Durante años, Telegram ha funcionado como un “mercado de fácil acceso” para parte del cibercrimen: canales que aparecen en minutos, bots que automatizan procesos, y una capacidad de difusión que encaja con la lógica de la economía clandestina. Pero esa etapa empieza a resquebrajarse. Un análisis de Kaspersky, basado en el seguimiento de más de 800 canales delictivos bloqueados entre 2021 y 2024, describe una plataforma cada vez menos predecible para quienes intentan convertirla en infraestructura criminal.
La conclusión no es que Telegram haya dejado de ser útil para actividades ilícitas —sería ingenuo afirmarlo—, sino que la relación entre riesgo y beneficio ha cambiado. Y en el mundo del fraude digital, donde la “continuidad de negocio” importa tanto como en cualquier empresa, perder un canal o una comunidad de la noche a la mañana equivale a quemar reputación, contactos y caja.
Un refugio con ventajas… y una fragilidad estructural
Para entender el giro, conviene recordar por qué Telegram se volvió tan atractivo. A diferencia de los foros clásicos del “underground”, levantar un canal o un grupo no requiere alojamiento, dominios, protección contra derribos ni administración técnica. Se crea, se comparte un enlace de invitación y se empieza a operar.
Esa facilidad se convirtió en ventaja competitiva para la venta de bienes digitales ilegales: desde bases de datos filtradas hasta servicios de phishing, paquetes de malware, accesos iniciales o carding. La automatización mediante bots añadió otra capa: algunos flujos de “venta–pago–entrega” se podían ejecutar con mínima intervención humana, y con pagos en criptomonedas integrados en la operativa.
Sin embargo, esa misma sencillez tiene un reverso: Telegram no ofrece la resiliencia que sí tienen muchos foros clandestinos basados en Tor, con rotación de dominios, espejos y una estructura diseñada para sobrevivir años. En Telegram, la infraestructura es centralizada y depende de una moderación capaz de cerrar el grifo con rapidez. Para el cibercrimen, esa dependencia se está convirtiendo en un problema operativo.
Canales que duran más… pero caen con más frecuencia
El estudio de Kaspersky identifica una evolución paradójica. Por un lado, los canales ilícitos tienden a durar más: la mediana de vida útil pasó de 5 meses en 2021–2022 a 9 meses en 2023–2024. Por otro, el ritmo de bloqueos se ha intensificado hasta un punto incómodo incluso para los grupos que “saben moverse”.
Kaspersky observa que, desde octubre de 2024, incluso los meses con menos actividad registran cifras de cierres cercanas a los picos de 2023. Es decir: aunque algunos canales resisten más tiempo, el entorno es más hostil y menos estable. Para quien vende, por ejemplo, un servicio de “malware como servicio” o una tienda de datos robados, esa incertidumbre dificulta garantizar entregas, mantener soporte y conservar a los clientes.
Además, los actores clandestinos han intentado adaptarse: filtros de acceso por aprobación del administrador, publicaciones “cebo” sobre temas irrelevantes para parecer inocuos y hasta avisos de exención de responsabilidad. Pero el propio análisis concluye que esas tácticas, en conjunto, no están logrando el objetivo de esquivar los derribos de forma fiable.
La migración deja de ser teoría: BFRepo y el caso Angel Drainer
El cambio de tendencia se aprecia cuando comunidades grandes empiezan a moverse. Kaspersky señala que uno de los primeros traslados relevantes en 2025 fue BFRepo, cuyos grupos llegaron a rozar los 9.000 suscriptores en Telegram y terminaron migrando a SimpleX en mayo de 2025 tras bloqueos repetidos por infracciones de los términos del servicio. En la nueva plataforma, uno de sus chats ya superaba 1.000 participantes mientras los intentos de “resucitar” grupos en Telegram volvían a caer una y otra vez.
Otro ejemplo ilustra una respuesta aún más contundente: algunas operaciones optan por reducir dependencia y construir su propio canal de comunicación. En abril de 2025, el programa asociado a Angel Drainer recomendó a clientes usar su propio mensajero para evitar interrupciones del negocio y no perder contactos si Telegram volvía a cerrar recursos. No es una decisión menor: crear y mantener un sistema propio implica costes, exposición técnica y riesgos adicionales. Pero también evidencia hasta qué punto la plataforma empieza a percibirse como un terreno inestable para operaciones que aspiran a escalar.
Factores técnicos que pesan en la confianza (también para el lado oscuro)
Kaspersky añade un elemento que suele confundirse en el debate público: Telegram no tiene cifrado de extremo a extremo activado por defecto en la mayoría de conversaciones, y la arquitectura sigue siendo centralizada. Para el usuario medio, esto se traduce en recomendaciones de seguridad y privacidad; para el cibercrimen, se convierte en una variable de riesgo operacional y de exposición.
A esto se suma el carácter cerrado del código del servidor, que dificulta verificar de forma independiente el funcionamiento exacto de la plataforma. En entornos clandestinos, donde se asume que “todo puede estar siendo observado”, la confianza tecnológica se vuelve un activo. Y cuando esa confianza se erosiona al mismo tiempo que aumentan los derribos, la motivación para migrar crece.
Qué significa esto para empresas y usuarios
El endurecimiento de Telegram no elimina el problema, lo desplaza. La propia investigación advierte de un patrón clásico: cuando un canal se vuelve poco rentable para el delito, la actividad se redistribuye a otras plataformas, servicios más privados o infraestructuras propias. Para defensores y equipos de ciberseguridad, el reto no es solo vigilar Telegram, sino mantener cobertura de inteligencia que incluya web superficial, deep web y dark web, y reaccionar rápido cuando aparezcan “nuevos refugios”.
Para el usuario final, la recomendación más práctica sigue siendo la misma: asumir que los canales y bots pueden ser vectores de estafa, reportar los recursos claramente ilícitos y no normalizar enlaces, archivos o “ofertas” que llegan por mensajes reenviados o grupos masivos. El negocio criminal, cuando pierde estabilidad, suele compensar con más agresividad comercial y más ingeniería social.
Preguntas frecuentes
¿Por qué Telegram era tan usado para canales ilícitos y fraude digital?
Porque permite crear canales y grupos con mucha rapidez, distribuir enlaces de invitación y automatizar operaciones con bots, lo que facilita desde la venta de datos robados hasta campañas de phishing o servicios ilegales.
¿Los bloqueos significan que Telegram ya no se usa para cibercrimen?
No. Significa que es un entorno menos estable: hay más presión de moderación y cierres frecuentes, lo que empuja parte de la actividad a migrar o a fragmentarse en otras plataformas.
¿Qué señales suelen indicar un canal o bot peligroso en Telegram?
Promesas de dinero rápido, “soportes” que piden pagos en cripto, archivos adjuntos o enlaces acortados, supuestos “verificadores” de cuentas y tiendas que desaparecen y reaparecen con nombres casi idénticos.
¿A dónde se están moviendo algunas comunidades cuando Telegram se vuelve inestable?
Según los casos documentados, algunas migran a mensajerías alternativas como SimpleX y otras recomiendan usar herramientas propias para no depender de cierres repentinos y evitar perder contactos.
