La plataforma Telegram se ha consolidado en los últimos años como uno de los principales espacios digitales donde operan comunidades vinculadas a actividades ilícitas. A pesar de los esfuerzos de moderación intensificados desde 2025, los datos indican que la ciberdelincuencia no solo persiste, sino que evoluciona con mayor sofisticación dentro de Telegram.
Según un análisis reciente de Check Point® Software Technologies Ltd., durante 2025 se bloquearon más de 43,5 millones de canales y grupos, alcanzando en 2026 picos superiores a los 500.000 cierres diarios. Sin embargo, estas cifras récord no han logrado desmantelar el ecosistema criminal en Telegram, que continúa funcionando como un punto de encuentro clave para actores maliciosos.
La adaptación constante de los ciberdelincuentes
Uno de los factores que explica la persistencia de la actividad ilegal en Telegram es la capacidad de adaptación de los ciberdelincuentes. Lejos de desaparecer, estas comunidades han perfeccionado sus estructuras para sobrevivir a los cierres masivos.
“El ecosistema no se está reduciendo, sino transformando con rapidez”, señalan los investigadores de Check Point. Esta evolución se basa en la creación de redes resilientes que permiten a los grupos reorganizarse casi de forma inmediata tras ser eliminados.
Telegram facilita este comportamiento debido a su arquitectura flexible y a la facilidad con la que se pueden crear nuevos canales, replicar audiencias y redistribuir enlaces de acceso en cuestión de minutos.
Técnicas que permiten esquivar la moderación
Los actores maliciosos han desarrollado estrategias específicas para evitar la detección dentro de Telegram. Entre las más habituales destacan el uso de sistemas de acceso restringido, como la función “Request to Join”, que dificulta la entrada de bots automatizados de control.
También es frecuente el uso de mensajes engañosos en las descripciones de los canales, donde se simula el cumplimiento de las normas para evitar sanciones. Estas prácticas permiten mantener operativas actividades relacionadas con la venta de datos, servicios de hacking o fraudes financieros.
Además, los delincuentes digitales crean canales de respaldo con antelación. De este modo, cuando un grupo es eliminado en Telegram, su comunidad puede migrar rápidamente a otro espacio ya preparado, reduciendo al mínimo el impacto de la moderación.
Telegram como centro neurálgico del cibercrimen
Los datos refuerzan la idea de que Telegram sigue siendo el epicentro de estas actividades. En el último trimestre analizado, se identificaron aproximadamente tres millones de enlaces de invitación activos vinculados a Telegram en entornos clandestinos.
Esta cifra contrasta con otras plataformas, donde la presencia es significativamente menor. Discord, por ejemplo, representa menos del 6% de ese volumen, mientras que alternativas como Signal o Matrix apenas registran actividad relevante.
Esta concentración convierte a Telegram en un punto crítico para la distribución de herramientas ilícitas, intercambio de información robada y coordinación de ataques.
El impacto directo en empresas y usuarios
El problema no se limita al ámbito digital abstracto. Aproximadamente el 20% de los canales bloqueados en Telegram está relacionado con actividades que afectan directamente a empresas. Entre ellas destacan el carding, la comercialización de credenciales filtradas y la oferta de servicios de intrusión.
“Las organizaciones no pueden ignorar la actividad criminal en esta plataforma”, advierten desde Check Point. Este tipo de entornos facilita la planificación de ataques, la venta de accesos a sistemas comprometidos y la distribución de malware.
Para los usuarios, el riesgo también es elevado. Telegram se utiliza como canal de difusión de estafas, enlaces maliciosos y campañas de phishing altamente segmentadas.
Un problema estructural más allá de la tecnología
El crecimiento de la ciberdelincuencia en Telegram no se explica únicamente por fallos de moderación, sino por factores estructurales. La combinación de anonimato relativo, facilidad de uso y escalabilidad convierte a la plataforma en un entorno atractivo para actividades ilícitas.
Aunque Telegram ha incrementado sus mecanismos de control tras la presión regulatoria y eventos como la detención de su CEO en 2024, estas medidas han generado más fricción operativa que eliminación real del problema.
“Los atacantes diseñan sus infraestructuras asumiendo que serán interrumpidos”, explican los expertos. Esta mentalidad permite que la actividad continúe incluso en entornos con alta vigilancia.
Por qué la moderación no es suficiente
El enfoque basado exclusivamente en eliminar canales resulta insuficiente frente a la complejidad del fenómeno. Cada cierre en Telegram es rápidamente compensado por la creación de nuevas estructuras, lo que genera un ciclo constante difícil de romper.
Los expertos insisten en que es necesario adoptar estrategias más avanzadas, centradas en la identificación de redes completas en lugar de acciones individuales. Esto implica analizar patrones de comportamiento, conexiones entre grupos y flujos de información.
La necesidad de un enfoque proactivo
La lucha contra la ciberdelincuencia en Telegram requiere un cambio de paradigma. No basta con reaccionar ante amenazas, sino que es imprescindible anticiparse a ellas mediante inteligencia de amenazas y monitorización continua.
“Las empresas deben considerar esta plataforma como un entorno crítico para la detección temprana de riesgos”, subrayan desde Check Point. Integrar Telegram en los sistemas de vigilancia permite identificar amenazas antes de que se materialicen en ataques reales.
En este contexto, la ciberseguridad deja de ser una cuestión técnica para convertirse en un elemento estratégico, donde la capacidad de adaptación es tan importante como la tecnología empleada.
