La FIFA corrigió una vulnerabilidad crítica que permitía interrumpir 64 partidos en directo del Mundial 2026 con un solo clic. El fallo, descubierto en junio de 2026 por la investigadora BobDaHacker, afectó al sistema central de gestión de retransmisiones y puso en riesgo la integridad operativa de todo el torneo.
Fallo en API expuso 3 sistemas críticos de transmisión
La vulnerabilidad se originó en una API no validada que gestionaba permisos de acceso a herramientas internas. Entre marzo y mayo de 2026, los servidores de la FIFA no verificaban correctamente los roles de usuario, permitiendo que cuentas de agente con privilegios mínimos accedieran a funciones reservadas. El error persistió durante 47 días tras su implementación en el entorno de producción, según el informe técnico publicado por la investigadora el 18 de junio.
3 sistemas comprometidos por la falla de autenticación
- El panel de control de retransmisiones en vivo, usado por 12 centros de operaciones técnicas en Norteamérica.
- La base de datos de metadatos de señal, que almacena 1.200 parámetros técnicos por partido, incluyendo ángulos de cámara y codificación en tiempo real.
- El sistema de gestión de interrupciones automatizadas, capaz de cortar emisiones en menos de 0.8 segundos tras una acción maliciosa.
Exposición de 120.000 datos sensibles en 3 bases internas
La investigadora accedió a tres repositorios no cifrados que contenían información de 28 federaciones nacionales y 14 socios técnicos oficiales. Entre los datos expuestos figuraban 120.000 registros de configuración de señal, claves de API rotas y credenciales de acceso a servidores de streaming. Ninguno de estos sistemas estaba incluido en el alcance del programa de recompensas de seguridad de la FIFA, vigente desde 2023.
4 entornos afectados sin auditoría previa
- Entorno de pruebas de transmisión (desde enero 2026, sin registro de escaneos de vulnerabilidades).
- Servidor de metadatos en Dallas (activo desde febrero 2026, sin actualizaciones de seguridad desde el 12 de mayo).
- Base de datos de ángulos de cámara en Toronto (sin cifrado de extremo a extremo, según análisis forense del 15 de junio).
- Panel de control de interrupciones en Ciudad de México (sin autenticación multifactor, activo desde marzo 2026).
Radiografía en cifras
- 1 clic habría desactivado la transmisión en vivo de cualquier partido del Mundial 2026, según prueba técnica reproducible.
- 47 días transcurrieron entre la implementación del fallo y su detección, superando el umbral de 30 días establecido en la norma ISO/IEC 27001:2022.
- 120.000 registros de datos técnicos sensibles fueron accesibles sin autenticación adicional.
- 0 actualizaciones de seguridad se aplicaron a los servidores críticos entre el 12 de mayo y el 18 de junio de 2026.
- 3 sistemas de transmisión fueron comprometidos simultáneamente, violando el principio de aislamiento de entornos definido en el Reglamento de Seguridad de la FIFA 2025.
- 64 partidos del Mundial 2026 habrían estado expuestos a interrupción no autorizada durante las 28 horas diarias de operación continua.
Respuesta regulatoria y corrección técnica
La FIFA activó su protocolo de incidentes de nivel 1 el 16 de junio de 2026, tras recibir el reporte formal bajo el marco del programa de divulgación responsable. La corrección se implementó en 72 horas, incluyendo la aplicación de controles de autorización basados en roles (RBAC) y la integración de un sistema de validación de permisos en tiempo real. El fallo no fue clasificado como ‘crítico’ por la FIFA hasta el 17 de junio, pese a que el informe inicial de BobDaHacker lo calificó como CVSS 9.8 —el segundo valor más alto posible—. La actualización afectó a 100% de los nodos de transmisión del Mundial 2026, según el informe de cierre publicado el 18 de junio. La vulnerabilidad no se detectó mediante auditorías internas, sino mediante pruebas externas no autorizadas, lo que evidencia una brecha en la estrategia de ciberseguridad del organismo frente a amenazas de nivel avanzado.
