[Ciberseguridad] La represión de Telegram en 2026 y por qué los ciberdelincuentes siguen ganando

 

Si has estado al tanto de las noticias sobre la represión de Telegram, sabrás que la plataforma entró en 2026 bajo una presión considerable. Tras años de ser un entorno mayoritariamente permisivo, la plataforma intensificó drásticamente su control tras la detención del CEO Pavel Durov a finales de 2024 y la implementación de una moderación más estricta a lo largo de 2025. Se eliminaron millones de canales, las prohibiciones de cuentas en Telegram se volvieron frecuentes, se introdujo la automatización y la transparencia en la aplicación de las normas alcanzó un máximo histórico. Sin embargo, a pesar de estos esfuerzos, los ecosistemas ciberdelincuentes en Telegram no se están reduciendo. Estas comunidades ciberdelincuentes se están adaptando, y rápidamente. Según la nueva información de Check Point Exposure Management, aquí presentamos tres de los últimos acontecimientos en el ámbito de Telegram tras la represión de 2026. 1. La moderación sin precedentes no ha reducido la presencia delictiva.  Las cifras de cumplimiento de Telegram son asombrosas. Solo en 2025, se bloquearon más de 43,5 millones de canales y grupos. La actividad de moderación continuó acelerándose a principios de 2026, con un aumento en las eliminaciones diarias, pasando de una base histórica de entre 10 000 y 30 000 a un nivel sostenido de entre 80 000 y 140 000, con picos que superaron las 500 000 eliminaciones en un solo día.

A primera vista, esto sugiere un progreso sin precedentes. En la práctica, el impacto es más complejo. El análisis de Check Point Exposure Management muestra que aproximadamente el 20 % de los canales bloqueados estaban vinculados a actividades delictivas que afectan directamente a las empresas, como operaciones de fraude con tarjetas de crédito, intercambio de información personal (Fullz) y servicios de piratería informática. Miles de mensajes que hacen referencia a los canales bloqueados siguen circulando, especialmente a través de contenido reenviado, lo que mantiene vivo el conocimiento delictivo incluso después de su eliminación. La clave reside en la persistencia. Los canales desaparecen, pero las comunidades se reorganizan rápidamente. Se crean copias de seguridad de muchos de los canales eliminados, a menudo incluso antes de que se produzca la eliminación, para que la comunidad esté preparada. De hecho, con frecuencia, las audiencias se cargan previamente y la continuidad operativa se mantiene prácticamente intacta. La aplicación de la ley ha aumentado la fricción, pero no ha erradicado el uso de Telegram por parte de los ciberdelincuentes. 2. Los ciberdelincuentes se adaptan más rápido de lo que las plataformas pueden reaccionar. En lugar de abandonar Telegram, los ciberdelincuentes han evolucionado su forma de operar dentro de la plataforma. Varias técnicas de evasión se observan con frecuencia en las comunidades clandestinas. Muchos grupos utilizan la opción "Solicitar acceso" para bloquear los bots de moderación automatizados. Otros añaden avisos legales en las biografías de los canales, etiquetando a la dirección de Telegram y alegando cumplimiento incluso cuando participan en actividades ilícitas. Se crean canales de respaldo con antelación, a veces agrupados, lo que permite su reconstitución inmediata tras una eliminación. Los datos de Check Point muestran picos en los mensajes reenviados que hacen referencia a fuentes bloqueadas, especialmente durante los periodos de mayor actividad de control en febrero, marzo y abril de 2025. El contenido delictivo sigue circulando incluso cuando se eliminan las fuentes originales, lo que prolonga el ciclo de vida de los datos de fraude y las directrices operativas. Esta adaptación refleja tendencias más amplias en el cibercrimen. Los atacantes ya no dependen de un único recurso o canal. Asumen la interrupción y diseñan la redundancia. La escala, la usabilidad y la visibilidad de Telegram siguen haciéndolo especialmente atractivo para este enfoque. Comprender estos patrones de comportamiento es fundamental para una defensa proactiva. El libro electrónico profundiza en cómo evolucionan estos métodos de evasión y por qué son importantes para los equipos de seguridad empresarial. 3. Telegram sigue siendo el principal centro de comunicación para delincuentes. Si la moderación realmente estuviera desplazando a las comunidades delictivas, la migración sería evidente. Pero no lo es. A pesar de la breve experimentación con alternativas, Telegram sigue siendo la plataforma preferida. Tan solo en los últimos tres meses, Check Point Exposure Management identificó aproximadamente 3 millones de enlaces de invitación de Telegram compartidos en entornos clandestinos. En comparación, Discord representó menos del 6 % de ese volumen, mientras que Signal, SimpleX y las plataformas basadas en Matrix apenas tuvieron presencia.

Incluso los intentos más sonados de migrar fracasaron. Un grupo de ciberdelincuentes de renombre, AKULA, se trasladó temporalmente a SimpleX a principios de 2025, pero regresó a Telegram al no lograrse una migración masiva de sus seguidores. Si bien algunos actores ahora utilizan aplicaciones alternativas para la comunicación individual, Telegram sigue siendo la principal plataforma de difusión, reclutamiento y mercado. Los efectos de red son cruciales. La enorme base de usuarios de Telegram, con más de 800 millones de usuarios activos, dificulta que la competencia replique su alcance. La aplicación de las normas ha modificado el comportamiento, no la lealtad. Para los equipos del SOC, esto significa que Telegram sigue siendo un entorno crítico para la gestión de la exposición, la protección de la marca y la detección temprana de amenazas. Ignorarlo crea puntos ciegos que los atacantes explotarán. ¿Es real la ofensiva de Telegram? La ofensiva de Telegram es real, constante y va en aumento. Pero también lo es la adaptabilidad de los ciberdelincuentes. Si bien las eliminaciones de cuentas siguen siendo clave, descubrir la red ciberdelictiva que rodea a cada canal o cuenta es cada vez más importante. Los equipos de seguridad que dependan únicamente de la aplicación de las normas de la plataforma se quedarán atrás. Quienes inviertan en la gestión continua de la exposición y en la monitorización basada en inteligencia descubrirán la ruta de la operación y desmantelarán estructuras de ataque completas, no solo entidades aisladas. Para un análisis completo, estadísticas detalladas y perspectivas futuras, lea «La ofensiva de Telegram y la resiliencia de los delincuentes en 2026».