Telegram, uno de los servicios de mensajería más utilizados por la comunidad cibercriminal, se está convirtiendo en un entorno cada vez más hostil para las operaciones clandestinas. Un estudio de Kaspersky Digital Footprint Intelligence, basado en el seguimiento de más de 800 canales delictivos bloqueados entre 2021 y 2024, muestra un cambio claro: aunque estos canales sobreviven ahora más tiempo, la plataforma está endureciendo sus acciones y el ritmo de cierres se ha acelerado de manera notable.

Telegram se había convertido en un ecosistema ideal para actividades ilícitas gracias a su facilidad de uso. Sus bots automatizados permiten gestionar consultas, procesar pagos en criptomonedas y distribuir bienes ilegales, como tarjetas bancarias robadas, registros de info-stealers, kits de phishing o servicios de DDoS, sin intervención humana. A esto se suma su almacenamiento ilimitado, que facilita compartir bases de datos filtradas o documentos corporativos robados. Ya en 2024, la Guardia Civil desmanteló una red de phishing bancario que utilizaba Telegram como canal de comunicación con otros ciberdelincuentes, a los que ofrecía kits de robo de credenciales con nombres como “Robarle todo a las abuelas”. La operación permitió detener al principal desarrollador de estas herramientas en España, que operaba desde Málaga.

Sin embargo, el análisis de Kaspersky ha identificado dos tendencias simultáneas. Por un lado, la vida útil de los canales clandestinos se ha alargado: el número de aquellos que permanecieron activos más de nueve meses se triplicó entre 2023 y 2024 respecto a 2021 y 2022. Por otro, la cantidad de bloqueos ha aumentado drásticamente. Desde octubre de 2024, incluso los meses con menor actividad registran cifras de cierres similares a los picos de 2023, y la tendencia sigue al alza en 2025.

A estas dificultades para los ciberdelincuentes se suman otros inconvenientes: la ausencia de cifrado de extremo a extremo por defecto, la imposibilidad de gestionar sus comunicaciones desde servidores propios debido a la infraestructura centralizada de Telegram y el código cerrado del servidor, que impide verificar su funcionamiento real.

Como consecuencia, varias comunidades consolidadas del cibercrimen, incluidas el grupo BFRepo, con cerca de 9.000 miembros, y la operación Angel Drainer, especializada en malware como servicio, han comenzado a trasladar su actividad principal a otras plataformas o incluso a mensajería privada desarrollada por ellos mismos, alegando interrupciones constantes en Telegram.

“Telegram sigue siendo una herramienta útil para los estafadores, pero la relación entre riesgo y beneficio está cambiando. Aunque algunos canales permanecen online más tiempo que antes, el volumen creciente de bloqueos hace imposible garantizar estabilidad. Cuando una tienda o servicio desaparece de un día para otro y reaparece solo para volver a ser eliminado semanas después, mantener un negocio se vuelve muy complicado. Ya estamos viendo los primeros movimientos de migración”, explica Vladislav Belousov, analista de Digital Footprint en Kaspersky.

Recomendaciones de Kaspersky

Para reducir la exposición a este tipo de actividades y reforzar la protección, los expertos de Kaspersky aconsejan:

• Reportar canales y bots claramente ilícitos, contribuyendo a acelerar la moderación comunitaria.
• Apoyarse en múltiples fuentes de inteligencia de amenazas, con cobertura de la web superficial, la deep web y la dark web, para conocer las tácticas y actividades recientes de los actores maliciosos.