Cada cuatro años, durante unas semanas, el Mundial de fútbol logra algo que nada más puede conseguir: unir a la humanidad. Despierta las mismas emociones en un abuelo de São Paulo, un adolescente de Seúl y una familia de Manchester, todos pendientes del mismo gol, en el mismo partido y en el mismo instante. Es el acontecimiento más visto de la historia de la humanidad, con una audiencia que supera a la de la Super Bowl, el Tour de Francia e incluso los Juegos Olímpicos. El deporte rey y la visión universal que inspira son algo orgánico, sin fronteras, compartido y que debería pertenecer a todo el mundo.
Pero en 2026, para millones de personas, esa visión ya se ha hecho añicos.
Muchos aficionados que intentaron conseguir entradas se quedaron fuera, sin haber hecho nada mal. Perdieron en el proceso de asignación de entradas frente a redes criminales que habían desplegado infraestructuras de bots impulsadas por IA para inundar los sistemas con identidades sintéticas y hacerse con las entradas antes que los aficionados reales. El acceso al deporte rey se había visto comprometido en múltiples niveles, mientras las instituciones responsables de protegerlo estaban, en la práctica, vigilando la puerta equivocada.
Esta es la historia de cómo ocurrió, contada tal y como se desarrolló, en cuatro actos.
Acto 1: la granja. Entre 6 y 18 meses antes del torneo
El fraude no comenzó con entradas falsas, que es lo primero en lo que suele pensar la mayoría cuando oye hablar de fraude en la venta de entradas, sino con personas falsas. Mucho antes del torneo, las redes criminales empezaron a crear ejércitos de identidades sintéticas para ejecutar sus planes relacionados con el Mundial. El fraude con identidades sintéticas es distinto del robo de identidad "tradicional": en lugar de utilizar la información de una víctima real, estas identidades se construyen combinando datos reales y falsificados, por ejemplo un número auténtico de la Seguridad Social combinado con una dirección falsa y documentos falsificados, para crear una persona ficticia pero verosímil. Después, los defraudadores cultivan estas identidades durante un tiempo, abriendo pequeñas cuentas y dejándolas madurar y acumular historial hasta que parecen completamente normales y creíbles.
La infraestructura creada desde el principio para estas estafas también incluyó el registro de numerosos dominios web con URL relacionados con la FIFA. Los investigadores rastrearon cerca de 4.300 dominios registrados desde agosto de 2025, como parte de un conjunto de más de 7.000 sitios fraudulentos relacionados con el Mundial. La antigüedad de los dominios es un factor importante para aparentar legitimidad, no solo en los sitios web, sino también para enviar correos electrónicos que no sean marcados como sospechosos o spam si los defraudadores decidían utilizarlos en campañas de phishing relacionadas con el sorteo de entradas para obtener información personal.
Identificamos esta etapa como la "fase de preparación" de la cadena de ejecución del fraude (fraud kill chain). La creación de identidades sintéticas asistida por IA puede preceder a su detección durante meses, e incluso años, ya que la mayoría de las tecnologías de detección del fraude no detectan las señales de alerta más sutiles. Como consecuencia, cuando el fraude finalmente se hace visible, la identidad ya ha madurado y goza de plena confianza.
Acto 2: el desastre del sorteo de entradas
Más de 20 millones de personas participaron en el sorteo de entradas para el Mundial de fútbol. Como no había suficientes entradas para todos, eso significó que 19,7 millones de personas se quedaron sin ellas. En un contexto como este, que combina una fuerte carga emocional con escasez, urgencia y presión, se crea un entorno especialmente propicio para el fraude.
Fue entonces cuando las redes de fraude entraron en acción utilizando los recursos que habían preparado cuidadosamente. Ejércitos de bots, formados por las identidades sintéticas creadas en el Acto 1, consiguieron acaparar las asignaciones de entradas mucho más rápido de lo que podían hacerlo los aficionados reales. Y los dominios registrados previamente se utilizaron para alojar sitios web con falsas listas de espera para entradas, crear mercados fraudulentos de compraventa de entradas y enviar correos electrónicos de confirmación y códigos QR clonados. Aunque el FBI había advertido al público de que se estaban utilizando sitios web falsificados de la FIFA para hacerse pasar por los canales oficiales, es posible que estas advertencias no llegaran a muchos aficionados o que estos no les dieran importancia, centrados ya en planificar sus viajes tras haberse quedado sin entradas por los canales oficiales.
Esta manipulación del sorteo y del mercado a escala industrial resulta mucho más sencilla gracias al uso de la IA. Las redes de fraude, que antes solo podían gestionar un número limitado de identidades sintéticas, ahora pueden utilizar la IA para administrar miles de ellas. El resultado es que las personas reales se quedan sin entradas y prácticamente sin alternativas, salvo recurrir a los mercados igualmente falsos creados por los propios defraudadores para obtener su información personal y los datos de sus tarjetas de crédito.
Acto 3: día del partido. El acceso al estadio está protegido, pero ese nunca fue el objetivo
Cuando termine el Mundial, si se le pregunta a la FIFA, probablemente afirmará que la seguridad de su sistema de venta de entradas fue un rotundo éxito. En el estadio cabe esperar que sus medidas de seguridad funcionen correctamente. El uso de códigos QR dinámicos y de la verificación de identidad está diseñado para detectar fácilmente las entradas falsificadas y garantizar que el acceso a los partidos se desarrolle de forma ordenada. Si se evalúa la seguridad de todo el operativo únicamente por lo que se ve en el estadio el día del partido, podría parecer que la gestión de las entradas ha sido totalmente satisfactoria.
Pero, como ya hemos visto, el daño ya estaba hecho mucho antes del día del partido. Las cuentas sintéticas ya se habían utilizado, el dinero ya se había transferido y las víctimas ya habían presentado sus denuncias e intentaban seguir adelante. Para entenderlo con un ejemplo, la FIFA había colocado un cerrojo en la puerta principal, pero el fraude ya había conseguido acceder antes.
Esta analogía también sirve para replantear toda esta historia. Reforzar la seguridad únicamente en el punto de acceso, mientras se deja el proceso de registro completamente expuesto al fraude, es como instalar un cerrojo en una casa sin paredes. La escasa protección que aporta poder responder a la pregunta «¿esta entrada es auténtica en el acceso al estadio?» no hizo nada para evitar el enorme volumen de fraude que se produjo porque nadie comprobó si «¿es real la identidad que se está utilizando para conseguir entradas?» en el momento en que se incorporó al proceso de venta de entradas. Ese momento de verificación documental y acreditación de la identidad durante el registro es precisamente donde opera Mitek. El Mundial 2026 ha confirmado la necesidad de realizar estas comprobaciones en tiempo real: los sistemas de detección que actúan demasiado tarde ya están perdiendo la batalla. Mientras los defraudadores han desplazado sus ataques a una fase anterior —el proceso de registro—, esos sistemas siguen sin estar preparados para detectarlos en ese momento.
Acto 4: la cosecha
Para muchas víctimas las pérdidas potenciales irán mucho más allá del coste de una entrada. Cada vez que un aficionado visitó un sitio web falso que se hacía pasar por un sorteo de entradas, una lista de espera o un mercado de reventa, e introdujo información personal como su fecha de nacimiento, número de pasaporte, datos de la tarjeta de pago y otros datos, proporcionó a los defraudadores la materia prima necesaria para la siguiente oleada de robo de identidad.
Posteriormente, esa información puede utilizarse, revenderse total o parcialmente, e incluso combinarse con otros datos obtenidos en brechas de seguridad para crear identidades sintéticas todavía más convincentes. Estas pueden emplearse en campañas de solicitudes fraudulentas de préstamos, redes de mulas financieras (money mules) o para acaparar entradas de otros grandes acontecimientos deportivos o giras de conciertos. Al analizar el alcance del fraude con identidades sintéticas, se concluye que un caso medio de fraude podría implicar tres cuentas de mulas financieras. Resulta fácil comprender cómo la información de un solo aficionado puede acabar provocando numerosas pérdidas en múltiples organizaciones.
Además, para las redes de fraude nunca existe suficiente fraude. Los defraudadores ya están pensando en cómo sacar partido a la siguiente oportunidad para obtener más información: algunos incluso han registrado ya dominios relacionados con el Mundial de 2030. El el fraude con identidades sintéticas ha dejado de ser un fenómeno puntual para convertirse en un pilar estructural de la delincuencia financiera. Su crecimiento está impulsado por factores de mercado, el bajo coste de los datos personales robados necesarios para crear una identidad sintética y la facilidad con la que las herramientas de IA permiten completar y gestionar esas identidades.
Incluso cuando se levante el trofeo de esta edición del Mundial, los intentos de fraude continuarán.
El coste es mucho mayor que el de un solo torneo
El fraude en torno al proceso de venta de entradas del Mundial es solo un ejemplo de un entorno de fraude mucho más amplio. Las cifras son enormes en cualquier ámbito relacionado con la banca, las finanzas o los pagos. Datos Insights estima que las pérdidas por fraude con identidades sintéticas en el crédito no garantizado en Estados Unidos pasaron de 1.800 millones de dólares en 2020 a 2.940 millones en 2025, y prevé que alcancen los 3.120 millones de dólares en 2026. Además, el 84 % de los responsables de prevención del fraude considera que las identidades sintéticas representan una amenaza alta o moderada para sus operaciones, y el 40 % de las entidades financieras está registrando un aumento de los ataques debido a la proliferación de herramientas de IA generativa.
El Mundial simplemente ha servido como telón de fondo emocional para un problema que aparece en muchos tipos de procesos de onboarding. En el caso del Mundial, cada entrada asignada a una identidad sintética en lugar de a una persona real impidió que un padre llevara a su hijo a su primer partido o que un grupo de amigos pudiera crear recuerdos juntos. Pero se trata de un problema generalizado que puede aparecer al abrir una cuenta, solicitar un préstamo, registrarse en un marketplace, darse de alta en un programa de prestaciones o comprar entradas para un concierto, un evento o un producto de edición limitada con una demanda muy elevada. Cambia el contexto, pero el problema de la identidad sigue siendo el mismo.
Los defraudadores saben que no necesitan romper la cadena al final, porque pueden crear fraude desde mucho antes. Para protegerse frente al fraude con identidades sintéticas, las organizaciones tendrán que proteger todas las vías que los defraudadores pueden aprovechar, no solo la última puerta.
¿Cómo frenar el fraude desde el registro?
El fraude con identidades sintéticas va mucho más allá del acceso al estadio.
Conor Rector — Responsable sénior de contenidos en Mitek
Conor Rector es líder creativo de contenidos y defensor del cliente, dedicado a ayudar a comprender la identidad, la prevención del fraude y la tecnología que protege lo que es real. Con gran experiencia en storytelling, estrategia de marca y construcción de comunidades, Conor aporta un enfoque reflexivo y centrado en las personas sobre temas complejos.
