¿Estás listo? La Copa Mundial FIFA 2026 podría convertirse en el gancho perfecto para fraudes digitales y phishing sin precedentes
Imagen: Zdzisław Beksiński
Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad (CSCT™), (ISC)² Certified in Cybersecurity℠ (CC), EC-Council Ethical Hacking Essentials (EHE) Certified, EC-Council Certified Cybersecurity Technician (CCT), Ethical Hacking Certified Associate (EHCA), Cisco Ethical Hacker & Cisco Cybersecurity Analyst y líder del Capítulo Querétaro de la Fundación OWASP.
La FIFA ha puesto a disposición de los aficionados dos enlaces oficiales para interactuar con la Copa Mundial de la FIFA 2026, que se celebrará en Estados Unidos, Canadá y México.
El primero, https://auth.fifa.com/as/authorize?response_type=code&response_mode=form_post&client_id=51dcafd9-c39a-43d9-8e91-fafac25c436f&scope=openid&lang=es&redirect_uri=https%3A%2F%2Fwww.fifa.com&campaign=Fifacom-Web-ROIFWC2026ROI, permite registrarse para recibir información sobre el evento.
El segundo, https://fifaworldcup26.hospitality.fifa.com/us/es, ofrece detalles sobre los paquetes de hospitalidad y sus costos. Este artículo analiza la seguridad de ambos enlaces, destacando su legitimidad como canales oficiales de la FIFA y proporcionando recomendaciones para protegerse contra posibles riesgos.
Con el objetivo de detectar posibles vulnerabilidades, la unidad de investigación de SILIKN realizó un análisis detallado de ambos enlaces.
El enlace https://auth.fifa.com/as/authorize?... es parte del sistema de autenticación de la FIFA, utilizando el protocolo OAuth 2.0. Este permite a los usuarios registrarse para recibir actualizaciones sobre el Mundial 2026. Los parámetros como response_type=code, scope=openid, y redirect_uri=https://www.fifa.com indican un flujo de autorización estándar, mientras que campaign=Fifacom-Web-ROIFWC2026ROI confirma su relación con el registro de interés para el evento.
En cuanto a las posibles vulnerabilidades identificadas, se destacan las siguientes:
- Redirección Abierta: Si el parámetro redirect_uri no está estrictamente validado, un atacante podría redirigir a los usuarios a un sitio malicioso. La FIFA probablemente usa una lista blanca de URIs permitidas.
- CSRF: La ausencia del parámetro state podría facilitar ataques de Cross-Site Request Forgery, donde un atacante engaña al usuario para que inicie sesión en una aplicación maliciosa.
- Phishing: Aunque el dominio auth.fifa.com es legítimo, los atacantes podrían usar dominios similares (por ejemplo, auth-fifa.com) para engañar a los usuarios.
- Fugas de Información: Parámetros como client_id podrían exponer información si no se manejan adecuadamente.
- Reutilización de Códigos: Los códigos de autorización deben ser de un solo uso y de corta duración para evitar su interceptación.
Por lo anterior, se comparten las siguientes recomendaciones:
- Verifica que el dominio sea auth.fifa.com y usa HTTPS.
- Asegúrate de que la redirección sea a www.fifa.com.
- Usa contraseñas únicas y habilita 2FA si está disponible.
- Accede al enlace desde fuentes oficiales de la FIFA.
Por otra parte, el enlace https://fifaworldcup26.hospitality.fifa.com/us/es dirige a un sitio dedicado a los paquetes de hospitalidad para el Mundial 2026, con información sobre opciones premium y costos. Alojado en el subdominio hospitality.fifa.com, está configurado para usuarios en Estados Unidos con contenido en español y de igual forma puede llegar las siguientes vulnerabilidades:
- Phishing: Aunque el dominio es legítimo, los atacantes podrían crear dominios similares para engañar a los usuarios.
- Errores de Configuración: El servidor podría ser vulnerable a inyecciones SQL o XSS si no está bien configurado.
- Formularios Inseguros: Si el sitio incluye formularios para consultas, debe protegerlos contra ataques como CSRF o XSS.
- Contenido Dinámico: Los scripts dinámicos (por ejemplo, calculadoras de precios) podrían ser vulnerables si no se sanitizan correctamente.
De igual forma, se comparten las siguientes recomendaciones:
- Confirma que el dominio sea hospitality.fifa.com y usa HTTPS.
- Accede al enlace desde el sitio principal de la FIFA o comunicados oficiales.
- Evita enviar datos sensibles en redes no seguras.
- Mantén tu navegador actualizado para protegerte contra exploits.
Es probable que la FIFA haya implementado medidas robustas en ambos sitios, incluyendo:
- Cifrado HTTPS para proteger las comunicaciones.
- Validación estricta de parámetros en el enlace de autenticación.
- Cabeceras de seguridad (como HSTS y CSP) para mitigar ataques.
- Protección contra ataques de fuerza bruta en formularios de autenticación.
Aun así, los usuarios deben permanecer vigilantes, ya que ningún sistema está completamente exento de riesgos y se prevé que el phishing relacionado con temas del mundial FIFA 2026 se incremente, superando al promedio de phishing actual. A manera de contexto, México enfrentó 83 millones de ciberataques diarios en el primer semestre de 2025, con el phishing como la amenaza más detectada. El 62.7% de los consumidores mexicanos fueron víctimas de phishing en 2024, lo que refleja la alta vulnerabilidad del país.
El entusiasmo por el Mundial 2026 hace que los enlaces de la FIFA sean objetivos atractivos para los ciberdelincuentes. Los atacantes podrían enviar correos electrónicos, SMS o mensajes de WhatsApp falsos que imiten comunicaciones oficiales de la FIFA, solicitando datos personales o bancarios bajo el pretexto de registros o compras de paquetes de hospitalidad. En México, donde 80.2% de los fraudes involucran llamadas, SMS o sitios web falsos, los usuarios deben ser especialmente cautelosos.
Los enlaces antes mencionados son canales oficiales de la FIFA para el Mundial 2026, pero el alto promedio de phishing en México representa un riesgo significativo. Los usuarios deben verificar la autenticidad de los enlaces, usar conexiones seguras y adoptar medidas como contraseñas fuertes y software de seguridad. Con una educación digital adecuada y precaución, los aficionados mexicanos pueden disfrutar de la emoción del Mundial 2026 sin caer en fraudes.
Para más información, visite: https://www.silikn.com/