Campaña fraudulenta de contratación para la Copa del Mundo de la FIFA 2026 «™ »
15 de junio de 2026
Por Samantha Clarke, Hiwot Mendahun y el equipo de investigación de amenazas de Mimecast
- Campaña de contratación fraudulenta que se hace pasar por la Copa del Mundo de la FIFA 26™
- Se han detectado más de 2.500 correos electrónicos que utilizaban la infraestructura legítima de Zoom Events
- Ataque en varias fases que recopila información de identificación personal (PII) a través de procesos de entrevista falsos
- Dirigido principalmente a destinatarios del Reino Unido, Alemania y Estados Unidos que trabajan en equipos de marketing o redes sociales
- Objetivo de la campaña: la recopilación de cuentas en redes sociales para agotar los fondos publicitarios de Meta Business.
Resumen de la campaña
Los grandes acontecimientos mundiales despiertan un gran interés entre el público. De cara a la Copa del Mundo de la FIFA de 2026, las fuerzas del orden y los investigadores en materia de seguridad han advertido públicamente sobre actividades de suplantación de identidad relacionadas con la FIFA, entre las que se incluyen portales de empleo fraudulentos, así como sitios web falsos de venta de entradas y productos oficiales. El equipo de investigación de amenazas de Mimecast ha detectado una estafa de captación que aprovecha la próxima Copa del Mundo de la FIFA 26™ para ganarse la confianza de las víctimas. Los autores de las amenazas se hacen pasar por varias marcas de gran renombre para enviar ofertas de empleo no solicitadas, en las que se indica a los destinatarios que reserven una llamada a través de scheduler.zoom.us. Los mensajes se envían a través de la infraestructura de Zoom Events, y las URL de programación redirigen a páginas legítimas del Zoom Scheduler en el dominio zoom.us, lo que hace que resulten especialmente difíciles de distinguir de las comunicaciones auténticas.
Además de la Copa del Mundo de la FIFA 26™, también hemos detectado actividades similares en las que se suplantaba la identidad del FC Barcelona, Meta, Warner Bros, Amazon y Publicis Groupe.
Lo que hace que esta campaña resulte especialmente difícil de detectar es el uso indebido deliberado de la propia infraestructura de Zoom, al redirigir a las víctimas a través de direcciones URL legítimas de scheduler.zoom.us que parecen indistinguibles de las comunicaciones auténticas de los reclutadores. Además de este abuso de una plataforma de confianza, se utilizan constantemente tácticas de ingeniería social diseñadas para aprovecharse de quienes buscan empleo y de quienes desean formar parte del evento deportivo más seguido del mundo.
En cada caso observado, el contacto inicial sigue un patrón reconocible: lo suficientemente pulido como para parecer legítimo, pero lo suficientemente uniforme en todos los destinatarios como para revelar su origen automatizado.
El primer contacto
Los correos electrónicos iban dirigidos a los responsables de redes sociales o a aquellas personas de las que se creía que tenían una cuenta activa de Meta for Business. Los mensajes analizados seguían una estructura coherente:
- Un saludo genérico ("«Hola»," o "«Hola»,") sin el nombre del destinatario
- Una afirmación en la que el remitente indica que ha encontrado el perfil del destinatario y que le ha impresionado su experiencia en redes sociales
- Una oferta relacionada con un puesto en redes sociales o de interacción con los seguidores vinculado a la marca suplantada
- Una invitación a una conversación introductoria confidencial de « "»"
- Un enlace a la URL del programador de Zoom
El texto del correo electrónico indica que, una vez que el destinatario haya concertado una llamada, recibirá un correo electrónico de confirmación con un enlace a la solicitud oficial para el puesto en "." Se indica que rellenar la solicitud es un paso obligatorio para que se tenga en cuenta la candidatura.
Flujo de ataque en varias etapas
El equipo de investigación de amenazas de Mimecast ha observado un proceso de reserva de varios pasos alojado en Zoom Scheduler (scheduler.zoom.us) durante las campañas relacionadas con la FIFA.
A lo largo de varias campañas, el equipo de investigación ha observado que el programador recopila una gran cantidad de información personal:
- Nombre completo
- Dirección de correo electrónico
- Número de teléfono
- URL del perfil de LinkedIn
- Nivel de experiencia con plataformas específicas (por ejemplo, Meta Business Suite)
- Respuestas por escrito sobre la idoneidad para el puesto y la experiencia pertinente
Posibles objetivos finales
Teniendo en cuenta la estructura de la campaña y los métodos de recopilación de datos, son posibles varios escenarios de amenaza.
Robo de identidad y de credenciales: Una vez cumplimentado el formulario a través de la página del programador de Zoom, los destinatarios recibirán un enlace obligatorio a la solicitud de "" . Es probable que esta página redirija a los usuarios a una página destinada a la recopilación de credenciales, diseñada para obtener datos de inicio de sesión. Una vez obtenidas las credenciales, es probable que los autores de las amenazas intenten vaciar los fondos de la cuenta existente de Meta for Business.
Apropiación de cuentas: Los formularios de solicitud pueden pedir a los usuarios que se identifiquen a través de Google, Facebook o LinkedIn, lo que permite el secuestro de sesiones o la apropiación de cuentas.
Recopilación de datos personales durante entrevistas falsas: Las llamadas programadas pueden incluir solicitudes de información confidencial, como números de la Seguridad Social, datos de cuentas bancarias y escaneos de documentos de identidad oficiales, con el pretexto de verificar la situación laboral.
Fraude financiero: Es posible que se pida a las víctimas que paguen fianzas por equipos, tasas de alta o que participen en estafas con cheques falsos, en las que deben ingresar cheques fraudulentos y realizar transferencias bancarias antes de que el cheque sea rechazado.
Indicadores de compromiso (IOC)
Dominio del remitente:
- noreply-zoomevents@zoom.us (infraestructura oficial de Zoom Events)
URL maliciosas del programador:
- scheduler.zoom.us/joseph-fifa/gestor-de-redes-sociales
- scheduler.zoom.us/joseph-fcb/redes-sociales
Características comunes del correo electrónico:
- Saludos genéricos sin el nombre del destinatario
- Referencias a la experiencia en redes sociales
- Enlaces a las páginas personales del programador de Zoom
- Nombre del remitente "Joseph", con el asunto ", Equipo de Captación de Talento"
- No se incluyen números de referencia de ofertas de empleo ni enlaces oficiales al portal de empleo
Recomendaciones
Formación en sensibilización de los usuarios
- Informe a los empleados sobre las características específicas de esta campaña
- Forme a los usuarios para que comprueben la identidad de los reclutadores a través de los canales oficiales de la empresa antes de entablar contacto
- Haga hincapié en que los empleadores legítimos no solicitan información personal sensible antes de las entrevistas formales o de las ofertas de trabajo.
- Lleve a cabo simulaciones de phishing que incluyan situaciones relacionadas con la contratación
Detección proactiva de amenazas
- Busque en los registros de recepción de correos electrónicos utilizando los indicadores de amenaza (IOC) que figuran en la lista
Mantenga su ventaja en materia de inteligencia sobre amenazas
Únase a los miles de profesionales de la seguridad que confían en nuestras alertas seleccionadas, nuestros análisis de expertos y los indicadores de compromiso (IOC) de nuestras campañas para defenderse de las últimas amenazas cibernéticas.
El registro se ha realizado correctamente
Le agradecemos que se haya suscrito para recibir actualizaciones sobre nuestras notificaciones de inteligencia sobre amenazas.
¡Nos pondremos en contacto con usted!