.paloaltonetworks.com/cyberpedia/large-language-models-llm
[3] https://www.group-ib.com/blog/ghost-stadium-football-fraud/
[4] https://www.fbi.gov/news/press-releases/cryptocurrency-and-ai-scams-bilk-americans-of-billions?utm_source
[5] https://www.eset.com/us/about/newsroom/research/eset-threat-report-h2-2025-1/
[6] https://www.helpnetsecurity.com/2026/02/19/promptspy-android-malware-generative-ai [7]https://www.ic3.gov/PSA/2026/PSA260527
[8] https://www.ibm.com/mx-es/think/topics/multi-factor-authentication [9]https://www.welivesecurity.com/es/informes/ia-ransomware-regulacion-tendencias-ciberseguridad-2026