Un análisis de la empresa de ciberseguridad Proofpoint revela que, aunque la mayoría de los socios oficiales del campeonato ha implementado una autenticación de correo electrónico básica, muchos no están bloqueando los emails fraudulentos que suplantan a sus marcas.
En España, el 62% de los patrocinadores de la Selección podría exponer a los aficionados al riesgo de fraude por correo electrónico. ?
Proofpoint, empresa líder en ciberseguridad y cumplimiento normativo, ha dado a conocer los resultados de un informe que muestra que más de un tercio (36%) de los patrocinadores, proveedores, socios y colaboradores oficiales asociados a la Copa Mundial de la FIFA 2026, que se disputa del 11 de junio al 19 de julio de 2026, no cuenta con las medidas de seguridad de correo electrónico necesarias para protegerse de la suplantación de dominio. Con la Selección española, el riesgo incluso mayor: solo un 38% de las empresas rechaza emails falsificados y sin autenticación. Esto puede exponer a aficionados, clientes y socios a fraudes por correo electrónico que suplanten a las marcas.
Los ciberdelincuentes buscan constantemente cómo capitalizar los principales eventos deportivos globales atacando a los aficionados con estafas de ingeniería social que se hacen pasar por patrocinadores, aerolíneas, marcas de hostelería, servicios de entrega o marcas de consumo, utilizando dominios similares y correos electrónicos falsificados. En el período previo a un torneo como este, que genera un gran aumento en número de viajes, interés por las entradas, promociones y actividad de merchandising, todo el ecosistema de marcas relacionadas debe fortalecerse contra las amenazas por correo electrónico, el principal vector de ataque para el fraude.
Para constatar el estado actual de las defensas contra el riesgo de suplantación de las marcas, Proofpoint ha analizado el nivel de adopción de DMARC (Domain-based Message Authentication, Reporting and Conformance) de la lista de dominios de los patrocinadores del Mundial.
DMARC, la primera línea de defensa contra el fraude por email
En los últimos años, Proofpoint ha observado que los cibercriminales utilizan una serie de tácticas para suplantar a organizaciones legítimas y así llegar a su objetivo, en lugar de hackear e infiltrarse en las redes y la infraestructura técnica de sus víctimas.
DMARC es un protocolo de autenticación de correo electrónico diseñado para proteger los nombres de dominio del uso indebido por parte de los ciberdelincuentes. Autentica la identidad del remitente antes de permitir que un mensaje llegue a su destino. DMARC tiene tres niveles de protección: monitorización, cuarentena y rechazo; y es el rechazo la forma más segura de evitar que los mensajes sospechosos lleguen a la bandeja de entrada de las víctimas.
La adopción de DMARC permite a una organización definir qué tratamiento debe aplicarse a los mensajes de correo electrónico que utilizan su nombre de dominio, así como la política que deben aplicar en caso de fallo durante la verificación: aceptar el mensaje de correo electrónico (p=none, donde p significa política), clasificarlo como spam (p=quarantine) o eliminarlo (p=reject).
Conclusiones del informe DMARC
Se analizaron los nombres de dominio que componen el ecosistema de patrocinadores, socios, proveedores y colaboradores de la Copa Mundial de la FIFA 2026, con los siguientes hallazgos:
De los 25 dominios analizados, 24 (96%) han publicado un registro DMARC básico, lo que indica que la mayoría de las organizaciones ha comenzado a implementar protecciones contra la suplantación de dominio de correo electrónico.
Sin embargo, solo 16 de los 25 dominios (64%) protegen activamente su nombre de dominio con la política DMARC "reject" más fuerte, la que impide la entrega de correos electrónicos no autenticados y falsificados.
Esto significa que más de un tercio (36%) aún no está bloqueando proactivamente los correos electrónicos fraudulentos que intentan suplantar a su marca.
Ocho dominios (32%) tienen DMARC configurado en modo de monitorización o una postura de aplicación parcial, lo que proporciona visibilidad pero no impide que los correos electrónicos falsificados lleguen a las bandejas de entrada.
En cuanto a los patrocinadores y colaboradores de la Selección española, los resultados apuntan a una mayor vulnerabilidad al fraude:
El 79% de los dominios cuenta con registro DMARC para protegerse frente a suplantaciones.
De ellos, únicamente
un 38% de las empresas tiene la configuración “reject”
, lo que significa que
un 62% podría aparecer como señuelo en correos electrónicos fraudulentos
, aprovechando su marca para atraer a potenciales víctimas de ciberestafas.
Loïc Guézo, director de estrategia de ciberseguridad para el sur de Europa en Proofpoint, comenta: “Grandes eventos como el Mundial de fútbol generan una enorme expectación, desde planes de viaje y compra de entradas hasta ofertas especiales y merchandising. Desafortunadamente, eso también crea oportunidades para que los estafadores se aprovechen de los aficionados. Si bien es alentador que muchas marcas asociadas hayan tomado medidas para mejorar la seguridad de su correo electrónico, todavía hay demasiadas que dejan la puerta abierta a mensajes fraudulentos. Sin protecciones más sólidas, es más fácil que los delincuentes suplanten marcas de confianza y engañen a las personas para que compartan datos personales o realicen pagos por ofertas falsas”.
Los aficionados deben ser especialmente cautelosos en el período previo al torneo y tener en cuenta las siguientes recomendaciones:
La forma más segura de comprar entradas es directamente a través de la FIFA, que sí tiene una política DMARC de rechazo completa implementada.
Desconfía de correos electrónicos, mensajes de texto o llamadas no solicitadas, especialmente aquellas que instan a una acción urgente o a un pago inmediato.
Nunca compartas información financiera o contraseñas por correo electrónico o mensaje de texto; en caso de duda, contacta a la organización utilizando los canales oficiales.
Utiliza una contraseña única para cada cuenta y habilita la autenticación multifactor siempre que sea posible.