Según el investigador, bastó con registrarse como agente de fútbol para obtener acceso a sistemas internos de FIFA.

La organización de un Mundial depende de una enorme infraestructura tecnológica que opera detrás de cámaras. Transmisiones televisivas, estadísticas en tiempo real, información para comentaristas, análisis de partidos y coordinación operativa forman parte de un ecosistema digital que debe funcionar sin errores.

Sin embargo, un investigador de seguridad conocido como BobDaHacker asegura haber descubierto una vulnerabilidad que puso en riesgo parte de esa infraestructura durante el Mundial de 2026. Según su reporte, una falla de control de acceso le permitió ingresar a múltiples plataformas internas de FIFA utilizando únicamente una cuenta creada a través del sistema público de registro para agentes de fútbol.

El problema no era la autenticación, sino la autorización

De acuerdo con la investigación, el acceso comenzaba en la plataforma pública para agentes de FIFA. Una vez completado el registro, la cuenta quedaba integrada dentro del entorno corporativo de identidad basado en Microsoft Entra ID.

El sistema aparentemente verificaba correctamente que el usuario no tuviera permisos para acceder a determinadas aplicaciones. Sin embargo, esa validación ocurría principalmente del lado del cliente.

En otras palabras, las aplicaciones mostraban mensajes de “acceso denegado”, pero los servidores seguían respondiendo solicitudes y entregando información sensible sin verificar adecuadamente los permisos asociados a la cuenta.

Este tipo de error es uno de los problemas clásicos de seguridad web: confiar en controles implementados en la interfaz en lugar de aplicar validaciones obligatorias en el backend.

Acceso a sistemas de transmisión del Mundial

Lo más llamativo del hallazgo fue el supuesto acceso a una plataforma de gestión de streaming utilizada para administrar transmisiones del Mundial.

Según el investigador, desde allí era posible visualizar partidos, cámaras disponibles, direcciones de transmisión y controles operativos asociados a los flujos de video. También afirma que tuvo acceso a enlaces de monitoreo que permitían observar transmisiones en vivo de encuentros del torneo.

El reporte sostiene además que la plataforma incluía funciones para iniciar, detener o programar transmisiones, aunque el investigador asegura que no ejecutó ninguna acción sobre sistemas en producción.

La situación generó especial preocupación porque, en teoría, una alteración de estos flujos podría haber afectado la cadena de distribución de video utilizada por broadcasters internacionales.

Datos de partidos, comentaristas y estadísticas

El acceso no se habría limitado a los sistemas de transmisión.

El investigador afirma haber ingresado también a plataformas utilizadas para estadísticas en vivo, análisis de partidos y herramientas destinadas a comentaristas deportivos. Entre la información disponible figuraban alineaciones, métricas de rendimiento, datos editoriales y contenido utilizado durante las transmisiones oficiales.

Más preocupante aún, algunas funciones aparentemente permitían modificar información relacionada con encuentros en curso, incluyendo estadísticas y datos operativos utilizados por sistemas de difusión.

Aunque no existen indicios de que la vulnerabilidad haya sido explotada con fines maliciosos, el escenario ilustra cómo un problema aparentemente simple puede generar consecuencias globales cuando afecta plataformas utilizadas por miles de millones de espectadores.

Una divulgación complicada

Otro aspecto destacado del caso fue la dificultad para reportar el hallazgo.

Según el investigador, FIFA no contaba con un programa público de recompensas por vulnerabilidades, una política formal de divulgación responsable ni un archivo security.txt que indicara claramente cómo contactar al equipo de seguridad.

Ante la falta de respuesta, asegura haber intentado comunicarse con múltiples áreas de FIFA, además de contactar a proveedores involucrados en la infraestructura tecnológica y organismos estadounidenses relacionados con la protección del evento.

La vulnerabilidad habría sido corregida pocas horas después del reporte inicial, aunque FIFA no emitió declaraciones públicas detalladas sobre el incidente al momento de publicarse la investigación.

Cuando el problema es arquitectónico

Más allá de FIFA, el caso deja una lección relevante para cualquier organización.

La autenticación moderna es cada vez más robusta. Las empresas invierten en identidad federada, autenticación multifactor y controles avanzados de acceso. Sin embargo, una vez que un usuario logra autenticarse, la seguridad depende de que cada aplicación valide correctamente qué está autorizado a hacer.

Cuando esa validación falla, un usuario legítimo puede transformarse involuntariamente en un atacante.

Y en sistemas que administran eventos globales, infraestructura de medios o servicios críticos, un simple error de autorización puede escalar rápidamente desde un problema técnico hasta una crisis internacional de reputación.

Porque a veces no hace falta vulnerar una red.

Basta con iniciar sesión.