Un hacker se registró como agente y logró interrumpir la transmisión del Mundial 2026 al explotar una vulnerabilidad en los sistemas de la FIFA.
Vulnerabilidad en los sistemas de la FIFA permitía manipular estadísticas de partidos, controlar videotransmisiones y acceder a datos de comentaristas.
Un especialista en seguridad bajo el alias BobDaHacker afirmó que pudo acceder a los sistemas internos de la FIFA durante el Mundial de 2026 mediante un registro habitual en la plataforma de agentes de fútbol.
La historia comenzó en el sitio FIFA Agent Platform, donde cualquier persona puede solicitar una licencia de agente de fútbol. Para registrarse se pedía subir un documento, confirmar el correo electrónico y pasar una verificación de identidad. Tras un intento exitoso, la cuenta del autor fue añadida al catálogo compartido de Microsoft Entra, que la FIFA utilizaba no solo para la plataforma de agentes, sino también para servicios internos.
Cuando accedió a la plataforma de datos futbolísticos de la FIFA, el sistema mostró denegación de acceso, ya que la cuenta no tenía los roles necesarios. Pero la comprobación de permisos funcionaba solo en la aplicación web. La parte del servidor no bloqueaba las solicitudes y entregaba datos a cualquier usuario que ya estuviera en el catálogo compartido de la organización.
Al eludir la verificación del cliente, el especialista llegó al panel de control de las transmisiones del Mundial. Allí se mostraban los partidos, los ángulos de cámara, las direcciones de ingestión de vídeo, enlaces para vista previa y flujos de salida para socios de emisión. Según el autor, el acceso conducía a la infraestructura de producción de MediaKind, que la FIFA empleaba para procesar la señal de vídeo.
La situación empeoraba porque el panel no se limitaba a la visualización. En la interfaz había botones para iniciar, detener y programar flujos para partidos y cámaras individuales. El autor afirma que no pulsó esos controles ni envió vídeo a direcciones públicas, pero las claves de los flujos estaban en los enlaces a los que tenía acceso. Teóricamente, un atacante podría haber sustituido la señal de las cámaras y sacar vídeo ajeno a la cadena de emisión.
No solo el apartado de transmisiones estaba expuesto. La cuenta sin roles obtuvo acceso a la plataforma de datos futbolísticos, al sistema de información para comentaristas, a paneles analíticos y a secciones de gestión de partidos. En su interior había flujos de vídeo en directo, datos de alineaciones, estadísticas, notas editoriales, información para comentaristas y elementos relacionados con la publicación de datos para las transmisiones.
Según BobDaHacker, funciones concretas permitían modificar estadísticas, la hora de inicio del partido, esquemas tácticos y otros datos que luego podían llegar a los sistemas de emisión. El sistema de información para comentaristas también mostraba datos preparados, notas y datos operativos sobre los partidos.
Además, el autor encontró una interfaz de pruebas basada en Azure Functions que devolvía metadatos y enlaces directos a tablas internas de la FIFA en el almacenamiento Azure Blob Storage. Entre los archivos se mencionaban informes sobre traspasos, comparación de ingresos, presentación de órganos directivos, árbitros y entrenadores.
Informar del problema resultó más difícil que encontrar la vulnerabilidad. La FIFA, según el autor, no tenía programa de recompensas, un archivo security.txt ni un contacto claro para reportar problemas de seguridad. Envió correos a varias direcciones de la organización; parte de los mensajes rebotaron. Luego intentó contactar a un empleado de la FIFA, a la sede, a la línea de prensa, al centro de emisión en Dallas, a MediaKind, a Host Broadcast Services, a la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos y al FBI.
El avance se produjo después de que llamara a MediaKind. Allí, según el autor, entendieron el problema y le pidieron que enviara detalles. También remitió el material a la agencia estadounidense de ciberseguridad. Al día siguiente cerraron el acceso: los servidores empezaron a devolver un error 403, en lugar de solo mostrar un marcador en la interfaz.
La FIFA no respondió públicamente al autor y, según él, no confirmó que recibió el informe. No obstante, la organización corrigió rápidamente el problema principal. La falla se debía a un error fundamental en la arquitectura: las aplicaciones comprobaban los permisos solo en el navegador, mientras que los servidores confiaban en cualquier usuario del catálogo compartido de Microsoft Entra.
BobDaHacker añadió por separado que, tras la corrección, su cuenta seguía recibiendo documentos oficiales de la plataforma de datos futbolísticos por correo electrónico. Instó a la FIFA a publicar una política de divulgación de vulnerabilidades y a crear un canal adecuado para reportar problemas de seguridad, para que incidentes similares no tengan que trasladarse de urgencia a través de contratistas y organismos estatales.