La Federación Internacional de Fútbol Asociación (Fifa) corrigió recientemente una vulnerabilidad crítica en su infraestructura tecnológica que habría permitido a terceros comprometer la transmisión global de la Copa Mundial de la Fifa 2026.
El hallazgo fue realizado por una especialista en ciberseguridad identificada bajo el seudónimo de 'BobDaHacker', quien logró adentrarse en el sistema interno que administra el torneo tras explotar una falla de validación en la interfaz de programación de aplicaciones (API) del proveedor del servicio. El fallo, reportado inicialmente a través de agencias gubernamentales, ponía en riesgo la integridad de la información deportiva y financiera del organismo.
Mecanismo de acceso y alcance del riesgo
La intrusión se produjo debido a que el sistema de almacenamiento de datos de la Fifa no verificaba correctamente los permisos reales de los usuarios registrados. 'BobDaHacker' utilizó su identidad real para registrarse como agente y, tras evadir una restricción visual en la interfaz del cliente, el servidor central le entregó acceso completo a la plataforma.
Desde este panel, la investigadora obtuvo control directo sobre el flujo de transmisiones en vivo, lo que incluía la visualización de cámaras desde cualquier ángulo, así como la capacidad técnica para pausar, reanudar o alterar la señal emitida. De haber sido explotada por actores maliciosos, la vulnerabilidad habría facilitado la inserción de metraje de video no autorizado ante audiencias masivas, la manipulación de estadísticas de juego en tiempo real y la descarga de documentos confidenciales, tales como presupuestos internos e informes de transferencias.
Silencio oficial: así se atascó el reporte ante el organismo futbolístico
La especialista detalló en su portal web que la notificación del problema representó una dificultad administrativa, debido a la falta de respuesta inicial a través de los canales de comunicación tradicionales del organismo futbolístico.
El reporte fue finalmente procesado tras la intervención de la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA). La Fifa procedió a implementar el parche de seguridad al día siguiente del aviso institucional, restringiendo el acceso no autorizado a su API sin emitir declaraciones públicas de agradecimiento hacia la investigadora.