Una research report empresa de ciberseguridad CYFIRMA afirma que la plataforma de mensajería Telegram se ha convertido en un entorno operativo central para una amplia gama de actividades cibercriminales. Según el análisis, los actores de amenazas utilizan cada vez más canales de Telegram, grupos y bots automatizados para coordinar ataques, distribuir herramientas y promover servicios ilegales dentro del ecosistema del cibercrimen.
Los investigadores describen este cambio como un cambio estructural en la forma en que las comunidades cibercriminales se organizan en línea. Históricamente, muchas actividades ilícitas tenían lugar en foros de la darknet alojados en redes Tor. Estas plataformas requerían conocimientos técnicos para acceder y dependían de sistemas de reputación y mecanismos de depósito en garantía para las transacciones. El informe de CYFIRMA afirma que Telegram ahora ofrece funciones similares mientras reduce las barreras de entrada y permite una coordinación más rápida entre los actores.
La arquitectura de Telegram permite a los usuarios crear canales públicos, grupos privados y bots automatizados que pueden distribuir archivos, publicar mensajes a grandes audiencias y procesar transacciones. Los grupos cibernéticos utilizan estas funciones para coordinar operaciones en tiempo real y mantener la comunicación incluso cuando se eliminan o interrumpen los canales individuales. Dado que se pueden crear nuevos canales rápidamente y compartirse mediante enlaces de invitación, los grupos pueden reconstruir sus redes rápidamente tras eliminaciones o interrupciones.
El informe de CYFIRMA identifica varias categorías de actores amenazantes que utilizan la plataforma. Los operadores de ransomware mantienen canales donde listan víctimas, publican muestras de datos robados y anuncian plazos para el pago. Estos canales suelen mostrar pruebas de compromiso para presionar a las organizaciones objetivo durante las negociaciones de extorsión. Algunos grupos también utilizan Telegram para reclutar afiliados y anunciar modelos de reparto de ingresos para campañas de ransomware.
Los intermediarios de acceso inicial, otro componente clave del ecosistema del cibercrimen, también utilizan canales de Telegram para anunciar redes y credenciales comprometidas. Los listados suelen incluir detalles sobre la organización objetivo, como el sector industrial, el tamaño de ingresos, la ubicación geográfica y los privilegios de acceso dentro de la red. Los compradores pueden evaluar estas ofertas antes de adquirir accesos que luego podrían usarse para operaciones de ransomware o robo de datos.
Los desarrolladores y operadores de malware también utilizan la plataforma para distribuir herramientas y servicios. Los canales pueden promover malware, criptadores, kits de phishing o frameworks de carga que roban información, a través de modelos basados en suscripción. En muchos casos, los bots automatizados gestionan la interacción con los clientes, el procesamiento de pagos y la entrega de las compilaciones de malware. Estos servicios funcionan de forma similar a los sistemas legítimos de distribución de software, pero operan dentro de comunidades subterráneas.
Telegram también se utiliza para difundir datos robados e información sobre brechas. Los canales de filtración de datos suelen publicar muestras de bases de datos o volcados de credenciales para demostrar su autenticidad antes de publicar o vender el conjunto de datos completo. Las funciones de reenvío y recompartición de la plataforma permiten que esta información se difunda rápidamente a través de múltiples canales, aumentando la visibilidad de las brechas y complicando los esfuerzos de contención.
Los investigadores afirman que la accesibilidad y las funciones de comunicación en tiempo real de la plataforma han contribuido a su adopción por parte de grupos cibernéticos. A diferencia de los foros tradicionales de la darknet, que requieren herramientas de acceso especializadas, Telegram puede accederse a través de aplicaciones móviles o de escritorio estándar, lo que reduce las barreras técnicas para los participantes que ingresan en la economía subterránea.
El informe concluye que Telegram ahora sirve como una capa operativa central para la actividad moderna de ciberdelincuencia. Al combinar las funciones de comunicación, distribución, reclutamiento y marketing en un mismo entorno, la plataforma permite a los actores de amenazas coordinar operaciones de forma más eficiente y escalar sus actividades a través de una red global.