Entre el 15 de abril y el 15 de mayo de 2026, IQSEC documentó 68 incidentes de ciberseguridad contra objetivos mexicanos en 18 estados, evidenciando el nivel de exposición cibernética previo al Mundial. El 84% de los incidentes correspondió a filtraciones de información, mientras que el 16% restante estuvo relacionado con ataques de ransomware con potencial de afectar la continuidad operativa de las organizaciones.
El Mundial FIFA 2026 aún no comienza, pero los ciberdelincuentes ya se preparan para aprovechar el interés generado por el evento deportivo más importante del mundo. A medida que crece la demanda de boletos, viajes, hospedaje, plataformas de streaming y servicios asociados al torneo, también aumentan los intentos de fraude digital, campañas de phishing, sitios falsos y esquemas diseñados para robar información personal, financiera y corporativa.
De acuerdo con Check Point, durante abril de 2026 México registró un promedio de 3,548 ciberataques semanales por organización monitoreada, la cifra más alta entre los tres países anfitriones de la Copa Mundial de la FIFA 2026.
“Más que una estadística aislada, este dato refleja una tendencia que los especialistas observamos desde hace meses: mientras aficionados, empresas y gobiernos se preparan para recibir el evento deportivo más importante del planeta, los grupos criminales también están afinando sus estrategias”, señaló Sergio Navarro, Director de Preventa de IQSEC.
Este escenario ha propiciado la aparición de distintos esquemas de fraude digital, entre ellos sitios falsos que simulan plataformas oficiales de venta de boletos, campañas de phishing disfrazadas de promociones exclusivas, aplicaciones fraudulentas de streaming, plataformas de apuestas apócrifas y redes WiFi diseñadas para interceptar información de los usuarios.
“Detrás de estas operaciones no hay improvisación. Se trata de estructuras criminales organizadas que utilizan automatización, inteligencia artificial e ingeniería social para maximizar sus resultados. En muchos casos operan como verdaderas empresas, con infraestructura distribuida, especialización de funciones y capacidad para ejecutar campañas a escala global”, explicó Navarro.
Algunos casos ilustran claramente esta realidad. Diversos dominios y plataformas fraudulentas han sido identificados por autoridades y organismos especializados por suplantar canales oficiales relacionados con el torneo o utilizar referencias a selecciones participantes para atraer usuarios con promesas de acceso preferencial, premios o ganancias rápidas.
Datos reportados por Inteligencia de Amenazas de IQSEC
Los casos de fraude dirigidos a aficionados representan apenas la parte visible de una amenaza mucho más amplia. Los datos de inteligencia de amenazas recopilados por IQSEC entre el 15 de abril y el 15 de mayo de 2026 permiten dimensionar el contexto de riesgo al que llegará el Mundial.
Durante ese periodo se documentaron 68 incidentes de ciberseguridad contra objetivos mexicanos, lo que equivale a un promedio de 2.3 ataques diarios. En total, 18 entidades federativas registraron actividad maliciosa, desde Ciudad de México y Jalisco hasta municipios de menor tamaño. Esto confirma que el riesgo ya no distingue ubicación geográfica, sector o dimensión de la organización afectada.
El análisis también revela que 84% de los incidentes correspondió a filtraciones de información, mientras que el 16% restante estuvo relacionado con ataques de ransomware capaces de afectar la continuidad operativa de las organizaciones. Tan solo el 14 de mayo se registraron cuatro incidentes de ransomware, un comportamiento que evidencia una mayor intensidad operativa por parte de distintos grupos criminales.
Este contexto puede tener implicaciones futuras. La expectativa generada por el Mundial incrementa la probabilidad de que usuarios, colaboradores y organizaciones interactúen con ligas, promociones, ofertas, plataformas y contenidos relacionados con el evento. En algunos casos, estos puntos de contacto pueden ser utilizados para recolectar credenciales, distribuir malware, comprometer dispositivos o preparar accesos que podrían ser explotados posteriormente, incluso después de concluido el torneo.
Los sectores impactados reflejan el alcance de esta actividad: gobierno, banca, educación, salud, seguridad pública, industria, infraestructura hídrica y logística, entre otros. En total, IQSEC identificó la participación de 30 actores distintos. El grupo más activo fue Chronus, vinculado con al menos 10 incidentes documentados en múltiples sectores, lo que sugiere operaciones sistemáticas de reconocimiento y explotación de objetivos.
Prevención de fraudes y protección de organizaciones
“La lección es clara: los ciberdelincuentes no atacan únicamente sistemas; atacan comportamientos, procesos y momentos de alta exposición. Por ello, la mejor defensa para los aficionados sigue siendo la verificación. Los boletos deben adquirirse exclusivamente a través de canales oficiales autorizados, mientras que las organizaciones deben reforzar sus capacidades de monitoreo, prevención y respuesta”, agregó Navarro.
Para los usuarios, IQSEC recomienda verificar cuidadosamente cualquier oferta relacionada con boletos, viajes, hospedaje, streaming o promociones del Mundial. También es importante evitar enlaces recibidos por mensajería instantánea o redes sociales, revisar la
legitimidad de los sitios antes de ingresar datos personales o bancarios, habilitar autenticación multifactor y mantener respaldos actualizados de la información.
La protección también requiere preparación. Registrar previamente el número IMEI de los dispositivos móviles, activar mecanismos de bloqueo remoto y mantener actualizados los sistemas operativos puede reducir el impacto en caso de robo, extravío o compromiso del dispositivo.
Para las organizaciones, el Mundial representa un periodo de exposición adicional. Miles de colaboradores viajarán entre sedes, trabajarán desde ubicaciones temporales, utilizarán redes externas y operarán fuera de los entornos tradicionales de protección corporativa. Cada dispositivo conectado desde un aeropuerto, hotel, red pública o zona de aficionados puede convertirse en una puerta de acceso hacia sistemas empresariales.
Por ello, los modelos de Zero Trust, seguridad por identidad y control granular de accesos deben revisarse desde ahora. Las áreas de tecnología y seguridad deben evaluar políticas de acceso remoto, autenticación multifactor, monitoreo de dispositivos corporativos, visibilidad de accesos, microsegmentación para limitar la propagación de amenazas, protocolos de reporte de incidentes y planes de respuesta ante contingencias.
“La pregunta no es si habrá intentos de ataque; la experiencia internacional demuestra que los habrá. Lo importante es qué tan preparadas estarán las organizaciones para detectarlos, contenerlos y recuperarse rápidamente”, concluyó el Director de Preventa de IQSEC.
