Millones intentaron acceder al portal de FIFA para la compra de boletos de la Copa del Mundo 2026 este 10 de septiembre, durante la primera fase exclusiva para tarjetahabientes Visa. Sin embargo, como suele ocurrir en este tipo de convocatorias masivas, la plataforma presentó fallas, bloqueos intermitentes y, en algunos casos, alertas por posibles vulnerabilidades relacionadas con un ataque XSS.
¿Qué ocurrió?
Fue a las 9:00 de la mañana, tiempo del centro de México, cuando el máximo organismo del futbol abrió sus puertas a millones de aficionados para poder formar parte del sorteo.
Sin embargo, tan solo unos minutos del inicio de la primera fase, varios usuarios reportaron problemas para ingresar al sitio y participar en el sorteo, como suele ser habitual en este tipo de convocatorias. En algunos casos, simplemente no les permite acceder y aparece la leyenda “bloqueado”.
A otros aficionados que trataban de accesar a través de dispositivos móviles, les apareció un texto en el que el sitio detectó un intento de ataque XSS, que en términos generales, pone en riesgo la seguridad de los fans, ya que este puede sustraer información personal y hasta obtener el control de los dispositivos de quienes intenten acceder al portal.
“Se ha detectado un intento de ataque XSS. Cierre esta pantalla y vuelva a la tienda”, es el mensaje que da la FIFA, invitando a los aficionados a salirse de la página y hacer un nuevo intento de compra para evitar que los usuarios sufrieran vulnerabilidades provocadas por el ataque XSS.
La venta continuó sin fallas
Pese a los inconvenientes que presentaron algunos aficionados, la FIFA tranquilizó a los usuarios, pues casi de forma inmediata pudieron solventar esta alerta de vulnerabilidades que “descartan que haya sido un ciberataque”; incluso se señala que los problemas en el sitio podrían deberse a un tema de saturación por la alta demanda.
“Como esperábamos, ¡la demanda de entradas para la Copa Mundial de la FIFA 26™️ está siendo extraordinaria! Al inicio del periodo de inscripción, se produjeron tiempos de espera prolongados. Es importante destacar que el momento en que un aficionado se inscriba en el sorteo de preventa Visa no influirá en sus posibilidades de éxito: todos los que se registren durante el periodo de inscripción, que estará abierto hasta las 11:00 a. m. ET del 19 de septiembre, tendrán las mismas posibilidades de ser seleccionados para tener la oportunidad de comprar entradas", explicó el vocero.
¿Hasta cuándo tengo para participar en la primera fase?
Es importante mencionar que tienes hasta el 19 de septiembre para poder mostrar tu interés de compra. Para ello, es obligatorio que cuentes con tarjeta VISA. En caso de que no la tengas, aún tendrás oportunidad de formar parte de la fiesta mundialista en las siguientes dos fases de venta. La segunda etapa se espera que sea del 27 al 31 de octubre, mientras que la última será poco después del sorteo, que se realizará el 5 de diciembre.
FIFA responde y descarta cibertataque
Un vocero de la FIFA se puso en contacto con Publimetro para aclarar la situación, explicando que, debido a la alta demanda de usuarios en su portal, se presentaron tiempos de espera prolongados. Además, informó que el momento en que un aficionado se inscriba no influirá en sus posibilidades de que tenga éxito en el sorteo, por lo que tendrás hasta el 19 de septiembre para poder hacerlo.
“Como esperábamos, ¡la demanda de entradas para la Copa Mundial de la FIFA 26™️ está siendo extraordinaria! Al inicio del periodo de inscripción, se produjeron tiempos de espera prolongados. Es importante destacar que el momento en que un aficionado se inscriba en el sorteo de preventa Visa no influirá en sus posibilidades de éxito: todos los que se registren durante el periodo de inscripción, que estará abierto hasta las 11:00 a. m. ET del 19 de septiembre, tendrán las mismas posibilidades de ser seleccionados para tener la oportunidad de comprar entradas", explicó el vocero.
¿Qué es un ataque XSS?
Un ataque XSS (Cross-Site Scripting) es un tipo de vulnerabilidad de seguridad que permite a un atacante inyectar código malicioso (generalmente JavaScript) en páginas web vistas por otros usuarios. Este tipo de ataque se aprovecha de sitios web que no validan ni escapan correctamente los datos que reciben del usuario.
¿Qué puede hacer un ataque XSS?
- Robar cookies o credenciales de usuario.
- Redirigir a sitios maliciosos.
- Manipular el contenido mostrado en la página.
- Registrar lo que el usuario teclea (keylogging).
- Tomar control parcial de la sesión del usuario.
Tipos comunes de XSS:
- XSS reflejado: El código malicioso se inyecta en una URL o formulario y se ejecuta inmediatamente sin almacenarse en el servidor.
- XSS almacenado: El código se guarda en el servidor (por ejemplo, en un comentario o perfil) y se ejecuta cada vez que otro usuario visita esa página.
- XSS basado en DOM: El ataque se ejecuta manipulando el DOM directamente en el navegador, sin necesidad de intervención del servidor.
¿Por qué puede ser peligroso un ataque XSS?
- Robo de información personal:
- Puede capturar cookies, tokens de sesión o datos ingresados por el usuario.
- Con esa información, un atacante podría suplantar identidades.
- Control de cuentas de usuario:
- En sitios como bancos, redes sociales o correos electrónicos, un XSS podría permitir al atacante tomar el control total de una cuenta.
- Manipulación de contenido:
- El atacante puede alterar lo que el usuario ve en pantalla, incluyendo formularios falsos para robar contraseñas (phishing).
- Propagación automática del ataque:
- En XSS almacenado, el código malicioso se puede propagar automáticamente a otros usuarios (como un gusano), multiplicando el daño.
- Dificultad para detectar:
- Muchas veces, el usuario no nota que fue atacado. El navegador simplemente ejecuta el código como si fuera legítimo.