Un investigador de seguridad descubrió una vulnerabilidad crítica en la infraestructura digital de la FIFA que, según relata, habría permitido a cualquier persona manipular las retransmisiones en directo de la Copa Mundial 2026. El hallazgo comenzó al registrarse en el portal público de agentes de la FIFA (agents.fifa.org), tras lo cual su cuenta fue añadida al inquilino de Microsoft Entra que da soporte a todas las plataformas internas de la organización, incluido fdp.fifa.org, el Football Data Platform.
Aunque la aplicación mostraba un mensaje de "acceso denegado" por la ausencia de roles asignados, la comprobación se realizaba únicamente en el cliente. Los servidores respondían a las peticiones sin validar permisos. Así, el investigador accedió al panel de Streaming Management, que contenía las URL de ingestión RTMP, las claves de retransmisión y los manifiestos de previsualización de todos los partidos del Mundial 2026, alojados en la infraestructura de MediaKind, socio tecnológico de la FIFA.
La misma cuenta sin privilegios también ofreció acceso de escritura a estadísticas en vivo, alineaciones tácticas, momento del saque inicial y el sistema de información para comentaristas (cis.fifa.org), así como a un Azure Function App que exponía 23 archivos internos en Blob Storage, como informes de transferencias y datos de árbitros. El autor subraya que no modificó nada y que las autoridades, entre ellas CISA y el FBI, fueron informadas antes de la publicación.
Noticias agregadas con IA