Un fallo en los sistemas internos de la FIFA permitió que un investigador de seguridad tuviera control total sobre la señal de televisión de todos los partidos del Mundial, incluida la realización en tiempo real y lo que veían comentaristas y espectadores en todo el planeta. Por suerte el problema se detectó y se arregló rápido, aunque la forma en que se descubrió deja varias preguntas incómodas sobre cómo se gestiona la ciberseguridad en el deporte más visto del mundo.
Un fallo que pudo cambiar lo que veías en tu tele
La historia arranca con el investigador de seguridad conocido como BobDaHacker, que decidió probar qué tan blindados estaban los sistemas online de la FIFA relacionados con el Mundial. En lugar de lanzar un ataque sofisticado, comenzó por un paso sorprendentemente mundano se registró como agente de jugadores en la plataforma oficial de registro de agentes de la FIFA, un portal legítimo abierto a quien complete el proceso.
Con esa cuenta en la mano encontró un fallo en la API interna de la FIFA que no comprobaba bien si el usuario tenía autorización para acceder a otros sistemas internos. Es decir el backend asumía que si estabas dentro eras de confianza y te abría puertas que nunca tendrías que ver como usuario normal.
Gracias a ese error terminó entrando en varias plataformas internas de la FIFA, entre ellas el sistema que usan los broadcasters para decidir qué se muestra en la señal de televisión y qué aparece en las pantallas de los comentaristas mientras narran el partido. En la práctica eso significaba que podía ver el streaming oficial de todos los partidos del Mundial y manipularlo a voluntad con los mismos controles que tienen las cadenas de televisión autorizadas.
El propia investigador explicó que con un solo atacante hubiera bastado para secuestrar todas las cámaras al mismo tiempo y alterar la emisión global. En un ejemplo muy gráfico aseguró que alguien podría haber rickrolleado a todo el planeta cambiando el partido por el clásico video musical mientras millones de personas pensaban que estaban viendo fútbol.
¿Cómo se coló el investigador en los sistemas de la FIFA?
El truco no estuvo en un malware de película sino en aprovechar un diseño débil de la API que conectaba la plataforma de agentes con otras herramientas internas de la FIFA. El sistema simplemente no verificaba de forma estricta si la cuenta que hacía la petición tenía realmente permisos para entrar en esos paneles sensibles lo que abrió la puerta a un ataque de escalada de privilegios casi trivial.
Al registrarse como agente de jugadores la investigadora obtuvo credenciales válidas dentro del ecosistema de la FIFA. A partir de ahí envió peticiones al backend y detectó que faltaban controles de autorización adecuados en ciertos endpoints lo que le permitió moverse lateralmente hacia otros sistemas que gestionan la producción de la señal de los partidos.
Ese acceso no se limitaba a ver un panel estático sino que ofrecía herramientas para decidir qué cámara se muestra en cada momento y qué gráficos o contenidos auxiliares aparecen en pantalla. Desde el punto de vista técnico está hablando de un control en tiempo real sobre la narrativa visual del Mundial un nivel de poder que normalmente solo tienen los operadores de realización de las televisiones.
Tras confirmar el alcance del fallo BobDaHacker lo reportó a la FIFA en la noche del martes hora de Japón y la organización parcheó el problema pocas horas después, cerrando el hueco sin hacer ruido. Sin embargo la FIFA no respondió al investigador ni reconoció públicamente su reporte, algo que confirmó el propio BobDaHacker y que la FIFA tampoco quiso aclarar cuando TechCrunch le pidió comentarios.
Brecha de seguridad que pudo afectar a millones de televidentes
El escenario realmente preocupante no es el experimento controlado de un investigador responsable sino lo que podrían haber hecho actores maliciosos con esa misma puerta trasera. Un acceso tan amplio habría permitido desde sabotear una final del Mundial con imágenes falsas o mensajes políticos hasta insertar contenido fraudulento con fines económicos o de desinformación mientras todo el planeta tenía los ojos puestos en la pantalla.
Más allá del susto este caso pone el foco en un problema incómodo para muchas organizaciones grandes la tentación de priorizar la funcionalidad y la integración de sistemas por encima de una revisión profunda de permisos y controles en sus APIs internas. El incidente demuestra que un simple error de autorización puede tener impacto global cuando afecta a infraestructuras de retransmisión masiva.
También abre un debate necesario sobre cómo tratan las grandes entidades deportivas a la comunidad de hacking ético. En esta ocasión el investigador actuó de forma responsable reportó el fallo de inmediato y esperó a que se solucionara antes de hacerlo público. Sin embargo la falta de reconocimiento por parte de la FIFA envía un mensaje mixto a quienes dedican tiempo y talento a encontrar vulnerabilidades antes de que lo hagan los ciberdelincuentes.
Para el ecosistema tech la lección es clara los sistemas que parecen administrativos o secundarios pueden convertirse en la llave maestra de infraestructuras críticas si están mal conectados o se diseñan sin una política de mínimos privilegios. Que una simple cuenta de agente acabe con acceso a controles de emisión global muestra lo frágil que puede ser la cadena cuando un solo eslabón está mal configurado.
Al mismo tiempo este episodio recuerda que la seguridad perfecta no existe y que la diferencia entre un desastre y una anécdota está muchas veces en que haya alguien curioso probando límites y avisando a tiempo. No se trata de pintar a la FIFA como villana absoluta ni de idealizar a la comunidad hacker como héroes infalibles más bien de entender que el fútbol moderno depende tanto de la infraestructura digital como del balón y que ignorar esa realidad sale caro.
Para quienes siguen la actualidad tech y de ciberseguridad esta historia tiene todos los ingredientes que llaman la atención de Google Discover desde el impacto masivo potencial hasta el toque humano de un investigador que con un registro aparentemente inocente terminó con acceso a uno de los sistemas más sensibles del espectáculo deportivo global. Y deja una idea difícil de olvidar la próxima vez que veas un partido del Mundial quizá recuerdes que durante unas horas alguien tuvo la capacidad técnica de cambiar por completo lo que aparecía en tu pantalla.
Sigue leyendo:
• Apple parcheó en silencio la vulnerabilidad que le permitió al FBI leer mensajes “borrados” de Signal en un iPhone
• La información de tu pasaporte puede estar expuesta en internet si utilizaste esta app
• Hackers usaron la IA de Meta para secuestrar cuentas de Instagram
Comentarios