Entretanto, cidades dos EUA e do Canadá preparam-se para uma ameaça elevada, embora de baixa probabilidade, de extremismo violento. Os apoiantes do Estado Islâmico baseados nos EUA ou no Canadá atacaram eventos desportivos no passado, nomeadamente o mortal ataque na Bourbon Street em Nova Orleans, Louisiana, antes do Sugar Bowl de 2025. Um ataque no próximo Campeonato do Mundo provavelmente centrar-se-ia em alvos fáceis, como zonas de adeptos, festas de observação e infra-estruturas de transporte e hospitalidade, onde a segurança está menos concentrada.
Os desenvolvimentos geopolíticos também podem afetar o ambiente de ameaça. A Guerra do Irão aumenta o risco de actividade com motivação política por parte de actores que procuram utilizar a visibilidade do torneio para chamar a atenção para a sua causa. O relatório Futuro Registrado tem identificado Personagens hacktivistas iranianos estão mudando da promoção de ataques cibernéticos para ataques físicos, como incêndio criminoso. Embora esta actividade se tenha centrado anteriormente em alvos israelitas, as contas ligadas a estas personas expandiram a sua presença online para outras regiões e línguas após o início da Guerra do Irão. No momento da redação deste artigo, o Grupo Insikt não identificou evidências de atividades relacionadas à Copa do Mundo.
Cibercriminosos já exploram a demanda da Copa do Mundo
A exploração cibercriminosa da procura e da marca do Campeonato do Mundo já está em curso. Os atores da ameaça estão usando a visibilidade global do torneio para se passar pela FIFA, pelas cidades-sede, pelos fornecedores de ingressos, pelos varejistas e por outras organizações associadas ao evento. Essas operações criam riscos para torcedores, organizações do setor público, patrocinadores, afiliados, fornecedores, fornecedores de hospitalidade, empresas de transporte e outras empresas ligadas ao torneio.
Em uma campanha fraudulenta de compra ativa entre abril e maio de 2026, a Recorded Future identificou 33 domínios com o tema da Copa do Mundo que atraíram usuários por meio de uma rede de 2.500 anúncios online. Esses sites se faziam passar por lojas legítimas com o tema da Copa do Mundo para vender aos usuários produtos que não existiam, roubando seus pagamentos e informações de cartão de crédito ao longo do caminho. Além de anúncios fraudulentos, esses sites atraíam visitantes comprometendo sites legítimos que apareciam nos resultados de mecanismos de pesquisa e redirecionando as vítimas para sites fraudulentos.
O impacto destas campanhas vai além das vítimas individuais. A FIFA e outras empresas falsificadas correm o risco de perder receitas potenciais de clientes redirecionados e também podem sofrer danos à reputação quando os clientes associam uma experiência de compra negativa a marcas legítimas.
À medida que o torneio se aproxima, as atividades suspeitas de registro de domínios se intensificam. Nas semanas que antecederam o torneio, já haviam sido registrados mais de 1.000 domínios suspeitos que usavam “Mundo” e “Copa”. Numa campanha separada, os cibercriminosos de língua chinesa clonado Site oficial da FIFA em 300 domínios, provavelmente para coletar credenciais de torcedores de futebol.
O Insikt Group também está rastreando centenas de registros suspeitos de domínios de cidades-sede vinculados a eventos que os cibercriminosos poderiam usar para se passar por sites oficiais da Copa do Mundo, cometer fraudes, realizar phishing ou implantar malware. Embora grande parte da atividade observada até agora tenha personificado as marcas da FIFA, os atores da ameaça provavelmente expandirão as operações para incluir fornecedores, fornecedores de hospitalidade e transporte, plataformas de venda de ingressos, patrocinadores e afiliados.
Os atores da ameaça provavelmente serão capazes de usar a IA para tornar as tentativas de falsificação de identidade mais realistas, aumentando o risco de sucesso de operações de phishing, fraude e engenharia social. Essas atividades introduzem riscos diretos aos patrocinadores e afiliados da Copa do Mundo por meio de abuso de marca, fraude financeira, roubo de credenciais, danos aos clientes e danos à reputação.
Participantes e organizações de alto valor enfrentam riscos cibernéticos direcionados
As atividades de phishing e coleta de credenciais relacionadas à Copa do Mundo provavelmente afetarão mais do que torcedores e consumidores. Os actores patrocinados pelo Estado podem utilizar infra-estruturas temáticas do Campeonato do Mundo para espionagem direccionada contra altos funcionários do governo, diplomatas, pessoal de segurança, jornalistas, executivos, patrocinadores, vendedores, equipas e outros indivíduos de interesse que possam assistir ou apoiar os jogos.
Grupos como o da Rússia Delta Azulpor exemplo, usam frequentemente material de isca direcionado para colher credenciais de alvos de inteligência. As iscas relacionadas com a Copa do Mundo podem fornecer um pretexto oportuno e confiável para e-mails de phishing, portais de login falsos, anexos maliciosos ou representação de serviços legítimos relacionados a eventos.
Patrocinadores, afiliados, fornecedores e organizações de apoio também enfrentam riscos de ransomware e extorsão. Os atores da ameaça podem ter como alvo empresas associadas ao torneio porque a interrupção durante um evento globalmente visível aumenta a pressão sobre as vítimas para pagarem o resgate exigido. Fornecedores de hospitalidade, empresas de transporte, parceiros de varejo, fornecedores de software, plataformas de emissão de ingressos, organizações de mídia e outros terceiros podem ser alvos particularmente atraentes devido às suas funções operacionais no ecossistema de eventos.
Mesmo que a infraestrutura principal do torneio permaneça inalterada, o ransomware ou o comprometimento de credenciais que afetem um patrocinador, fornecedor ou prestador de serviços local podem criar interrupções operacionais, danos à reputação e exposição legal ou de conformidade.
Hacktivistas e redes de influência procuram marcar pontos políticos
Os hacktivistas online provavelmente tentarão explorar a atenção internacional sobre a Copa do Mundo para amplificar as causas políticas. Esses grupos podem ter como alvo cidades-sede, infraestrutura de torneios, patrocinadores, afiliados ou empresas de apoio para maximizar a visibilidade e a disrupção. Muitas operações hacktivistas envolvem atividades de nível incômodo, como ataques distribuídos de negação de serviço ou desfiguração de sites, mas alguns grupos também buscam informações confidenciais para expor em operações de “hack-and-leak”.
Em alguns casos, os hacktivistas estabeleceram parcerias com grupos historicamente motivados financeiramente para exigir pagamentos de extorsão por dados roubados, utilizando pressão política para reforçar as exigências de extorsão. Isto provavelmente reflecte o benefício mútuo que estes actores vêem na exploração de narrativas de alto perfil e politicamente carregadas para maximizar a pressão sobre as vítimas.
Desde o início da Guerra do Irão, hacktivistas por procuração provavelmente ligados aos serviços de inteligência iranianos conduziram activamente operações disruptivas contra empresas privadas, incluindo um ataque a uma empresa de dispositivos médicos que encerrou temporariamente as operações. A ligação à experiência e aos recursos da inteligência iraniana torna estes hacktivistas mais propensos a realizar um ataque eficaz.
Embora os ciberataques perturbadores sejam menos prováveis do que o cibercrime ou a espionagem, mesmo as perturbações temporárias podem alimentar narrativas políticas negativas. Qualquer perturbação, seja maliciosa ou não intencional, será provavelmente amplificada por redes de informação abertas e encobertas que procuram prejudicar a reputação das cidades anfitriãs, dos patrocinadores, dos afiliados ou do próprio torneio. Até agora, o Grupo Insikt tem observado canais abertos, nomeadamente a televisão estatal e os meios de comunicação tradicionais, como os mais activos na promoção de narrativas que minam a legitimidade do país anfitrião.
A ameaça combinada de hacktivistas e operadores de influência aumenta o risco de que um incidente cibernético, uma perturbação física ou mesmo uma pequena interrupção de serviço se torne parte de uma narrativa política mais ampla.
Mantendo-se à frente das ameaças
Funcionários públicos, patrocinadores, afiliados, fornecedores e organizações de apoio devem preparar-se para a Copa do Mundo como um desafio misto de segurança ciberfísica. As cidades-sede devem coordenar a segurança pública, a gestão de emergências, o transporte, a segurança dos locais e o planejamento de defesa cibernética. Os patrocinadores corporativos e afiliados devem coordenar as equipes de segurança, cibernética, fraude, jurídico, comunicações, proteção executiva, viagens, proteção de marca e risco de terceiros antes do início do torneio.
O monitoramento de ameaças emergentes pode ajudar as organizações a antecipar ataques cibernéticos, operações criminosas ou preocupações de segurança física antes que aumentem. Os principais indicadores incluem novas infra-estruturas digitais maliciosas, registos de domínios suspeitos com o tema do Campeonato do Mundo, iscas de phishing, páginas de recolha de credenciais, aumento da actividade de reconhecimento, como digitalização de rede, reclamações de ransomware, actividade na dark web relacionada com o Campeonato do Mundo e narrativas hacktivistas dirigidas a países anfitriões, cidades, patrocinadores ou afiliados.
As organizações também devem acompanhar os desenvolvimentos geopolíticos, especialmente os relacionados com a Guerra do Irão, porque os eventos políticos podem aumentar a probabilidade de atividades hacktivistas, operações de influência ou ameaças ligadas a gatilhos políticos.
A Copa do Mundo FIFA de 2026 reunirá milhões de torcedores, marcas globais, autoridades governamentais, agências de segurança pública e empresas de apoio em três países. No entanto, a sua escala e visibilidade tornam-no num alvo atraente para uma ampla variedade de agentes de ameaças. As organizações que se preparam em funções cibernéticas, físicas, de fraude, de marca e de comunicação estarão melhor posicionadas para reduzir riscos, proteger pessoas e limitar interrupções durante o torneio.
Ver Ameaças à Copa do Mundo FIFA de 2026 para uma análise completa das ameaças e mitigações.
Sobre Grupo Insikt®
O Insikt Group da Recorded Future, a divisão de pesquisa de ameaças da empresa, é composto por analistas e pesquisadores de segurança com profunda experiência governamental, policial, militar e em agências de inteligência. Sua missão é produzir inteligência que reduza os riscos para os clientes, possibilite resultados tangíveis e evite interrupções nos negócios.
