Si usted ha estado al tanto de las noticias sobre las medidas tomadas en Telegram, sabrá que la plataforma entró en 2026 bajo una presión considerable. Tras años de ser un entorno mayoritariamente permisivo, la plataforma intensificó drásticamente...read more
Si usted ha estado al tanto de las noticias sobre las medidas tomadas en Telegram, sabrá que la plataforma entró en 2026 bajo una presión considerable. Tras años de ser un entorno mayoritariamente permisivo, la plataforma intensificó drásticamente su control tras la detención del CEO Pavel Durov a finales de 2024 y la implementación de una moderación más estricta a lo largo de 2025. Se eliminaron millones de canales, las prohibiciones de cuentas en Telegram se volvieron frecuentes, se introdujo la automatización y la transparencia en la aplicación de las normas alcanzó un máximo histórico.
Sin embargo, a pesar de estos esfuerzos, los ecosistemas ciberdelictivos en Telegram no se están reduciendo. Estas comunidades ciberdelincuentes se están adaptando, y rápidamente.
Según la nueva información de Check Point Exposure Management, aquí presentamos tres de los últimos acontecimientos en el ámbito de Telegram tras las medidas regulatorias de 2026.
1. La moderación sin precedentes no ha reducido la presencia delictiva
Las cifras de control de Telegram son asombrosas. Solo en 2025, se bloquearon más de 43,5 millones de canales y grupos. La actividad de moderación continuó acelerándose a principios de 2026, con un aumento en las eliminaciones diarias, pasando de una base histórica de entre 10.000 y 30.000 a un nivel sostenido de entre 80.000 y 140.000, con picos que superaron las 500.000 eliminaciones en un solo día. A primera vista, esto sugiere un progreso sin precedentes. En la práctica, el impacto es más complejo.
El análisis de Check Point Exposure Management muestra que aproximadamente el 20% de los canales bloqueados estaban vinculados a actividades delictivas que afectan directamente a las empresas, como operaciones de fraude con tarjetas de crédito, intercambio de información personal (Fullz) y servicios de piratería informática. Miles de mensajes que hacen referencia a los canales bloqueados siguen circulando, especialmente a través de contenido reenviado, lo que mantiene vivo el conocimiento delictivo incluso después de las eliminaciones.
La clave está en la persistencia. Los canales desaparecen, pero las comunidades se reorganizan rápidamente. Se crean copias de seguridad de muchos de los canales que se cierran, a menudo incluso antes de que esto ocurra, para que la comunidad esté preparada. De hecho, con frecuencia, las audiencias se cargan previamente y la continuidad operativa se mantiene prácticamente intacta. La aplicación de las normas ha aumentado, pero no ha erradicado el uso de Telegram por parte de los ciberdelincuentes.
2. Los ciberdelincuentes se adaptan más rápido de lo que las plataformas pueden reaccionar.
En lugar de abandonar Telegram, los ciberdelincuentes han evolucionado su forma de operar dentro de la plataforma.
Varias técnicas de evasión aparecen ahora de forma constante en las comunidades clandestinas. Muchos grupos utilizan la opción de "Solicitar acceso" para bloquear los bots de moderación automatizados. Otros añaden avisos legales en las biografías de los canales, etiquetando a la dirección de Telegram y declarando su conformidad incluso cuando participan en actividades ilícitas. Se crean canales de respaldo con antelación, a veces agrupados, lo que permite la reconstitución instantánea tras un cierre. Los datos de Check Point muestran picos en los mensajes reenviados que hacen referencia a fuentes bloqueadas, especialmente durante los períodos de mayor actividad de control en febrero, marzo y abril de 2025. El contenido delictivo continúa circulando incluso cuando se eliminan las fuentes originales, lo que extiende el ciclo de vida de los datos de fraude y las directrices operativas.
Esta adaptación refleja tendencias más amplias en el cibercrimen. Los atacantes ya no dependen de un solo recurso o canal. Contratan a personas que buscan interrumpir el tráfico y diseñan redesundancias. La escala, la usabilidad y la capacidad de detección de Telegram siguen haciéndolo particularmente atractivo para este enfoque.
Comprender estos patrones de comportamiento es fundamental para una defensa proactiva. El libro electrónico profundiza en cómo evolucionan estos métodos de evasión y por qué son importantes para los equipos de seguridad empresarial.
3. Telegram sigue siendo el centro de comunicación dominante para el crimen organizado.
Si la moderación realmente estuviera desplazando a las comunidades delictivas, la migración sería obvia. Pero no lo es. A pesar de la breve experimentación con alternativas, Telegram sigue siendo la plataforma preferida. Solo en los últimos tres meses, Check Point Exposure Management identificó aproximadamente 3 millones de enlaces de invitación de Telegram compartidos en entornos clandestinos. En comparación, Discord representó menos del 6 % de ese volumen, mientras que Signal, SimpleX y las plataformas basadas en Matrix apenas se registraron.
Incluso los intentos de migración de alto perfil fracasaron. Un grupo de amenazas notable, AKULA, se trasladó temporalmente a SimpleX a principios de 2025, pero regresó a Telegram después de que sus seguidores no migraran a gran escala. Algunos actores ahora usan aplicaciones alternativas para la comunicación individual, pero Telegram sigue siendo la principal plataforma de difusión, reclutamiento y mercado.
Los efectos de red son importantes. La enorme base de usuarios de Telegram, con más de 800 millones de usuarios activos, dificulta que la competencia replique su alcance. La aplicación de las normas ha cambiado el comportamiento, no la lealtad. Para los equipos SOC, esto significa que Telegram sigue siendo un entorno crítico para la gestión de la exposición, la protección de la marca y la detección temprana de amenazas. Ignorarlo crea puntos ciegos que los atacantes explotarán.
¿Es real el control de Telegram?
El control de Telegram es real, constante y va en aumento. Pero también lo es la adaptabilidad de los ciberdelincuentes. Si bien las eliminaciones de cuentas siguen siendo clave, descubrir la red ciberdelictiva que rodea a cada canal o cuenta es cada vez más importante.
Los equipos de seguridad que dependan únicamente de la aplicación de las normas de la plataforma se quedarán atrás. Quienes inviertan en la gestión continua de la exposición y en la monitorización basada en inteligencia descubrirán la ruta de la operación y desmantelarán estructuras de ataque completas, no solo entidades aisladas.
Bogota
