Estafas, información sobre amenazas

La economía fraudulenta del Mundial de 2026 ya está en marcha antes incluso de que suene el primer pitido

por Stefan Dasic | 4 de mayo de 2026
Copa del Mundo de 2026

La Copa Mundial de la FIFA 2026 está prevista que dé comienzo el 11 de junio en Estados Unidos, Canadá y México. La red se está llenando de sitios web que se hacen pasar por vendedores de entradas, empresas de telecomunicaciones, editores de cromos, fabricantes de juguetes, servicios de inmigración y proyectos de criptomonedas, todos ellos vinculados a la marca de la Copa Mundial. En conjunto, estos sitios revelan cuatro patrones recurrentes de fraude y riesgo dirigidos a los aficionados.

Lo que deben saber los aficionados al Mundial

Si tienes pensado hacer algo relacionado con el Mundial de 2026, ya sea comprar una entrada o productos oficiales, reservar un vuelo, solicitar un visado para Estados Unidos o especular con criptomonedas relacionadas con el «Mundial», prepárate para un aumento de las estafas y otras actividades de riesgo relacionadas con el Mundial.

La buena noticia es que los patrones resultan evidentes en cuanto sabes en qué fijarte:

  • Contadores de tiempo que se reinician al actualizar la página
  • Precios entre un 80 % y un 90 % más bajos que los de venta al público
  • La palabra «oficial» utilizada sin una referencia clara a la marca a la que se refiere
  • Tokens criptográficos que se presentan como productos «oficiales» del Mundial

Tu regla de oro para los próximos dos meses: si una página web utiliza el Mundial o una marca conocida para sacarte dinero, detente y compruébalo en la fuente oficial antes de hacer nada más.

Cómo funcionan estas estafas relacionadas con el Mundial

El camino hacia estas páginas fraudulentas es casi siempre el mismo: un aficionado busca algo en los motores de búsqueda o en las redes sociales (por ejemplo, «camiseta del Mundial 2026», «comprar álbum de cromos Panini», «visado para asistir al Mundial», «ficha del Mundial de la FIFA») y acaba en una de las cientos de páginas creadas para aprovecharse de esa demanda.

A menudo, el camino hasta allí pasa por una red publicitaria. Esto puede implicar un resultado de búsqueda patrocinado, un banner en una página web no relacionada o una cadena de redireccionamientos que lleva a la víctima a un dominio distinto al que ha pulsado. (Ten en cuenta que herramientas como Malwarebytes Browser Guard pueden bloquear anuncios maliciosos, dominios fraudulentos y cadenas de redireccionamiento antes de que se cargue la página.)

La imagen de marca del sitio web de destino coincide con la de la empresa legítima. Hay testimonios y cifras de clientes satisfechos, por lo que a primera vista no parece haber nada sospechoso. Los trucos para crear sensación de urgencia, como «Solo quedan unas pocas unidades» y el temporizador de cuenta atrás, están ahí para evitar que te fijas demasiado o indagues en profundidad.

Hemos observado que estos sitios web se agrupan de forma natural en cuatro categorías: criptomonedas, viajes, merchandising y pronósticos. Los sitios de cada categoría tienen sus propias características distintivas, pero todos comparten un rasgo común: el parasitismo de marca, es decir, se aprovechan de la autoridad de la FIFA, de los países anfitriones o de un licenciatario real como LEGO o Panini.

Criptomonedas

La categoría con más tráfico es la de las criptomonedas, y el mayor riesgo proviene de los sitios web que afirman o dan a entender que tienen vínculos oficiales con el Mundial.

Una página web promocionaba su token como «el token oficial de la comunidad que celebra la Copa Mundial de la FIFA 2026», anunciando un «mega airdrop», un suministro total de 7 000 millones de tokens y un contador de participantes fijado en la cifra simbólica de 48 (el número de selecciones clasificadas). Otra muestra a la mascota oficial de la FIFA, utilizando la imagen de marca del torneo para vender un token sin licencia.

Ninguno de los sitios web que hemos examinado está vinculado a la FIFA. La FIFA cuenta con un ecosistema real de coleccionables digitales —el mercado de NFT «FIFA Collect», los NFT de entradas con «derecho de compra» y el juego «FIFA Rivals» en la cadena Mythos—, todos ellos alojados en una infraestructura controlada por la FIFA y documentados en los propios dominios de la FIFA. Ninguno de los sitios web que hemos examinado forma parte de ese ecosistema. Los socios reales para 2026 están documentados y son fáciles de verificar. El «token de la Copa del Mundo» no es uno de ellos.

Hemos encontrado varios sitios web que utilizan la marca de la FIFA para dar una falsa sensación de legitimidad. Sin embargo, existe un riesgo real de que no recibas nada, de que recibas algo que no puedas vender o de que firmes una transacción que permita al operador acceder a tu monedero.

Hay sitios web que, aunque no pretenden ser oficiales, siguen entrañando riesgos para los aficionados al Mundial. Un token basado en Solana se autodenominó «World Cup Rug Index», con el eslogan «Cada partido es un mercado. Cada derrota es una estafa», y un contrato que terminaba en «pump», la firma característica de los lanzamientos de pump.fun.

En el mundo de las criptomonedas, un «rug» se produce cuando los primeros inversores venden y el precio se desploma, dejando a los compradores posteriores con pérdidas. Estos proyectos no son estafas en el sentido de que finjan ser algo que no son. Son abiertamente especulativos. El riesgo radica en su estructura: los primeros compradores pueden vender aprovechando la demanda de los compradores posteriores, que se quedan con las pérdidas.

Esto difiere de las falsas «fichas del Mundial» mencionadas anteriormente. Esas se valen de la marca de la FIFA para crear una falsa sensación de legitimidad. Estas, en cambio, se aprovechan del momento, en el que la mayoría de los participantes llegan tarde.

  • No existe ninguna ficha oficial del Mundial
  • No existe ninguna ficha oficial del Mundial
  • No existe ninguna ficha oficial del Mundial
  • No existe ninguna ficha oficial del Mundial

Viajes

La categoría más peligrosa es la del «visado para el Mundial». Una página web, WC2026 Visa, anunciaba un «visado para el Mundial de 2026 en EE. UU.» por 270 dólares por persona, con una «tasa de éxito del 98 %», una cuenta atrás hasta el 11 de junio y el trío habitual de garantías: «Proceso seguro», «Tramitación rápida» y «Solo mayores de 18 años».

No existe tal producto. El Departamento de Estado de EE. UU. lo ha dejado claro: no hay ningún visado especial para el torneo. Los visitantes extranjeros que viajen a Estados Unidos para asistir al Mundial deben utilizar el mismo visado de visitante B1/B2, o el Programa de Exención de Visado con una autorización ESTA, que cualquier otro turista. El único programa de visados específico para el torneo es el FIFA PASS (Sistema de Programación Prioritaria de Citas), un mecanismo de gestión que ofrece a los poseedores de entradas citas más tempranas en los consulados de Estados Unidos. No evita la entrevista, no expide un visado, no cuesta 270 dólares y el acceso al mismo comienza con la compra de una entrada directamente a la FIFA.

Una página web que anuncia un «visado para el Mundial» específico engaña a los usuarios haciéndoles creer que están siguiendo un procedimiento oficial de inmigración. Cualquier dato personal recopilado durante el proceso —como los datos del pasaporte, la fecha de nacimiento, los planes de viaje y, en algunos casos, los datos de pago— proporciona al operador toda la información necesaria para cometer un robo de identidad. Los aficionados solo deben realizar sus solicitudes a través de sitios web con dominios .gov en Estados Unidos, .gc.ca en Canadá y .gob.mx en México.

Los portales de viajes que agrupan entradas, vuelos y hoteles, así como los sitios web de eSIM que venden servicios de conectividad para el torneo, no son intrínsecamente fraudulentos y, a menudo, se trata de empresas reales. Sin embargo, cualquier sitio web que haga referencia al Mundial merece el mismo escrutinio: ¿quién suministra realmente este producto?, ¿cuál es la política de reembolso por escrito? y ¿está este dominio vinculado legítimamente a una marca o socio conocido?

  • Página web fraudulenta que vende entradas para el Mundial
  • Sitio web fraudulento que ofrece tarjetas Visa
  • Página web fraudulenta que vende entradas para el Mundial
  • Sitio web fraudulento que vende eSIM

Artículos promocionales

La categoría de productos es donde la suplantación de identidad se vuelve más agresiva, ya que hay licenciatarios reales a los que imitar. La colaboración de LEGO con la FIFA es auténtica y se anunció a finales de 2025. Se estrenó con el Trofeo Oficial de la Copa Mundial de la FIFA de LEGO Editions, al que se unieron en 2026 los sets de jugadores con Messi, Ronaldo, Mbappé y Vinicius Jr. Toda una serie de tiendas fraudulentas al estilo LEGO ofrece ahora el set del trofeo a 29,99 €, rebajado desde 299,99 €, lo que supone un descuento del 83-90 %. LEGO no aplica descuentos del 90 % a sus sets premium con licencia.

Relacionado con esas tiendas online está el modelo del «LEGO FIFA World Cup 2026 Quiz Challenge», que promete «recompensas de edición exclusiva» a los aficionados que completen un cuestionario. Las estafas de cuestionarios son un género de marketing de afiliación muy extendido, y la mecánica típica consiste en recopilar información de contacto y empujar al usuario hacia un proceso de facturación de suscripción disfrazado de gastos de envío del «premio». LEGO no utiliza cuestionarios de este tipo. Su actividad real relacionada con la Copa del Mundo se lleva a cabo a través de LEGO.com y de las tiendas físicas de LEGO.

Las tiendas online de camisetas falsificadas llevan años siendo un elemento habitual en la web abierta, y el ciclo del Mundial las multiplica. Ejemplos típicos: un sitio web llamado simplemente «JERSEY 2026 World Cup» que vende una camiseta de local de Portugal con un banner que dice «COMPRA 2, PAGA 1», una cuenta atrás de 30 días y un widget con el logotipo de Trustpilot que afirma tener más de diez mil clientes satisfechos; o una tienda de camisetas retro que ofrece camisetas de Alemania y Argentina a 24,90 dólares cada una. La demanda de búsquedas se dispara durante el año del Mundial y surgen tiendas falsas para satisfacerla; muchas desaparecerán poco después de que termine el torneo.

Luego está el diseño de la tienda al estilo Panini: páginas que anuncian el álbum oficial de cromos de 2026 bajo titulares como «COMPRA ÚNICA MEDIANTE NIF» (siendo el NIF el identificador fiscal personal portugués, una frase que no aparece en ningún sitio en el comercio legítimo de Panini). Estas páginas combinan cuentas atrás de menos de diez minutos, contadores de existencias («Quedan 127 unidades») y afirmaciones de escasez específicas para cada país («¡Solo 5000 unidades disponibles para Portugal!»).

El embudo de alta presión y el inusual formato del NIF apuntan a tiendas afiliadas o clónicas localizadas, y no al flujo comercial propio de Panini, que se gestiona a través de paninistore.com y de los distribuidores autorizados. No se trata de tiendas de Panini. Son flujos comerciales clónicos que utilizan la marca de Panini para vender a través de embudos de alta presión. Independientemente de si el producto llega o no, el usuario no está comprando a la empresa que cree que es.

  • Sitio web de camisetas falsas del Mundial
  • Página web falsa de Panini
  • Página web falsa de Lego sobre el Mundial
  • Sitio web de camisetas falsas del Mundial
  • Sitio web de camisetas falsas del Mundial
  • Página web falsa de Lego sobre el Mundial
  • Página web falsa de Lego sobre el Mundial
  • Página web falsa de Lego sobre el Mundial

Predicciones y premios

Los sitios web de «WorldCup Predictor» ofrecen un bote de premios que, supuestamente, aumenta con cada pronóstico, y piden a los usuarios que elijan al equipo campeón entre una serie de casillas con banderas. Lo que estás pagando son participaciones en un bote común vinculado al resultado del torneo.

Estos sitios no pretenden ser lo que no son. El riesgo radica en que operan sin una supervisión clara. No hay licencias visibles, ni una jurisdicción clara, ni forma alguna de comprobar a simple vista si los pagos se hacen efectivos o si están siquiera garantizados.

Las casas de apuestas con licencia y las plataformas reguladas no suelen presentarse de esta manera. Indican la autoridad que les ha concedido la licencia, ofrecen herramientas para el juego responsable y utilizan procesadores de pago verificados. Un botón de «Iniciar sesión para jugar», un selector de banderas y un bote de premios flotante no son lo mismo.

  • Los sitios web de «predicción del Mundial» son quinielas de pago, más parecidas a las apuestas sin licencia
  • Los sitios web de «predicción del Mundial» son quinielas de pago, más parecidas a las apuestas sin licencia

Lo que la FIFA, las marcas y las plataformas podrían mejorar

Muchos de estos sitios web no existirían, o tendrían una vida mucho más corta, si se modificaran algunos aspectos en las fases iniciales. Las marcas que cuentan con acuerdos activos para 2026 —LEGO, Panini, las federaciones nacionales y los fabricantes de kits— podrían reducir la confusión publicando cada una una única página oficial, mucho antes del inicio del torneo, en la que se enumeraran los distribuidores autorizados y los códigos de producto (SKU) y precios exactos de sus productos relacionados con el Mundial. Alguien que intente verificar si un trofeo de LEGO de 29,99 € es auténtico no debería tener que contrastar la información entre Brickset, la sala de prensa de LEGO y un blog de terceros.

Las comunicaciones de la FIFA sobre las licencias han mejorado en comparación con torneos anteriores, y los anuncios de LEGO y Panini se publicaron claramente en inside.fifa.com. Sin embargo, sigue existiendo una gran diferencia entre «la FIFA ha anunciado una colaboración» y «estas son las únicas páginas web autorizadas para vender en nombre de la FIFA». Reducir esa diferencia dificultaría mucho más la suplantación de identidad.

Los motores de búsqueda y las redes publicitarias asumen gran parte de la responsabilidad estructural. Las páginas que se hacen pasar por Visa son precisamente el tipo de sitios que aparecen en los anuncios de búsqueda pagados al buscar términos como «Visa para el Mundial», y las plataformas disponen de los datos necesarios para detectarlas y bloquearlas a gran escala.

Qué hacer si te han pillado

Cada ciclo del Mundial genera su propia economía de estafas. En 2018 surgieron mercados de entradas falsas; en 2022 se recurrió al phishing en torno al sistema Hayya de Catar; y en 2026 se está centrando en las «meme coins» y la suplantación de identidad en Visa. Lo que cambia esta vez es la velocidad: los sitios web pueden crearse, monetizarse y abandonarse en cuestión de semanas, y los textos generados por IA, las ilustraciones de mascotas e imágenes de productos han eliminado muchas de las señales visuales en las que la gente solía confiar.

La economía de las estafas de este ciclo avanza rápidamente, pero los consejos básicos siguen siendo válidos: desconfía de los enlaces no solicitados relacionados con el «Mundial», escribe tú mismo las direcciones de los dominios oficiales e ignora la presión de los temporizadores de cuenta atrás.

Si crees que te han pillado:

  • Si has introducido los datos de tu tarjeta: Ponte en contacto con la entidad emisora de tu tarjeta inmediatamente y solicita el reembolso de una transacción no autorizada o que no se haya completado.
  • Si has facilitado datos personales o de tu pasaporte: considera que han sido comprometidos. Controla tu historial crediticio, activa una alerta de fraude si es posible y mantente alerta ante posibles intentos de phishing dirigidos.
  • Si has conectado tu monedero de criptomonedas o has firmado una transacción: revoca los permisos, transfiere los activos que te queden a un nuevo monedero y deja de utilizar el antiguo para cualquier operación que implique valores importantes.
  • Si has comprado productos que no te han sido entregados: guarda la confirmación del pedido, la URL y el comprobante de pago. Denúncialo ante tu organismo nacional de protección al consumidor (la FTC en EE. UU., Action Fraud en el Reino Unido o su equivalente local).

Comprueba siempre la información a través de los canales oficiales. Para las entradas, visita FIFA.com; para las cromos, paniniamerica.net o paninistore.com; para los sets de LEGO Editions, LEGO.com; y para los visados, los sitios web oficiales del gobierno. Recuerda que las fuentes fiables no utilizan contadores de tiempo.

Detén las amenazas antes de que puedan causar ningún daño.

Malwarebytes Browser Guard automáticamente las páginas de phishing y los sitios maliciosos. Es gratis y se instala con un solo clic. Añádelo a tu navegador →

Acerca del autor

Stefan Dasic

Stefan Dasic

Apasionado de las soluciones antivirus, Stefan ha participado desde muy joven en pruebas de malware y control de calidad de productos antivirus. Como parte del equipo de Malwarebytes , Stefan se dedica a proteger a los clientes y garantizar su seguridad.

ÚLTIMOS ARTÍCULOS

Noticias
Logotipo de JDownloader

Los atacantes sustituyeron las descargas del instalador de JDownloader por malware

Mayo 15, 2026

El sitio web de JDownloader fue objeto de un ataque y los enlaces de descarga del instalador distribuyeron malware durante varios días.

AI
Instagram entre WhatsApp e Instagram

El nuevo y confuso enfoque de Meta sobre la privacidad en los chats

Mayo 15, 2026

WhatsApp ofrece ahora chats con IA que desaparecen, y Meta afirma que no puede leerlos. Mientras tanto, Instagram eliminar la función que impedía a Meta leer tus mensajes.

Privacidad
Logotipo de Yahoo Mail

¿Por qué Malwarebytes algunos redireccionamientos de Yahoo Mail?

Mayo 14, 2026

Es posible que algunos usuarios de Yahoo Mail reciban Malwarebytes repetidas Malwarebytes debido a conexiones en segundo plano con dominios de terceros sospechosos. A continuación te explicamos por qué.

Artículos relacionados

Icono de colaborador

Colaboradores

Icono del Centro de Amenazas

Centro de amenazas

Icono Podcasts

Podcast

Icono del glosario

Glosario

Icono de estafa

Estafas