Crecen las advertencias por campañas de ‘phishing’ y sitios falsos durante el torneo global

La otra competencia del Mundial 2026

Fuera de la cancha, expertos en ciberseguridad rastrean el despliegue de ataques y engaños virtuales que buscan explotar la urgencia de los fanáticos por conseguir accesos y entradas.

“Los grandes eventos deportivos internacionales dependen cada vez más de ecosistemas digitales complejos: plataformas de ‘ticketing’, aplicaciones móviles, servicios ‘cloud’, redes de telecomunicaciones, medios digitales, sistemas de pago y servicios distribuidos globalmente. Cada uno de estos puntos puede convertirse en un objetivo crítico para actores maliciosos”, explicó Corey Nachreiner, Chief Security Officer de WatchGuard Technologies, en el marco del despliegue de la Copa Mundial de la FIFA 2026.

Durante estos días mundialistas, millones de fanáticos se mantienen en vilo por los partidos del certamen que este año se desarrolla en México. Canadá y Estados Unidos. Pero, simultáneamente, este interés encendió las alarmas de las principales firmas de seguridad de informática a nivel global. La enorme concentración de transacciones electrónicas vinculadas al evento, que abarcan desde la compra de entradas y las plataformas de streaming hasta las apuestas deportivas y el uso de billeteras virtuales, configuró el escenario perfecto para el despliegue de sofisticadas campañas de fraude, robo de datos y ataques dirigidos.

Para analizar las complejidades de este fenómeno y entender cuáles son los puntos críticos que aprovechan los atacantes en transacciones de alta demanda, La Prensa dialogó en exclusiva con el especialista en ciberseguridad Corey Nachreiner. El especialista advierte que la dependencia de sistemas distribuidos globalmente exige hoy una postura de "confianza cero" por parte de los usuarios y las empresas. A continuación, las claves para no quedar fuera de juego frente a la ciberdelincuencia.

-¿Cuáles son las señales de advertencia técnicas más efectivas que un usuario promedio puede utilizar para identificar si se encuentra en un sitio web oficial legítimo o en uno clonado/falso?

-Además de prestar atención a cómo llegaste al sitio, en primer lugar, la mejor y única forma real de saber si estás en un sitio legítimo es el nombre de dominio en la URL de tu navegador web, y tal vez mirar los detalles del certificado digital si sos un usuario avanzado súper técnico. Hoy en día, con la clonación, una página web falsa puede literalmente verse o incluso actuar igual que la real, ya que el atacante simplemente está reflejando la original a través de su copia falsa de "atacante en el medio" (‘attacker in the middle’). Incluso les sale gratis hacer que sea un sitio "seguro" con el ícono del candado HTTPS que ya estás acostumbrado a ver. Por lo tanto, la única manera de saber si es real es prestar mucha atención al nombre de dominio. Un dominio como microsoftsite.com no es lo mismo que Microsoft.com; tampoco lo es Microsoft.share.com, ni ningún otro. Conocé el dominio real del sitio y asegurate de estar ahí. Como nota adicional, si sabés cómo ver los detalles del certificado digital de un sitio seguro, también podés verificar el nombre de dominio y la información utilizada para obtener ese certificado, para asegurarte de que sea la empresa y el dominio que esperás. Como otra nota adicional, prestá también atención a qué te llevó a ese sitio en primer lugar. ¿Fue a partir de un mensaje "urgente" que te hizo sentir que tenías que hacer clic rápido para hacer algo importante? Si es así, eso debería hacerte dudar aún más del lugar que estás visitando. Revisá la URL cuidadosamente, buscá el dominio oficial, evitá enlaces de mensajes no solicitados y desconfiá de los sitios web con errores ortográficos o solicitudes de pago inusuales.

-Dados los altos niveles de adopción tecnológica en Argentina, Uruguay y Paraguay, ¿cree que los usuarios de esta región están más expuestos a las estafas con entradas que los de otros mercados?

-La alta adopción digital crea más oportunidades para el fraude en línea, pero el riesgo real está impulsado por la demanda y la actividad de los atacantes, más que por la geografía por sí sola. Además, las zonas con mayores niveles de adopción tecnológica a veces terminan teniendo una mejor conciencia del riesgo.

-¿Qué tácticas específicas de ingeniería social se están utilizando para explotar esta vulnerabilidad psicológica al ofrecer entradas?

-Los estafadores generan urgencia, escasez y exclusividad, utilizando "entradas limitadas" falsas, cuentas regresivas y la suplantación de identidad de marcas confiables. Usar la autoridad del nombre de la FIFA específicamente en el diseño de marca ayuda mucho. También utilizan pruebas sociales falsas (reseñas en línea falsas) y se aprovechan del FOMO (fear of missing out / miedo a quedarse afuera) para presionar la venta.

-¿Qué tipos de estafas con entradas demostraron ser las más difíciles de detectar y detener para las autoridades?

-Las campañas de ‘phishing’ y los sitios web falsos que aparecen y desaparecen rápidamente, operando a menudo a través de múltiples jurisdicciones. Además, si el atacante logra comprometer cuentas legítimas o tomar el control del acceso de los titulares reales de las entradas, es difícil detener una transferencia que parece legítima desde una cuenta robada.

-Dada la complejidad de las plataformas de venta de entradas y los ecosistemas digitales actuales, ¿en qué punto exacto de una transacción en línea corre el usuario final el mayor riesgo?

-El mayor riesgo se presenta antes del pago, cuando se engaña a los usuarios para que introduzcan sus credenciales o información de pago en sitios fraudulentos.

-¿Qué pasos inmediatos de verificación deberían seguir los fanáticos antes de hacer clic en una supuesta oferta de entradas recibida a través de WhatsApp o SMS?

-No hagan clic de inmediato. Verifiquen el remitente, visiten directamente el sitio web oficial de venta de entradas y nunca confíen en ofertas no solicitadas. Honestamente, yo en lo personal evitaría por completo cualquier oferta de entradas basada en mensajería, especialmente las que no fueron solicitadas.

-¿Qué tipos de código malicioso o malware se esconden típicamente detrás de los sitios web que prometen acceso exclusivo a la compra de entradas?

-Los ladrones de credenciales, los troyanos bancarios y el malware de robo de información se utilizan comúnmente para capturar contraseñas y datos financieros. Sin embargo, lo más frecuente es que estos sitios no tengan trampa con malware para estas estafas particulares. Son sitios de "atacante en el medio" (AITM) diseñados para robar tus credenciales pero, lo que es más importante, tu cookie de sesión (para evadir el doble factor de autenticación o MFA) y así apoderarse de tu cuenta.

-Si un usuario ya ha caído víctima de una campaña de phishing de entradas, ¿cómo puede este mecanismo ayudar a proteger o salvar su cuenta bancaria?

-Las soluciones de seguridad que detectan el phishing y monitorean las credenciales comprometidas pueden ayudar a prevenir la posterior toma de control de la cuenta y el fraude financiero. Vincular el MFA a los inicios de sesión puede ayudar un poco cuando se roban las credenciales, pero las amenazas modernas de AITM roban las cookies de sesión del usuario, lo que puede eludir cualquier autenticación (ya que está pre-aprobada), incluyendo el MFA.

PUBLICIDAD ENGAÑOSA

-Cuando las promociones en las redes sociales parecen demasiado buenas para ser verdad, ¿cuál es la mejor manera para que los usuarios ejerciten un escepticismo saludable sin perderse una oportunidad legítima de comprar entradas?

-Hacer una pausa y verificar. Revisá la oferta a través de los canales oficiales antes de interactuar; las ofertas legítimas no dependen de tácticas de presión. Hoy en día, tenemos que migrar hacia prácticas de "confianza cero" (zero-trust): No confíes; verificá siempre.

-Dado el crecimiento exponencial de las billeteras digitales y el comercio electrónico en América Latina, ¿qué responsabilidad adicional tienen las plataformas fintech para ayudar a mitigar el fraude relacionado con el Mundial?

-Las fintech juegan un papel clave al fortalecer la detección de fraudes, monitorear transacciones sospechosas, educar a los clientes y habilitar una respuesta rápida cuando ocurren las estafas.

 

 

Foto 2:

Corey Nachreiner, Chief Security Officer de WatchGuard Technologies, alertó sobre cómo cada punto de la red puede ser un objetivo crítico.