IA
Una vulnerabilidad en sistemas internos de la FIFA durante el Mundial 2026 encendió las alertas en materia de ciberseguridad, luego de que una hacker ética revelara que pudo acceder a plataformas relacionadas con transmisiones, estadísticas en vivo y herramientas operativas del torneo.
El caso fue dado a conocer por la investigadora de ciberseguridad conocida como BobDaHacker, quien aseguró que todo comenzó con un registro aparentemente común en el portal de agentes de futbol de la FIFA.
De acuerdo con su reporte, tras crear una cuenta y completar el proceso de inscripción, el sistema la incorporó al entorno interno de Microsoft utilizado por la organización. A partir de ahí, detectó una falla de autorización que le permitió ingresar a plataformas que, en teoría, debían estar restringidas.
También te puede interesar: ¿Tu celular está en riesgo? Estos son los modelos más buscados por los ladrones
La pantalla decía “acceso denegado”, pero el servidor entregaba información
La investigadora explicó que, al intentar entrar a la Football Data Platform de FIFA, la interfaz mostraba un mensaje de “acceso denegado”, debido a que su cuenta no tenía roles asignados.
Sin embargo, el problema estaba en el backend, es decir, en la parte del sistema que procesa las solicitudes y entrega la información. Aunque la pantalla bloqueaba el acceso visualmente, el servidor no validaba correctamente los permisos del usuario.
En términos simples: la página decía que no podía entrar, pero el sistema seguía respondiendo como si sí tuviera acceso.
Esa diferencia es clave en ciberseguridad. La autenticación confirma quién es una persona; la autorización define qué puede hacer o consultar. En este caso, el error habría estado en permitir solicitudes desde una cuenta autenticada, aunque no tuviera privilegios para ver o manipular esos recursos.
¿Qué información habría quedado expuesta?
Según BobDaHacker, con esa cuenta pudo acceder a plataformas relacionadas con la operación del Mundial, entre ellas sistemas de transmisión de partidos, estadísticas en tiempo real, datos para comentaristas, cronómetros, marcadores, sustituciones y herramientas internas de seguimiento.
Uno de los puntos más delicados del reporte es que también habría tenido acceso a paneles vinculados con las transmisiones de los partidos, incluyendo cámaras, claves de transmisión y controles para señales en vivo.
La investigadora sostuvo que no alteró los sistemas ni explotó la falla con fines maliciosos, pero advirtió que una persona con otras intenciones pudo haber interrumpido una transmisión, modificar señales o insertar contenido no autorizado durante un partido en vivo.
La vulnerabilidad también habría dejado al descubierto un entorno de desarrollo en Azure con hojas de cálculo y documentos internos de la FIFA relacionados con arbitraje, directivos, transferencias y finanzas.
También te puede interesar: Alerta de Google avisó segundos antes del terremoto en Venezuela; así funciona
Intentó reportarlo, pero no encontró una vía clara
Otro punto que llamó la atención fue la dificultad para reportar el hallazgo. La hacker ética afirmó que buscó contactar a la FIFA por distintas vías, pero no encontró un programa público de recompensas, una política clara de divulgación de vulnerabilidades ni un contacto directo de seguridad.
Según su versión, envió correos, mensajes y llamadas, hasta que terminó contactando a organismos como CISA y el FBI en Estados Unidos. Después de eso, la vulnerabilidad fue atendida y el acceso quedó bloqueado.
Medios especializados en tecnología y ciberseguridad retomaron el caso y señalaron que, hasta ahora, no hay reportes públicos de que la falla haya sido explotada por actores maliciosos o que alguna transmisión oficial haya sido alterada.
No fue un ataque sofisticado, sino una falla básica de permisos
Más allá del impacto mediático, el caso deja una lección clara: si el backend no valida permisos, la interfaz no protege nada.
No se trató, según el reporte, de un ataque con malware, robo de contraseñas o una intrusión compleja. El problema habría sido más básico: una cuenta creada en un portal público pudo consultar recursos internos porque el servidor no revisaba correctamente si esa cuenta tenía autorización.
En ciberseguridad, ocultar botones, bloquear menús o mostrar una pantalla de “acceso denegado” no basta. La protección real debe ocurrir en el servidor, donde se valida cada solicitud antes de entregar información sensible o permitir acciones críticas.
También te puede interesar: ¡Alerta! Si vendes algo por internet, así te pueden robar tu WhatsApp
¿La FIFA fue hackeada?
Con la información disponible, lo más preciso es decir que la FIFA tuvo una vulnerabilidad crítica reportada por una hacker ética, no que haya sido víctima de un hackeo con daño comprobado.
La diferencia importa. Un hackeo suele implicar explotación maliciosa, robo de información, manipulación de sistemas o afectaciones confirmadas. En este caso, lo que se conoce públicamente es que una investigadora encontró una falla, la documentó, intentó reportarla y finalmente el acceso fue corregido.
Aun así, el episodio exhibe el riesgo al que pueden estar expuestas plataformas utilizadas en eventos globales como la Copa del Mundo, donde una vulnerabilidad aparentemente simple puede tener consecuencias enormes.
El caso también vuelve a poner sobre la mesa la necesidad de que organismos internacionales cuenten con canales claros para reportar fallas, protocolos de respuesta rápida y programas de seguridad que permitan atender vulnerabilidades antes de que lleguen a manos equivocadas.