“Los grandes eventos deportivos internacionales dependen cada vez más de ecosistemas digitales complejos: plataformas de venta de entradas, aplicaciones móviles, servicios en la nube, redes de telecomunicaciones, medios digitales, sistemas de pago y servicios distribuidos globalmente. Cada uno de estos puntos puede convertirse en un objetivo para actores maliciosos”, explicó Corey Nachreiner, Chief Security Officer de WatchGuard Technologies, en el marco del despliegue de la Copa Mundial de la FIFA 2026.
Durante el torneo, millones de aficionados siguen los partidos en México, Canadá y Estados Unidos. Al mismo tiempo, la elevada concentración de transacciones electrónicas relacionadas con el evento —compra de entradas, plataformas de streaming, apuestas y uso de billeteras digitales— ha encendido las alertas de las principales empresas de seguridad informática. Ese volumen de actividad crea un entorno propicio para campañas sofisticadas de fraude, robo de datos y ataques dirigidos.
Para analizar este fenómeno y detectar los puntos críticos que aprovechan los atacantes en transacciones de alta demanda, La Prensa entrevistó a Corey Nachreiner. El especialista advierte que la dependencia de sistemas distribuidos exige hoy una postura de “confianza cero” por parte de usuarios y empresas. A continuación, las claves para protegerse frente a la ciberdelincuencia.
-¿Cuáles son las señales de advertencia técnicas más efectivas que un usuario promedio puede utilizar para identificar si se encuentra en un sitio web oficial legítimo o en uno clonado/falso?
-Además de verificar cómo llegaste al sitio, la forma más confiable de saber si una página es legítima es comprobar el nombre de dominio en la URL. Hoy, las páginas falsas pueden reproducir exactamente el aspecto y la funcionalidad de la original mediante técnicas de “atacante en el medio”, y pueden incluso mostrar el candado HTTPS. Por eso fíjate en el dominio: microsoftsite.com no es Microsoft.com, ni Microsoft.share.com. Si sos avanzado, también podés revisar los detalles del certificado digital para confirmar la entidad emisora. Asimismo, cuestioná el origen del enlace: si llegó desde un mensaje urgente que te presiona a actuar rápido, sospechá. Revisa la URL con cuidado, evita enlaces de mensajes no solicitados y desconfía de errores ortográficos o solicitudes de pago inusuales.
-Dados los altos niveles de adopción tecnológica en Argentina, Uruguay y Paraguay, ¿cree que los usuarios de esta región están más expuestos a las estafas con entradas que los de otros mercados?
-La mayor adopción digital aumenta las oportunidades para el fraude, pero el riesgo real depende más de la demanda y de la actividad de los atacantes que de la ubicación geográfica por sí sola. Además, las regiones con mayor uso de tecnología suelen desarrollar también mayor conciencia sobre estos riesgos.
-¿Qué tácticas específicas de ingeniería social se están utilizando para explotar esta vulnerabilidad psicológica al ofrecer entradas?
-Los estafadores crean urgencia, escasez y exclusividad mediante “entradas limitadas” ficticias, cuentas regresivas y la suplantación de marcas confiables, incluida la imagen de la FIFA. También recurren a reseñas falsas y a la presión del FOMO (miedo a quedarse afuera) para forzar decisiones precipitadas.
-¿Qué tipos de estafas con entradas demostraron ser las más difíciles de detectar y detener para las autoridades?
-Las campañas de phishing y los sitios falsos que aparecen y desaparecen rápidamente, operando desde distintas jurisdicciones, son especialmente difíciles de combatir. También lo son los casos en que el atacante compromete cuentas legítimas; una transferencia o reventa desde una cuenta robada puede parecer totalmente legítima y resulta dura de detener.
-Dada la complejidad de las plataformas de venta de entradas y los ecosistemas digitales actuales, ¿en qué punto exacto de una transacción en línea corre el usuario final el mayor riesgo?
-El riesgo mayor ocurre antes del pago, cuando los usuarios son inducidos a introducir credenciales o datos de pago en sitios fraudulentos, permitiendo el acceso a sus cuentas o información financiera.
-¿Qué pasos inmediatos de verificación deberían seguir los fanáticos antes de hacer clic en una supuesta oferta de entradas recibida a través de WhatsApp o SMS?
-No hagas clic de inmediato. Verificá el remitente, entrá directamente al sitio oficial de venta de entradas y no confíes en ofertas no solicitadas. En lo personal, evitaría por completo ofertas de entradas recibidas por mensajería no solicitada.
-¿Qué tipos de código malicioso o malware se esconden típicamente detrás de los sitios web que prometen acceso exclusivo a la compra de entradas?
-Se emplean comúnmente ladrones de credenciales, troyanos bancarios y malware que roba información para capturar contraseñas y datos financieros. Sin embargo, en muchas estafas de entradas el vector principal no es un malware tradicional, sino páginas AITM diseñadas para robar credenciales y, sobre todo, las cookies de sesión del usuario, lo que permite evadir mecanismos como la autenticación multifactor.
-Si un usuario ya ha caído víctima de una campaña de phishing de entradas, ¿cómo puede este mecanismo ayudar a proteger o salvar su cuenta bancaria?
-Las soluciones que detectan phishing y monitorean credenciales comprometidas pueden reducir la posibilidad de un secuestro posterior de cuentas y fraude financiero. El MFA añade una capa de protección, pero las técnicas AITM que roban cookies de sesión pueden llegar a eludirla; por eso es clave la detección temprana y la respuesta rápida ante credenciales expuestas.
PUBLICIDAD ENGAÑOSA
-Cuando las promociones en las redes sociales parecen demasiado buenas para ser verdad, ¿cuál es la mejor manera para que los usuarios ejerciten un escepticismo saludable sin perderse una oportunidad legítima de comprar entradas?
-Hacé una pausa y verificá. Contrastá la oferta en los canales oficiales antes de interactuar: las ofertas legítimas no presionan con tácticas de urgencia extremas. Adoptá prácticas de “confianza cero”: no des por hecho que algo es válido, siempre verificá.
-Dado el crecimiento exponencial de las billeteras digitales y el comercio electrónico en América Latina, ¿qué responsabilidad adicional tienen las plataformas fintech para ayudar a mitigar el fraude relacionado con el Mundial?
-Las fintech tienen la responsabilidad de fortalecer la detección de fraudes, monitorear transacciones sospechosas, educar a los usuarios y habilitar respuestas rápidas y coordinadas cuando se detectan estafas.
Foto 2:
Corey Nachreiner, Chief Security Officer de WatchGuard Technologies, advirtió que cada punto de la red puede convertirse en un objetivo crítico.

