El Mundial de Fútbol 2026 será el acontecimiento deportivo más seguido de la historia. Y también es, en este momento, una de las mayores operaciones de robo de identidad jamás registradas.
La mayor parte de la cobertura se ha centrado en lo más visible: sitios web de venta de entradas fraudulentas, códigos QR falsificados y correos electrónicos de phishing que utilizan la imagen de la FIFA. Estas estafas son reales y conviene conocerlas. Sin embargo, la historia de fraude que más impacto tendrá en los próximos 12-18 meses no es la que ocurre en el momento de la compra, sino la que sucede antes.
Ocurre cuando un aficionado completa un formulario de compra de entradas, introduce su fecha de nacimiento y facilita su número de DNI o pasaporte en un sitio web diseñado precisamente para apropiarse de esa información.
Este artículo analiza esa realidad: qué datos están recopilando realmente los defraudadores, por qué tienen un valor muy superior al coste de una entrada falsa y qué nos está revelando el Mundial sobre una vulnerabilidad que va mucho más allá de los estadios.
¿Qué está ocurriendo realmente con el fraude relacionado con el Mundial 2026?
Las cifras reflejan la verdadera dimensión del problema. Investigadores de Check Point registraron cerca de 10.000 nuevos dominios que incluían términos relacionados con la FIFA o el Mundial solo en abril de 2026, más de cuatro veces el ritmo del mes anterior y cinco veces el pico observado durante el Mundial de Catar 2022. A primeros de mayo, aproximadamente uno de cada 41 de esos dominios ya había sido identificado como sospechoso o directamente malicioso. Y el torneo ni siquiera ha comenzado.
El 27 de mayo de 2026, el FBI emitió una alerta pública en la que identificaba decenas de dominios fraudulentos y advertía sobre ataques de typosquatting, registro dominios web muy parecidos a los legítimos, aprovechando errores tipográficos o pequeños cambios que pasan desapercibidos para los usuarios, diseñados para suplantar los canales oficiales de la FIFA.
Por su parte, la empresa de ciberseguridad Group-IB atribuyó una parte significativa de esta infraestructura a un único actor de amenazas de habla china conocido como Ghost Stadium, responsable de más de 300 sitios web clonados que imitaban portales oficiales de la FIFA y que estaban dirigidos principalmente a compradores de entradas premium.
A simple vista, la estafa suele desarrollarse de la siguiente manera: un aficionado busca entradas agotadas, encuentra lo que parece ser una plataforma oficial de reventa o una lista de espera de la FIFA, introduce sus datos para registrarse y termina pagando por una entrada que nunca llega o recibe un código QR aparentemente legítimo que resulta inválido al intentar acceder al estadio.
La pérdida económica puede ser importante. Pero ese no es el verdadero problema.
¿Qué datos están entregando realmente los aficionados?
Estos sitios fraudulentos no se limitan a recopilar números de tarjetas de crédito. Los procesos de registro que utilizan, muchos de ellos diseñados para reproducir casi a la perfección las pantallas oficiales de la FIFA, están concebidos para obtener un perfil mucho más completo de la víctima.
Los aficionados que creen estar registrándose en una lista de espera oficial o en una plataforma autorizada de reventa suelen proporcionar información como:
- Nombre y apellidos.
- Fecha de nacimiento.
- Dirección de correo electrónico y número de teléfono.
- Dirección postal.
- Número de pasaporte o documento nacional de identidad.
- Datos de la tarjeta de pago.
Investigadores de ESET documentaron múltiples sitios fraudulentos que guiaban a las víctimas a través de procesos de registro de varios pasos prácticamente idénticos a los de la plataforma oficial de la FIFA. Estos portales replicaban logotipos, colores corporativos, mapas de asientos e incluso páginas de confirmación, generando una sensación de legitimidad difícil de cuestionar.
En muchos casos, los aficionados no descubren el engaño hasta que llegan al estadio.
Pero para entonces, el daño ya está hecho. Y sus consecuencias van mucho más allá de perder una entrada o quedarse fuera de un partido.
¿Por qué los datos de identidad valen más que una tarjeta de crédito robada?
Una tarjeta de crédito robada tiene una vida útil limitada. Los bancos detectan rápidamente patrones de uso sospechosos, las tarjetas son bloqueadas y los cargos fraudulentos se reclaman. En términos de fraude, el valor de una tarjeta suele medirse en horas o días.
Un nombre, una fecha de nacimiento, una dirección postal y un número de pasaporte, en cambio, pueden conservar su valor durante años.
Estos datos constituyen la materia prima de una modalidad de fraude mucho más sofisticada, paciente y rentable. Mientras que los datos de una tarjeta tienen un carácter transaccional, los datos de identidad son la base sobre la que se construyen múltiples tipos de fraude.
Pueden utilizarse de forma inmediata para lanzar campañas de phishing altamente personalizadas contra la misma víctima. También pueden combinarse con información procedente de otras brechas de seguridad para crear perfiles mucho más completos. Además, pueden empaquetarse y revenderse en mercados clandestinos especializados en datos robados.
Y, sobre todo, pueden utilizarse para crear algo mucho más peligroso: una identidad sintética.
¿Qué es el fraude con identidades sintéticas y qué tiene que ver el Mundial con él?
El fraude con identidades sintéticas consiste en crear una persona ficticia, pero creíble, mediante la combinación de datos reales y datos inventados. Normalmente, se utilizan elementos auténticos —como una fecha de nacimiento real, un número de identificación válido o fragmentos de direcciones legítimas— junto con información fabricada para construir una identidad que no corresponde a ninguna persona concreta, pero que puede superar los controles de verificación. La relación con el Mundial 2026 es que este está siendo utilizado como un evento de recopilación masiva de datos de identidad, que podrían potencialmente ser usados para la creación de las identidades sintéticas previamente comentadas.
Se trata de la modalidad de fraude financiero que más rápido está creciendo en Estados Unidos. Según Datos Insights, las pérdidas derivadas del fraude con identidades sintéticas en el mercado de crédito no garantizado pasaron de 1.800 millones de dólares en 2020 a casi 3.000 millones en 2025. Además, las previsiones apuntan a que esta tendencia seguirá al alza a medida que las herramientas de inteligencia artificial generativa faciliten la creación y gestión de estas identidades fraudulentas a gran escala.
¿Por qué este fraude comienza mucho antes?
El momento de estos ataques no es accidental. Las redes de fraude no esperan a que comience el torneo. Los dominios se registraron con meses de antelación, las páginas falsas de registro estaban activas mucho antes de que se abriera la venta de entradas y la recopilación de identidades ya estaba muy avanzada antes de que se juegue el primer partido.
Esto se debe a que el momento más eficaz para cometer fraude de identidad es el registro. Es el momento en que una persona se registra por primera vez en un sistema, cuando se introducen los datos de identidad, cuando se produce la verificación (o la ausencia de ella) y cuando se establece la relación de confianza fundamental entre un usuario y una plataforma. Si un defraudador puede hacerse pasar por un usuario legítimo durante el registro, cada interacción posterior hereda esa falsa legitimidad.
En el caso del Mundial, esto significó que los registros fraudulentos para entradas y las falsas listas de espera se crearon específicamente para recopilar datos de identidad durante el momento de mayor urgencia y menor escrutinio: cuando los aficionados estaban emocionados, tenían prisa y estaban desesperados por no quedarse fuera. El FOMO es una característica, no un error, del diseño del fraude.
¿Qué plataformas corren mayor riesgo por los datos recopilados?
El riesgo de fraude generado por esta recopilación de datos no se limita al fútbol. La información de identidad recopilada de los aficionados al Mundial aparecerá en los servicios financieros, el comercio electrónico, las plataformas de viajes y cualquier sistema que dependa de la identidad durante el proceso de registro u onboarding.
Las instituciones financieras son el principal objetivo. Una identidad sintética madura, desarrollada con un historial real y construida en parte a partir de datos recopilados de aficionados al Mundial, es difícil de distinguir de un nuevo cliente legítimo. Puede abrir cuentas, generar historial crediticio y acabar incurriendo en impagos dentro de esquemas coordinados de fraude a gran escala. Datos Insights descubrió que los responsables de fraude estiman que las identidades sintéticas representan aproximadamente un tercio de las pérdidas por fraude con cheques de primera parte en algunas instituciones.
Pero la exposición va más allá de la banca. Cualquier plataforma con un momento de registro asociado a una alta demanda y una oferta limitada, incluidas las entradas para conciertos, los productos de edición limitada, la inscripción a prestaciones y el registro en marketplaces, se enfrenta a la misma vulnerabilidad estructural que el Mundial ha puesto de manifiesto.
¿Cómo es realmente una protección eficaz?
Las medidas de seguridad en el punto de acceso que suelen recibir más atención, como los códigos QR dinámicos y las verificaciones de identidad en los accesos a los estadios, funcionan bien para impedir que la persona equivocada entre en un recinto. Lo que no hacen es impedir que la persona equivocada entre en el ecosistema en primer lugar.
La capa de protección más importante es la verificación documental y la comprobación de identidad durante el registro: confirmar que la persona que se registra es un individuo real y vivo, que los documentos de identidad que presenta son auténticos y no han sido alterados, y que la persona que presenta esos documentos es quien dice ser. Detectar una identidad sintética en el acceso, después de que ya se haya registrado, haya creado un historial y haya realizado transacciones, es significativamente más difícil que detectarla en el momento en que intenta registrarse.
Esta es la brecha que se ha puesto de manifiesto en este Mundial. No es un problema de venta de entradas. Es un problema de registro que aparece en cualquier lugar donde se recopilan datos de identidad y se deposita confianza en ellos.
La historia no ha hecho más que empezar
El torneo terminará. Un equipo levantará el trofeo. Y el fraude continuará.
Los datos de identidad recopilados a través de las operaciones de phishing relacionadas con el Mundial seguirán utilizándose mucho después de la ceremonia de clausura. Parte de ellos alimentará intentos de fraude que no serán visibles hasta dentro de meses. Parte ya ha sido vendida, combinada y reutilizada. El Mundial ha servido como telón de fondo emocional y como oportunidad logística. Lo que ha puesto de manifiesto es una vulnerabilidad estructural en la forma en que se gestiona la identidad en el punto de entrada.
Comprender dónde se encuentra esa vulnerabilidad y qué hace posible es el objetivo de la siguiente parte de esta historia.
Mitek ayuda a las organizaciones a verificar identidades, prevenir el fraude antes de que ocurra y ofrecer experiencias digitales seguras frente a amenazas impulsadas por la IA. Más de 7.000 organizaciones confían en Mitek para proteger sus conexiones más importantes con los clientes.
Preguntas frecuentes
¿Cuál es el riesgo de fraude relacionado con el Mundial de fútbol 2026?
Los investigadores de seguridad han identificado cerca de 10.000 dominios fraudulentos que suplantan las plataformas oficiales de la FIFA en los meses previos al Mundial de 2026. Estos sitios recopilan datos personales de identidad de los aficionados, incluidos números de pasaporte, fechas de nacimiento e información de pago, bajo la apariencia de procesos de registro o reventa de entradas.
¿Qué datos recopilan las estafas relacionadas con las entradas del Mundial?
Los sitios fraudulentos relacionados con el Mundial suelen recopilar nombres completos, fechas de nacimiento, direcciones postales, direcciones de correo electrónico, números de teléfono, números de pasaporte o de DNI y datos de tarjetas de pago, suficientes para crear o reforzar una identidad sintética.
¿Qué es el fraude con identidades sintéticas?
El fraude con identidades sintéticas consiste en crear una persona ficticia, pero creíble, combinando datos de identidad reales con información fabricada. Es la modalidad de fraude financiero que más rápido está creciendo en Estados Unidos, con pérdidas estimadas cercanas a los 3.000 millones de dólares anuales.
¿Cómo afecta el fraude relacionado con el Mundial a los bancos y a las instituciones financieras?
Los datos personales recopilados a través de sitios de phishing relacionados con el Mundial proporcionan a los defraudadores la materia prima necesaria para construir identidades sintéticas utilizadas en aperturas fraudulentas de cuentas, solicitudes de préstamos y esquemas de fraude de tipo bust-out dirigidos a instituciones financieras.
¿Cómo prevenir el fraude de identidad durante el registro?
Una prevención eficaz requiere la verificación documental y la comprobación de identidad en el momento del registro por parte te la empresa, confirmando que los documentos de identidad son auténticos, no han sido alterados y corresponden a la persona que los presenta, en lugar de depender únicamente de la detección de fraude después de la transacción.
El fraude está impulsado por IA. Las defensas también.
Los datos de identidad recopilados a través de las estafas relacionadas con el Mundial no permanecen inactivos. Se procesan, combinan y se utilizan con fines fraudulentos mediante las mismas herramientas de IA generativa que hicieron posibles las estafas en primer lugar. Comprender cómo funcionan conjuntamente las defensas multicapa impulsadas por IA es el primer paso para cerrar esta brecha.
Conor Rector — Responsable sénior de contenidos en Mitek
Conor Rector es líder creativo de contenidos y defensor del cliente, dedicado a ayudar a comprender la identidad, la prevención del fraude y la tecnología que protege lo que es real. Con gran experiencia en storytelling, estrategia de marca y construcción de comunidades, Conor aporta un enfoque reflexivo y centrado en las personas sobre temas complejos.
