Telegram pierde atractivo para el cibercrimen: los operadores migran a canales alternativos

Introducción

Telegram, durante años estandarte de la comunicación cifrada y refugio predilecto para comunidades cibercriminales, está experimentando un éxodo significativo de actores maliciosos hacia otras plataformas. Un reciente informe elaborado por Kaspersky Digital Footprint Intelligence, que ha monitorizado más de 800 canales ilícitos bloqueados entre 2021 y 2024, revela una tendencia preocupante para los equipos de defensa: Telegram está dejando de ser el canal privilegiado para la organización y ejecución de actividades delictivas en la red, en favor de alternativas menos vigiladas y con menor visibilidad para las fuerzas del orden y proveedores de ciberseguridad.

Contexto del Incidente o Vulnerabilidad

Telegram se había consolidado como uno de los principales hubs para el cibercrimen debido a su cifrado, facilidad de uso y relativa tolerancia respecto a la moderación de contenidos. A partir de 2021, sin embargo, la presión regulatoria y la cooperación con las autoridades han propiciado el bloqueo sistemático de cientos de canales asociados con actividades ilícitas, desde la compraventa de credenciales y datos robados hasta la distribución de herramientas de hacking y ransomware-as-a-service (RaaS).

La intensificación de los mecanismos de reporte y la colaboración con terceros especializados en threat intelligence han hecho más hostil el entorno para los ciberdelincuentes, que buscan ahora refugio en plataformas menos expuestas, con menor escrutinio y, a menudo, con tecnologías de cifrado aún más opacas, como Tox, IRC privado, Discord, Matrix o foros en la dark web protegidos por autenticación multifactor.

Detalles Técnicos

El análisis de Kaspersky se centra en canales bloqueados que operaban, fundamentalmente, bajo los siguientes TTPs (Tactics, Techniques and Procedures) identificados en MITRE ATT&CK:

– TA0011 (Command and Control): Uso de Telegram como canal C2 para la exfiltración de datos y control remoto de payloads.
– TA0043 (Reconnaissance): Distribución de herramientas de hacking y guías para la recopilación de información sobre objetivos.
– TA0006 (Credential Access): Venta y distribución de credenciales robadas, tarjetas bancarias y acceso a RDP/VPN.

Indicadores de compromiso (IoC) comunes detectados en estos canales incluyen:
– Bots automatizados para la difusión de malware (ej.: bots de Python integrados con librerías como Telethon o Pyrogram).
– Publicación de exploits para vulnerabilidades recientes, como CVE-2023-23397 (Outlook), CVE-2022-30190 (Follina), o CVE-2023-4863 (Buffer Overflow en WebP).
– Ofertas de acceso a toolkits como Cobalt Strike, Metasploit Framework, y paneles de administración de botnets (Emotet, Trickbot).

Los canales afectados abarcaban desde grupos de compraventa (carding, venta de logs, cuentas premium) hasta foros de intercambio de técnicas de pentesting ofensivo y desarrollo de malware personalizado.

Impacto y Riesgos

La migración de los ciberdelincuentes hacia plataformas menos monitorizadas implica varios riesgos para los equipos de ciberdefensa:
– Reducción de la visibilidad y el tiempo de respuesta a incidentes, al perderse inteligencia accionable que antes era accesible en Telegram.
– Mayor sofisticación en la compartición de TTPs y exploits, gracias a la fragmentación en canales más selectivos y cerrados.
– Dificultad para rastrear y atribuir operaciones coordinadas, al diseminarse la actividad en redes descentralizadas y foros con autenticación robusta.

Según datos de Kaspersky, la tasa de detección temprana de operaciones maliciosas a través de Telegram ha caído un 37% desde 2022, mientras que la actividad en canales alternativos (especialmente Matrix y foros en la dark web) se ha incrementado en un 54%.

Medidas de Mitigación y Recomendaciones

Para los equipos de threat intelligence y SOC, la adaptación es imprescindible:
– Ampliar la monitorización a canales y foros alternativos, utilizando herramientas OSINT avanzadas y servicios de Digital Risk Protection.
– Fortalecer la colaboración con proveedores externos especializados en inteligencia sobre amenazas emergentes en la dark web y canales cifrados.
– Implementar alertas específicas para la detección de IoC relacionados con plataformas emergentes (por ejemplo, patrones de bots en Matrix o Discord).
– Actualizar la formación y concienciación del personal sobre nuevos vectores de ataque y plataformas utilizadas por los actores de amenazas.

Opinión de Expertos

Analistas de empresas de ciberseguridad como Group-IB y Recorded Future coinciden en que la persecución sistemática en Telegram ha provocado una “dispersión” del cibercrimen, dificultando la obtención de inteligencia de fuentes abiertas. Según Iñigo Merino, consultor de ciberinteligencia, “esta migración no reduce el riesgo, sino que obliga a un cambio de paradigma en la monitorización: ahora la inteligencia debe ser más proactiva y menos dependiente de canales públicos”.

Implicaciones para Empresas y Usuarios

Las organizaciones deben ser conscientes de que la reducción de actividad delictiva en Telegram no equivale a menor amenaza. La dispersión implica que las filtraciones de datos, la venta de accesos y la coordinación de campañas de ransomware pueden pasar más inadvertidas, dificultando la respuesta y la contención.

Para los usuarios, la proliferación de canales alternativos puede suponer un aumento del spear phishing y campañas dirigidas, ya que los actores maliciosos usan entornos más cerrados para perfilar víctimas y perfeccionar sus ataques.

Conclusiones

El éxodo de ciberdelincuentes de Telegram marca el inicio de una nueva etapa en la economía del cibercrimen, más fragmentada y difícil de monitorizar. Las empresas y los profesionales de la ciberseguridad deben adaptar sus estrategias de inteligencia y defensa, incorporando nuevas fuentes y metodologías para anticipar y mitigar amenazas en un ecosistema cada vez más complejo y opaco.

(Fuente: www.cybersecuritynews.es)