El fraude en la Copa Mundial de la FIFA: qué significa para tu empresa

Por qué los grandes eventos suponen un riesgo para la seguridad del correo electrónico de las empresas

El torneo tiene una demanda muy superior a la oferta. Las entradas son escasas y la demanda es alta, lo que genera una escasez extrema y una gran urgencia, precisamente las condiciones psicológicas que hacen que phishing .

Los ciberdelincuentes no solo los aficionados. Los patrocinadores, los proveedores, las cadenas hoteleras, las aerolíneas y las empresas de procesamiento de pagos se convierten en objetivos de suplantación de identidad cuando un evento de gran relevancia acapara la atención mundial. Las empresas que tengan alguna relación de marca con el torneo corren un riesgo elevado, independientemente de si mantienen o no una relación oficial con la FIFA.

La recopilación de credenciales se extiende a objetivos corporativos. Se han utilizado portales de empleo falsos de la FIFA —entre los que se incluyen dominios como fifa-careerhub[.]com y fifaworldcup-careers[.]com— para recabar información personal de los solicitantes. Esos datos se utilizan para lanzar phishing dirigidos contra las organizaciones para las que trabajan dichos solicitantes.

Cómo utilizan los ciberdelincuentes el correo electrónico para cometer fraudes relacionados con la Copa Mundial de la FIFA

Correos electrónicos de phishing que se hacen pasar por la FIFA y marcas de torneos

Las estafas relacionadas con el Mundial incluyen loterías y sorteos falsos con temática de la FIFA que llegan directamente a los buzones de correo electrónico, en los que se afirma falsamente que los destinatarios han ganado premios en metálico a través de loterías o sorteos promocionales de la FIFA.

Para parecer legítimos, los correos electrónicos incluían números de referencia, identificadores de ticket, direcciones de oficinas y terminología jurídica. Algunos se hacían pasar por divisiones concretas de la FIFA, mencionándolas por su nombre —como la «División Jurídica y de Cumplimiento de la FIFA»— para dar una mayor credibilidad institucional.

Dominios similares y dominios con errores ortográficos utilizados como infraestructura de remitentes

El fraude relacionado con el Mundial se basa en gran medida en dominios que se parecen a los auténticos: los ciberdelincuentes han registrado miles de dominios similares a los de la FIFA utilizando ligeras variaciones ortográficas o dominios de nivel superior alternativos para suplantar a la FIFA y a las marcas relacionadas. Los investigadores de seguridad y el FBI han identificado miles de dominios falsos confirmados, y se espera que aparezcan más a lo largo del torneo.

Entre los dominios falsos confirmados y señalados hasta la fecha se encuentran fifa.pink, worldcup26ticket.com y fifa-2026.xyz, entre muchos otros. El comunicado de servicio público del FBI, publicado el 27 de mayo de 2026, incluye docenas más.

Qué significa esto para tu dominio

El fraude relacionado con el Mundial no requiere que tu empresa tenga ninguna relación con el torneo. Cualquier marca que opere en una ciudad sede o en un sector relacionado con los viajes, los pagos o la hostelería corre un riesgo elevado de suplantación de identidad.

Así es como se manifiesta el fraude en la práctica:

• Tu dominio está siendo suplantado. Si tu DMARC está en p=none, los correos electrónicos no autenticados enviados desde tu dominio pueden llegar a las bandejas de entrada. Los correos electrónicos falsificados enviados a tus clientes o socios pueden dañar la confianza y facilitar el fraude sin que te des cuenta.
• Se ha registrado un dominio muy similar al tuyo con el fin de suplantar tu identidad. DMARC soloDMARC tu dominio registrado. Los atacantes pueden registrar un dominio muy parecido al tuyo —con un TLD diferente, una letra cambiada de lugar o una palabra añadida— y enviar correos electrónicos desde él que eluden por completo tus controles de autenticación.
• Las credenciales de los empleados que han sido comprometidas se utilizan en tu contra. Las campañas de robo de credenciales están activas y se están extendiendo. Si las credenciales de inicio de sesión de un empleado quedan expuestas en una filtración de datos de un tercero o son obtenidas mediante phishing, los atacantes pueden utilizarlas para enviar correos electrónicos desde una cuenta autenticada de forma legítima. DMARC lo detectará, ya que la autenticación es técnicamente válida.

Reducción de la superficie de ataque del correo electrónico en entornos Windows de alto riesgo

La respuesta adecuada al fraude en la Copa del Mundo es adoptar un enfoque por capas, no limitarse a un único control. Esto es lo que debes hacer.

Aplicar DMARC p=reject

p=none ofrece visibilidad, pero no detiene los correos electrónicos falsificados. No proporciona protección, solo . p=quarantine desvía los correos electrónicos sospechosos a la carpeta de spam o correo no deseado, pero no los bloquea. p=reject indica a los servidores receptores que bloqueen los correos electrónicos no autenticados antes de que lleguen a los destinatarios.

DMARC Los informes agregados (RUA) de MARC ofrecen una visibilidad continua de todas las fuentes que envían correo electrónico desde su dominio, incluidas aquellas que usted no ha autorizado. Al pasar a p=reject sin revisar primero tus datos de RUA conlleva el riesgo de bloquear a remitentes legítimos. Los informes hacen que las decisiones de aplicación se basen en datos, no en conjeturas.

Lo fundamental es disponer de una visión global unificada de todas tus DMARC SPF, DKIM y DMARC . Sin ella, no podrás aplicar las medidas de seguridad con confianza ni identificar a los remitentes no autorizados antes de que causen daños.

Supervisar dominios similares

DMARC tu dominio registrado. No protege contra dominios similares creados para suplantar tu identidad.

Sendmarc’s Lookalike Domain Defense identifica los dominios registrados para imitar su marca, que a menudo se utilizan en phishing dirigidas a sus clientes y socios. Se trata de una supervisión continua, no de una comprobación puntual. Durante periodos de alto riesgo, como el Mundial, pueden aparecer rápidamente nuevos dominios similares.

Credenciales comprometidas en Surface

Breach Detection detecta las credenciales de los empleados expuestas en las brechas de seguridad, lo que permite a los equipos de seguridad actuar antes de que lo hagan los atacantes.

La filtración de credenciales es el motor de la apropiación de cuentas y del BEC. Detectarla a tiempo reduce el margen de tiempo para su explotación, y en un momento en el que las campañas de recolección de credenciales se llevan a cabo a gran escala, ese margen es fundamental.

Protege a tu organización contra el fraude relacionado con el Mundial

El Mundial de 2026 creó las condiciones propicias para el fraude a gran escala: una audiencia mundial, una escasez extrema y un rápido movimiento de dinero.

El fraude relacionado con el Mundial alcanzará su punto álgido entre ahora y el 19 de julio. Si su empresa opera en cualquier sector relacionado con el evento —viajes, hostelería, servicios financieros, comercio minorista—, ahora es el momento adecuado para comprobar el estado de la autenticación de su correo electrónico, no cuando el torneo esté en pleno apogeo.

Los equipos de seguridad, ya de por sí sobrecargados, que gestionan entornos distribuidos no pueden permitirse investigar manualmente los errores de configuración durante un periodo de riesgo elevado. La supervisión continua, la aplicación de DMARC y la detección de la exposición de credenciales reducen esa carga de trabajo y cierran las brechas que los atacantes buscan activamente.

Descubre cómo Sendmarc ayuda a los equipos a aplicar DMARC, detectar dominios similares y identificar credenciales comprometidas.