Nueve días antes de que el Mundial de Fútbol 2026 arranque en Estados Unidos, Canadá y México, un análisis de Proofpoint ha revelado que más de un tercio de los socios oficiales del torneo no disponen de los controles de seguridad de correo necesarios para impedir que los delincuentes envíen mensajes fraudulentos suplantando sus marcas.
El hallazgo va mucho más allá del fútbol. Las marcas asociadas a este Mundial abarcan aerolíneas, grupos de automoción, infraestructura financiera, empresas energéticas, gigantes de bienes de consumo y proveedores tecnológicos. Colectivamente, envían miles de millones de correos legítimos a cientos de millones de consumidores y socios comerciales. Donde esos dominios no están totalmente protegidos, cada uno de esos destinatarios se convierte en un objetivo potencial para un mensaje falsificado diseñado para parecer exactamente el real.
Lo Que Encontró Proofpoint
Proofpoint analizó los dominios principales de 25 patrocinadores, proveedores, socios y colaboradores oficiales del Mundial de Fútbol 2026, examinando los registros DMARC publicados en DNS. Los resultados se dividen claramente en tres niveles.
El 64% de los dominios de socios (16 de 25) ha publicado una política DMARC de p=reject. Esa es la única configuración que impide activamente que los correos falsificados lleguen a las bandejas de entrada. Cuando se aplica p=reject, un mensaje que dice provenir de ese dominio pero que no supera las comprobaciones de autenticación es rechazado en el servidor de correo receptor antes de ser entregado.
El 32% de los dominios de socios (8 de 25) opera con p=none o p=quarantine. Estas configuraciones permiten visibilidad sobre los fallos de autenticación a través de informes agregados, pero ninguna impide que un mensaje falsificado sea entregado de la manera en que lo hace p=reject. p=none no ofrece ninguna aplicación; p=quarantine redirige teóricamente los mensajes fallidos a la carpeta de spam, pero el comportamiento de entrega varía significativamente entre los proveedores de correo y la protección es mucho más débil que el rechazo.
Al menos un dominio de los 25 analizados no tenía ningún registro DMARC, lo que significa que no había publicado ninguna política de autenticación.
El propio dominio de la FIFA tiene una política p=reject completa. El organizador del torneo cuenta con la protección más sólida posible. La brecha se concentra entre los socios, exactamente las marcas cuyos nombres y logotipos los consumidores tienen más probabilidades de encontrar en contextos de entradas, viajes y merchandising durante el torneo.
Por Qué los Grandes Eventos Deportivos Amplifican el Phishing
Los ciberdelincuentes siguen la atención. Un torneo que atrae a miles de millones de espectadores, genera cientos de millones de consultas de entradas, reservas de hotel, búsquedas de vuelos, compras de merchandising y registros en zonas de aficionados, ofrece el escenario perfecto para el fraude por correo. Los consumidores y las empresas esperan recibir correos de patrocinadores y socios durante un ciclo del Mundial. Esa expectativa es la superficie de ataque.
Los investigadores de KnowBe4 que hacen seguimiento de la infraestructura de phishing relacionada con el Mundial ya han identificado al menos 79 sitios que suplantan la presencia web oficial de la FIFA. Esos sitios son el destino; los correos desde dominios de socios falsificados son el mecanismo de entrega.
El patrón no es nuevo. Proofpoint y otros realizaron análisis equivalentes antes del Mundial de Qatar 2022 y los Juegos Olímpicos de París 2024. En cada caso, una fracción significativa de los dominios de socios oficiales carecía de aplicación completa de DMARC y, en cada ciclo, las campañas de phishing que explotaban esas brechas se ejecutaron a gran escala. La pregunta para el ciclo de 2026 no es si ocurrirá, sino si los socios cierran la brecha antes del 11 de junio o la dejan abierta durante los sesenta y ocho días del torneo.
La Anatomía de un Ataque por Correo en el Mundial
Pensemos en lo que puede hacer un atacante con un dominio de socio en p=none.
Una marca que gestiona un paquete de hospitalidad oficial de la FIFA envía correos de confirmación a clientes que asisten a los partidos. Un atacante suplanta el dominio de esa marca, redacta un mensaje que imita el estilo visual y el tono de las comunicaciones auténticas de hospitalidad, y lo envía a una lista de contactos empresariales de alto valor. El mensaje contiene un enlace a un sitio imitador que roba credenciales o datos de tarjetas de pago. Dado que p=none no impone ninguna restricción sobre quién puede enviar usando ese dominio, el mensaje falsificado atraviesa los servidores de correo receptores sin que se interpongan comprobaciones de autenticación.
O pensemos en la versión dirigida al consumidor: un patrocinador ofrece una promoción de entradas para el Mundial. Un atacante clona la página de destino, suplanta el dominio del patrocinador en la cabecera From: y lanza una campaña masiva dirigida a aficionados que mostraron interés en las entradas. Decenas de miles de personas reciben un mensaje que parece exactamente una promoción legítima de una marca reconocida y de confianza.
Ninguno de estos ataques requiere comprometer nada dentro de la organización objetivo. La brecha de autenticación en DNS es suficiente. Y como ni la marca ni el consumidor tienen visibilidad sobre el tráfico falsificado, las campañas pueden ejecutarse durante días o semanas antes de que el patrón se haga evidente.
El 36% Que Aún Tiene Tiempo de Actuar
El Mundial comienza el 11 de junio. El margen hasta el partido inaugural es real pero estrecho, y pasar de una configuración desprotegida o parcialmente protegida a p=reject en plazos cortos requiere un esfuerzo enfocado.
Las organizaciones actualmente en p=none pueden empezar asegurándose de que se recopilan y revisan los informes agregados DMARC. Los informes RUA generados desde una política p=none existente muestran cada origen que envía como el dominio y el resultado de autenticación de cada uno. Esa visibilidad es el prerrequisito para la aplicación. Sin ella, pasar a p=quarantine o p=reject arriesga rechazar o poner en cuarentena correos legítimos de orígenes que nunca se identificaron.
Los socios que ya están recopilando datos RUA pero no han avanzado a p=reject suelen estar bloqueados por una de tres cosas: un remitente externo no autenticado que no ha sido configurado para DKIM, un registro SPF que no cubre toda la infraestructura de envío, o una plataforma heredada que requiere una estrategia de subdominio en lugar de cambios de política en el dominio principal.
Ninguno de estos obstáculos es insuperable en un plazo de nueve días para organizaciones que ya tienen una base de monitorización DMARC. El riesgo de dejar la brecha abierta durante un torneo de sesenta y ocho días que genera el volumen de tráfico de correo que produce un Mundial es considerablemente mayor que el riesgo de interrupción a corto plazo de cerrarlo.
Las Brechas de DMARC en Dominios Asociados a Eventos Son un Problema Estructural
El análisis de Proofpoint cubre a los socios oficiales. El ecosistema más amplio de marcas relacionadas con el torneo es considerablemente mayor, y la dinámica de la seguridad del correo en grandes eventos se aplica a todas las empresas que los consumidores asocian con la competición.
Plataformas de reserva de viajes, alojamientos, revendedores de merchandising, titulares de derechos de emisión, operadores de apuestas y los cientos de marcas que lanzan campañas temáticas del Mundial en las semanas que rodean el torneo se convierten en objetivos potenciales de suplantación. Un consumidor que recibe un mensaje supuestamente de una aerolínea ofreciendo viajes para el Mundial o de una empresa de apuestas ofreciendo una apuesta gratuita no tiene ninguna forma fiable de distinguir un mensaje falsificado de uno legítimo sin la aplicación de DMARC en el dominio remitente.
El punto estructural que ilustra el análisis de los socios de la FIFA es simple: la aplicación de DMARC no es un control complejo ni costoso. Requiere un registro DNS. El desafío no es la tecnología. Es la disciplina operativa para identificar cada origen de envío legítimo, autenticar cada uno y progresar desde la monitorización hasta la aplicación, en lugar de quedarse en p=none indefinidamente.
Cuando las marcas más visibles durante el mayor evento deportivo del mundo no aplican esa disciplina a sus propios dominios, invitan efectivamente a los delincuentes a usar sus reputaciones como infraestructura de ataque. El coste no recae sobre la pila de correo de la marca, sino sobre los aficionados y clientes que confían en ellas.
La postura de autenticación de tu dominio está a un registro DNS de quedar clara. Excello Mail lee tus informes agregados DMARC, mapea cada origen de envío frente a tu alineación SPF y DKIM, y te muestra exactamente qué hay entre tú y la aplicación de p=reject. Regístrate gratis en Excello Mail y conoce tu panorama completo de autenticación antes de que salga tu próxima campaña.