El Mundial será televisado; el fraude, también

El Mundial no empieza cuando rueda la pelota. Empieza mucho antes, en ese lugar silencioso donde hoy comienza casi todo: el navegador. Empieza con una búsqueda aparentemente inocente a medianoche por entradas de última hora, camisetas oficiales con descuento, paquetes de hotel, vuelos imposibles, apuestas, streaming gratis. Una aplicación milagrosa que promete transmitir todos los partidos desde el teléfono, la tableta o el televisor inteligente.

Para el fanático, eso es ilusión. Para el ciberdelincuente, es una economía completa que incluye ansiedad, tráfico masivo, tarjetas, credenciales y millones de personas dispuestas a hacer clic antes de pensar.

La Copa del Mundo 2026 es el evento deportivo más grande de la historia reciente. Más países, más ciudades, más pantallas, más turistas, más dispositivos conectados. También es una de las mayores superficies de ataque del planeta. No porque cada amenaza vaya a parecer una escena futurista de ciencia ficción, sino precisamente por lo contrario, porque las trampas más efectivas serán las más humanas: la oferta perfecta; el enlace urgente; la app conveniente; el código QR sobre la mesa del bar; la llamada que suena legítima; el mensaje reenviado por alguien de confianza.

Según mi experiencia como columnista y consultor en ciberseguridad, los vectores más comunes serán los mismos que siempre han funcionado, pero ahora vestidos con traje mundialista:

• páginas falsas de boletería,
• dominios casi idénticos a los oficiales,
• tiendas clonadas,
• plataformas piratas de streaming,
• apps no autorizadas,
• APKs con malware,
• redes Wi-Fi clonadas,
• mensajes de WhatsApp con promociones falsas,
• códigos QR adulterados,
• llamadas con voces generadas por inteligencia artificial y
• deepfakes de jugadores, narradores o supuestos ejecutivos recomendando inversiones, sorteos o accesos VIP.

La diferencia es que ahora la IA llega con hambre. No viene simplemente a redactar mejor un correo fraudulento; viene a industrializar la mentira, a producir páginas falsas en serie, a personalizar mensajes, a imitar acentos, a responder en tiempo real y a fabricar una sensación de confianza allí donde antes había torpeza. El viejo phishing era un anzuelo; el nuevo phishing asistido por IA es una red de arrastre.

El primer campo de juego será el navegador. Allí aparecerán páginas con diseño impecable, logos bien copiados, textos convincentes y formularios que pedirán “validar su identidad” antes de comprar una entrada o activar una transmisión. El fraude moderno ya no llega mal escrito ni con estética sospechosa. Llega bonito, rápido, con contexto y, sobre todo, en el momento exacto en que la emoción le gana al criterio.

El segundo campo serán las apps no autorizadas. Aplicaciones de IPTV para ver partidos gratis, extensiones de navegador, supuestas wallets de apuestas, calendarios interactivos y herramientas para seguir resultados en vivo. Muchas pedirán permisos absurdos: contactos, ubicación, micrófono, almacenamiento, notificaciones. El usuario cree que instaló fútbol, pero puede haber instalado una puerta trasera.

Luego viene la ingeniería social aumentada por IA, que genera correos hiperpersonalizados, mensajes escritos con el tono de una marca real, llamadas de soporte con voz sintética, supuestos agentes de atención que responden en tiempo real, deepfakes en redes sociales y campañas que usan información pública del usuario para hacerlo bajar la guardia. La IA no solo escribe mejor; observa mejor, imita mejor y manipula mejor.

También estará la cancha invisible formada por las Smart TV, los decodificadores, los routers caseros y las redes Wi-Fi de hoteles, bares, aeropuertos y estadios. El televisor ya no es una caja tonta, es una computadora conectada a la sala de la casa, muchas veces sin actualizaciones, con contraseñas débiles, apps viejas y sesiones abiertas. En época de Mundial, incluso el sofá puede convertirse en superficie de ataque.

FIFA lo sabe. En 2026, la conversación más seria sobre este riesgo pasa por una arquitectura de confianza digital. Jorge Oliveira e Carmo, Head of Data Protection & Cybersecurity Risk de FIFA, ha planteado la protección de datos y la ciberseguridad como piezas centrales para elevar el estándar del deporte moderno. En un Mundial, la ciberseguridad no es un departamento escondido detrás de una pantalla. Es parte del estadio, del boleto, del dato, del proveedor, de la app, de la transmisión y de la experiencia del fanático.

La defensa no exige paranoia, exige fricción inteligente:

• Comprar entradas solo en canales oficiales.
• No instalar apps fuera de tiendas verificadas.
• No descargar APKs.
• No meter tarjetas en páginas que llegaron por anuncios o mensajes reenviados.
• Revisar dominios letra por letra.
• Activar passkeys o autenticación multifactor.
• No usar Wi-Fi público para entrar al banco.
• Desconfiar de transmisiones gratis que piden instalar algo.
• Separar la cuenta bancaria principal de las compras impulsivas.
• Verificar por otro canal cualquier llamada urgente.

Y, sobre todo, no decidir en caliente.

El Mundial se gana con estrategia y la ciberseguridad también. Porque el gol más caro no siempre entra por una falla técnica. A veces entra por el navegador, por una app pirata, por una red Wi-Fi falsa, por un QR adulterado, por una voz que parece conocida o por una oferta demasiado perfecta para dejarla pasar.

Rafael Núñez Aponte es CEO de @MasQueSeguridad.