Telegram, en otro tiempo ampliamente reconocido como una aplicación de mensajería centrada en la privacidad, se ha transformado silenciosamente en una de las plataformas operativas más poderosas utilizadas por los ciberdelincuentes en la actualidad.

Lo que antes ofrecían los foros de la dark web —anonimato, acceso exclusivo y un mercado para datos robados— Telegram ahora lo proporciona a un ritmo mucho más rápido, con un conocimiento técnico mucho menor para empezar.

Este cambio ha modificado fundamentalmente la forma en que los actores de amenazas se comunican, colaboran y coordinan ataques, convirtiendo la plataforma en una preocupación creciente para los equipos de seguridad corporativa de todo el mundo.

Durante años, mercados de la darknet basados en Tor, como Hydra Market y RaidForums, sirvieron como los principales puntos de encuentro del cibercrimen. Estas plataformas dependían de sistemas de reputación, mecanismos de custodia y puntos de entrada restringidos. Pero tenían un punto débil crítico: cuando las fuerzas del orden las cerraban, ecosistemas enteros colapsaban de la noche a la mañana, obligando a los delincuentes a reconstruir su infraestructura desde cero.

Telegram cambia por completo esa dinámica. Como los canales pueden recrearse en cuestión de minutos y las bases de suscriptores redirigirse mediante enlaces de reenvío, las operaciones criminales casi no sufren tiempos de inactividad significativos tras un cierre.

Investigadores de Cyfirma identificaron este cambio estructural en un análisis detallado publicado el 26 de febrero de 2026, señalando que Telegram ahora alberga una amplia gama de actividades delictivas: desde la distribución de registros de stealers y la intermediación de acceso inicial hasta suscripciones de Malware-as-a-Service, canales de filtración de ransomware y coordinación de hacktivistas.

La arquitectura híbrida de la plataforma, que combina canales públicos, chats grupales privados y bots automatizados, ha eliminado efectivamente las barreras tradicionales que antes definían la participación en el mundo del cibercrimen.

La magnitud de esta amenaza es difícil de ignorar. Los grupos de ransomware utilizan Telegram para humillar públicamente a sus víctimas, coordinar programas de afiliados y reclutar operadores cualificados.

Colectivos hacktivistas como NoName057(16) y el equipo Cyber Fattah lo usan para reivindicar ataques y difundir sus narrativas a una audiencia global.

Los operadores de malware gestionan el marketing, la atención al cliente y las actualizaciones de productos dentro de una misma plataforma, empaquetando herramientas delictivas de la misma manera que lo hacen las empresas de software legítimas.

Para las empresas, esto significa que las amenazas están mejor organizadas, se mueven más rápido y son cada vez más difíciles de rastrear con los métodos tradicionales de inteligencia en la dark web.

Intermediación de acceso inicial dirigida a redes corporativas

Una de las amenazas más directas para la seguridad empresarial es el papel de Telegram como mercado para el acceso no autorizado a redes corporativas.

Los Initial Access Brokers (IAB), o intermediarios de acceso inicial, utilizan canales dedicados para anunciar credenciales robadas y puntos de entrada verificados a portales VPN corporativos, sesiones de Protocolo de Escritorio Remoto (RDP) y plataformas en la nube como Azure, AWS y Okta.

Cada anuncio suele incluir los ingresos de la empresa objetivo, el país, el sector industrial y el nivel de privilegios, proporcionando a los compradores de ransomware toda la información necesaria para evaluar una compra antes de comprometerse.

Lo que hace especialmente peligroso este modelo es la verificación en tiempo real integrada en estas transacciones. Antes de finalizar un acuerdo, a menudo se exige a los vendedores que demuestren que su acceso es genuino.

Esto puede implicar compartir salidas de dominios de Active Directory, archivos de configuración o resultados de comandos en vivo desde sistemas comprometidos.

Este proceso de validación reduce el fraude entre las partes criminales y acorta significativamente el tiempo entre la primera intrusión y un ataque a gran escala.

Una vez comprado el acceso, los afiliados de ransomware pueden moverse lateralmente por la red, robar datos sensibles y desplegar cargas de cifrado, todo sin necesidad de llevar a cabo ellos mismos la brecha inicial.

Los bots de Telegram agilizan aún más estas transacciones al automatizar la verificación de credenciales, la confirmación de pagos y la validación de suscripciones.

Esto elimina el lento proceso de negociación que definía a los antiguos foros clandestinos y hace que la compra de acceso corporativo sea casi tan sencilla como cualquier transacción en línea rutinaria.

Para reducir la exposición a esta amenaza, las organizaciones deberían implementar autenticación multifactor resistente al phishing en todos los puntos de acceso VPN, RDP y en la nube.

El RDP no debería estar expuesto directamente a internet, y los principios de confianza cero deberían regir todo el acceso remoto. Los equipos de seguridad deben monitorear actividades de inicio de sesión inusuales, especialmente desde direcciones IP o regiones geográficas desconocidas, ya que esto puede ser señal de un uso temprano de credenciales robadas.

Los programas de inteligencia de amenazas deberían ampliar su cobertura más allá de la dark web tradicional para incluir canales de Telegram que anuncien activamente accesos corporativos.

Realizar auditorías periódicas de credenciales y eliminar rápidamente las cuentas no utilizadas también es esencial para reducir la superficie de ataque de la que dependen los Initial Access Brokers.