Check Point® Software Technologies Ltd., empresa global en soluciones de ciberseguridad, ha publicado un nuevo análisis detallado sobre el estado de la ciberseguridad en Telegram tras la intensificación de las medidas de control en la plataforma durante 2025 y principios de 2026. Los investigadores de Check Point Exposure Management han revelado que, a pesar de que la plataforma ha entrado en 2026 bajo una mayor presión regulatoria, el ecosistema de ciberseguridad no solo no se está reduciendo, sino que está evolucionando con una rapidez alarmante.

Esta transformación en la plataforma se produjo tras años de ser un entorno mayoritariamente permisivo, dando paso a una aplicación estricta de las normas tras el arresto de su CEO Pavel Durov a finales de 2024. Telegram ha implementado automatización y ha alcanzado niveles históricos de transparencia en su cumplimiento, eliminando millones de canales. Sin embargo, la inteligencia de Check Point Software destaca que estos esfuerzos han aumentado la fricción operativa pero no han logrado erradicar la presencia de los ciberdelincuentes, quienes demuestran una capacidad de adaptación superior a la capacidad de reacción de las plataformas.

Las cifras de cumplimiento de Telegram alcanzan niveles récord, con cierres diarios que han pasado de una base histórica de 10.000 a picos que superan los 500.000 bloqueos en una sola jornada. A pesar de este volumen, el análisis de Check Point Software ha demostrado que aproximadamente el 20% de los canales bloqueados estaba vinculado a actividades que afectan directamente a las empresas, incluyendo operaciones de carding, comercio de datos personales y servicios de hacking. El problema reside en la persistencia de estas comunidades, que reforman sus estructuras rápidamente mediante copias de seguridad creadas de forma preventiva.

En este contexto, los actores de amenazas han perfeccionado sus tácticas mediante fórmulas como estas:

• Uso de ‘Request to Join’: muchos grupos emplean la función de solicitud de unión para bloquear la entrada de bots de moderación automatizados.
• Disclaimers engañosos: los administradores añaden avisos en las biografías de los canales mencionando al liderazgo de Telegram para simular el cumplimiento de las normas mientras mantienen la actividad ilícita.
• Canales de respaldo anticipados: se crean canales de backup con audiencias precargadas, lo que habilita una continuidad operativa casi instantánea tras un cierre.
• Estructuras de red redundantes: los atacantes ya no dependen de un solo activo, sino que diseñan redundancia en sus comunicaciones asumiendo que serán interrumpidos.

El análisis confirma que Telegram sigue siendo el centro neurálgico de los ciberdelincuentes, ya que, si la moderación estuviera desplazando realmente a estas comunidades, la migración a otras plataformas sería evidente. Y esto no está ocurriendo. En los últimos tres meses, Check Point Exposure Management ha identificado aproximadamente tres millones de enlaces de invitación a Telegram compartidos en entornos clandestinos. En comparación, Discord ha representado menos del 6% de ese volumen, mientras que plataformas como Signal, SimpleX o Matrix apenas han registrado una actividad significativa.

Para hacer frente a este panorama, Check Point Software recomienda a los equipos de seguridad que no confíen exclusivamente en las medidas de cumplimiento de las plataformas, ya que estas resultan insuficientes ante la sofisticación de los atacantes. Es fundamental que las empresas inviertan en una gestión continua de la exposición y en una monitorización impulsada por inteligencia de amenazas que permita identificar no solo entidades aisladas, sino toda la infraestructura y el origen de las operaciones de ataque. Solo a través de este enfoque será posible descubrir la ruta completa de la operación y desmantelar estructuras de ataque enteras en lugar de entidades individuales.

Finalmente, Check Point Software subraya que ignorar la actividad criminal en Telegram crea puntos ciegos críticos que los atacantes seguirán explotando. Según la compañía, es necesario que los centros de operaciones de seguridad (SOC) consideren esta plataforma como un entorno crítico para la protección de marca y la detección temprana de amenazas. Aquellas organizaciones que adopten estrategias de defensa proactivas basadas en el análisis de los patrones de comportamiento y la adaptabilidad de los atacantes estarán mejor posicionadas para neutralizar el riesgo antes de que se materialice en un impacto real para el negocio.