Cuando WhatsApp anunció su controvertida actualización de políticas de privacidad en enero de 2021, millones de usuarios buscaron alternativas más seguras. Telegram se convirtió rápidamente en la opción favorita, gracias a su enfoque en la privacidad, su cifrado y la posibilidad de crear grupos masivos sin necesidad de compartir información personal.
Pero este mismo atractivo no pasó desapercibido para los ciberdelincuentes. Pronto, la plataforma se transformó en un punto clave dentro del ecosistema de la Dark Web, donde actores maliciosos encontraron el espacio perfecto para operar con cierto grado de anonimato.
Grupos de hackers, mercados clandestinos y redes de ransomware comenzaron a usar Telegram para distribuir datos robados, vender herramientas de hacking y coordinar operaciones ilícitas. Durante mucho tiempo, la falta de una moderación estricta permitió que estas comunidades crecieran sin demasiados obstáculos, convirtiendo la app en una extensión de los foros de la Dark Web. Aunque en los últimos años la plataforma ha tomado medidas para frenar estos usos, sigue siendo un espacio clave en el mundo del cibercrimen.
¿Qué pasa en los canales de Telegram más oscuros?
Telegram se ha convertido en una herramienta clave para los ciberdelincuentes gracias a sus grupos masivos, funciones de cifrado y anonimato. Muchos de estos canales funcionan casi como foros de la Dark Web, facilitando el intercambio de datos robados, herramientas de hacking y todo tipo de servicios ilegales.
Dentro de estos grupos, se pueden encontrar actividades como:
- Venta de datos robados, desde credenciales y tarjetas de crédito hasta bases de datos completas de empresas.
- Distribución de malware, ransomware y herramientas de hacking listas para usar.
- Coordinación de ataques DDoS y campañas de hacktivismo dirigidas a gobiernos, bancos y grandes corporaciones.
- Discusión sobre vulnerabilidades de seguridad, identificación de posibles objetivos y filtración de información sensible.
- Uso de grupos privados exclusivos donde miembros "de confianza" intercambian servicios y datos aún más delicados.
- Implementación de bots automatizados para distribuir malware y robar credenciales sin intervención humana.
- Servicios de hacking por encargo, como la intrusión en sistemas, la filtración de datos o el defacement de sitios web.
A pesar de todo esto, Telegram es solo una pieza dentro del ecosistema de la Dark Web. Los actores maliciosos utilizan múltiples plataformas para coordinarse, vender información y lanzar ciberataques. Por eso, las empresas y organizaciones deben estar atentas a estas redes subterráneas, ya que una filtración de datos o un fraude financiero pueden comenzar con una simple conversación en Telegram.
Conoce más sobre: Descubriendo los canales en Telegram de la Dark Web
1. vx-underground: El archivo definitivo de malware
vx-underground es un nombre bien conocido en la comunidad de ciberseguridad. Se trata de una plataforma que recopila una enorme colección de muestras de malware, artículos de investigación y análisis de amenazas, convirtiéndose en un recurso clave para investigadores y entusiastas del hacking.
Desde su creación en 2019, vx-underground ha ganado reconocimiento por albergar uno de los repositorios de malware más grandes en línea. Su actividad no se limita solo a Telegram, también operan en Twitter y en su propio sitio web, donde publican información sobre nuevas brechas de seguridad, tendencias de malware y reportes de amenazas verificadas.
En su canal de Telegram, con más de 43,000 suscriptores, se pueden encontrar desde informes técnicos hasta códigos fuente de malware y análisis de violaciones de datos. Aunque vx-underground no es un grupo cibercriminal en sí mismo, su contenido es altamente técnico y puede servir tanto para educar a expertos en seguridad como para inspirar a actores maliciosos.
2. Moon Cloud: El mercado negro de credenciales robadas
Moon Cloud es un canal de Telegram especializado en la distribución de credenciales robadas. Con 20,000 miembros, esta comunidad se dedica a compartir bases de datos comprometidas que incluyen usuarios, contraseñas, direcciones de correo electrónico, IPs y más.
En su biografía, se describen como "la nube más grande y versátil de Telegram", donde se publican registros extraídos de otros canales de cibercrimen para que los usuarios accedan fácilmente a ellos. Su oferta se basa en un modelo mixto, con servicios gratuitos y pagos, y prometen agregar más de 2,000 registros nuevos cada día, recopilados de diversas fuentes, incluyendo malware especializado como LummaC2 y Stealc.
Moon Cloud es un claro ejemplo de cómo los ciberdelincuentes han convertido Telegram en un hub para la compraventa de datos robados, lo que representa un gran riesgo para individuos y empresas, ya que estas credenciales pueden ser utilizadas en ataques de apropiación de cuentas, fraudes financieros y accesos no autorizados.
3. NoName057(16): Hacktivismo prorruso y ataques DDoS
NoName057(16) es un grupo de hackers prorrusos que surgió en marzo de 2022, en medio del conflicto entre Rusia y Ucrania. Se han hecho conocidos por sus campañas de ataques DDoS dirigidas contra Ucrania, países de la OTAN y aliados del gobierno ucraniano.
El grupo opera varios canales de Telegram, siendo el más importante el Proyecto DDoSia, donde reclutan voluntarios para ejecutar ataques DDoS coordinados. A cambio, los participantes reciben recompensas en criptomonedas, lo que incentiva la participación en estas ofensivas cibernéticas.
A pesar de que Telegram cerró su canal principal recientemente, debido a cambios en las políticas de la plataforma, el grupo logró reorganizarse y recuperar más de 1,900 suscriptores en poco tiempo, aunque en su mejor momento contaban con más de 30,000 miembros.
NoName057(16) es un ejemplo claro de cómo Telegram sigue siendo una herramienta clave para grupos hacktivistas y operaciones cibernéticas con motivaciones políticas, aprovechando el anonimato y la facilidad de comunicación que ofrece la plataforma.
4. RipperSec: Hacktivismo pro-palestino y ciberataques
RipperSec es un grupo de hackers pro-palestino de Malasia que apareció en Telegram en junio de 2023. Con más de 5,100 suscriptores, este grupo se ha centrado en atacar a Israel y sus aliados, además de colaborar con actores de amenazas prorrusos.
Aunque su especialidad son los ataques DDoS, también han llevado a cabo desfiguraciones de sitios web e intrusiones en sistemas SCADA (infraestructura industrial). Todo esto con el objetivo de generar disrupción y amplificar su mensaje político.
Una de sus aportaciones más conocidas es MegaMedusa, una herramienta de DDoS de capa 7 basada en NodeJS. Lo interesante de MegaMedusa es que permite lanzar ataques masivos sin necesidad de conocimientos avanzados, lo que la hace accesible para cualquier persona con intenciones maliciosas. Funciona en Debian, Ubuntu, Kali Linux, Termux y Windows, lo que la convierte en una opción popular dentro del mundo del hacktivismo.
Podría interesarte leer: Monitoreo Darkweb: Protección Esencial para Empresas
5. Observer Cloud: El "Google Drive" de credenciales robadas
Observer Cloud es un canal de Telegram con más de 12,700 suscriptores que se dedica a recopilar y volver a publicar credenciales filtradas de diversas fuentes. Desde su lanzamiento en abril de 2022, se ha convertido en un punto de acceso centralizado para datos robados, funcionando casi como una especie de Google Drive del cibercrimen.
Además de compartir registros filtrados, el canal también ofrece programas personalizados, listas de estafadores y grupos de debate, donde los miembros pueden intercambiar información y realizar transacciones relacionadas con las bases de datos comprometidas.
Para cubrirse legalmente, en su biografía afirman que todo lo que comparten proviene de fuentes abiertas de internet y que su objetivo es educativo. Sin embargo, en la práctica, Observer Cloud es un nodo clave dentro del ecosistema de la Dark Web en Telegram, facilitando el acceso a datos robados de miles de personas.
6. Omega Cloud: El mercado de credenciales en tiempo real
Omega Cloud es otro canal de distribución de registros en Telegram, pero con un enfoque aún más sofisticado. Con más de 6,200 suscriptores, esta plataforma ofrece tanto servicios gratuitos como de pago, permitiendo acceder a credenciales robadas en tiempo real.
Su catálogo incluye información obtenida mediante malware ladrón, como contraseñas y accesos de Google Ads, YouTube y otros servicios populares. Sus operaciones tienen un alcance global, pero se centran en Estados Unidos, Canadá, Europa y Brasil. Omega Cloud maneja dos tipos de servicios:
- Live Traffic: entrega registros en tiempo real, apenas son robados.
- Private Cloud: permite acceder a hasta 5,000 registros diarios, sumando un total de 120,000 registros al mes.
Actualmente, el canal afirma tener una base de datos con más de 2,000 millones de registros disponibles a través de un modelo de suscripción, lo que lo convierte en una de las fuentes más activas para la compraventa de credenciales robadas.
7. Data Leak Monitoring: Un radar para filtraciones y ciberataques
Este canal de Telegram se especializa en rastrear filtraciones de datos y actividades cibercriminales, especialmente las que provienen de grupos de ransomware y foros clandestinos. Con más de 23,400 suscriptores, funciona como un centro de noticias sobre violaciones de seguridad, donde se comparten actualizaciones sobre datos comprometidos y amenazas en curso.
En pocas palabras, es un espacio donde se recopila y difunde información sobre bases de datos robadas, credenciales filtradas y vulnerabilidades explotadas, convirtiéndose en un punto de referencia para quienes siguen de cerca el mundo del cibercrimen y la ciberseguridad.
Podría interesarte leer: ¿Están Tus Datos Personales Perdidos en los Abismos de la Dark Web?
8. BidenCash CVV [ANTIPÚBLICO]: Un mercado de tarjetas robadas en Telegram
BidenCash es un conocido mercado negro de la Dark Web donde se compran y venden datos de tarjetas de crédito robadas. Para hacer crecer su negocio, han creado un canal en Telegram llamado BidenCash CVV [ANTIPÚBLICO], donde publican en tiempo real información sobre tarjetas comprometidas detectadas en foros de hackers, Telegram y Discord.
Algunas publicaciones incluso muestran números de tarjeta y otros detalles financieros, lo que deja claro el nivel de exposición de estos datos en la red. BidenCash también afirma imponer sanciones a los vendedores que publican la misma información en fuentes abiertas, asegurando así que su mercado mantenga la "exclusividad".
Este canal es un ejemplo de cómo los datos financieros robados circulan en la Dark Web y Telegram, reforzando el papel de la plataforma en la difusión y comercialización de información ilegal.
9. EMP/mailpass/sqli Chat: Un foro global de ciberdelincuencia
Este grupo comenzó en abril de 2019 como una comunidad en ruso, pero con el tiempo ha crecido hasta convertirse en un canal internacional donde se habla de violaciones de datos, fraude financiero y técnicas de hacking. Actualmente tiene más de 5,600 miembros activos.
A diferencia de otros grupos más especializados, EMP/mailpass/sqli Chat abarca una gran variedad de temas, incluyendo:
- Venta de cuentas robadas de servicios de streaming, redes sociales y VPNs.
- Técnicas de inyección SQL para extraer bases de datos de sitios web vulnerables.
- Intercambio de credenciales filtradas obtenidas de malware o brechas de seguridad.
- Venta de bases de datos privadas con información sensible a cambio de dinero.
Este canal funciona como un punto de encuentro entre compradores y vendedores del mundo del cibercrimen, donde los miembros intercambian información, aprenden nuevas técnicas y comercializan datos robados.
10. Dark Storm Team: Hacktivismo y ciberataques a gran escala
Dark Storm Team es un grupo de hackers prorrusos y pro-palestinos conocido por sus ciberataques contra países como Israel, Francia, Egipto, Dinamarca, Emiratos Árabes y EE.UU.. Han trabajado en conjunto con otros actores como Anonymous Sudan, llevando a cabo campañas de ataques DDoS y hackeos estratégicos.
Su principal enfoque es el hacktivismo, atacando objetivos según sus intereses políticos, pero también ofrecen servicios de hacking por encargo, incluyendo:
- Ataques DDoS contra sitios web de alto perfil.
- Filtración de bases de datos de bancos, aeropuertos y otras organizaciones.
- Venta de información robada a través de pagos en criptomonedas.
A pesar de que Telegram ha cerrado sus canales en más de una ocasión por incumplir las normas de la plataforma, Dark Storm Team siempre logra restablecer su presencia y seguir operando. Su caso demuestra cómo los grupos cibercriminales se adaptan y evolucionan, utilizando Telegram como una herramienta clave para coordinar y ejecutar ataques.
Podría interesarte leer: ¿Está tu Empresa a Salvo en el Mundo Oscuro de la Darkweb?
Conclusión
Telegram se ha convertido en una extensión de la Dark Web, donde se comercializan datos robados, herramientas de hacking y servicios ilegales. Esto representa un riesgo creciente para empresas y usuarios, ya que las filtraciones de información pueden derivar en fraudes, ciberataques y suplantación de identidad.
Para prevenir estos riesgos, el monitoreo de la Dark Web se ha vuelto una herramienta clave. Esta estrategia permite detectar filtraciones, identificar amenazas y anticipar ataques antes de que causen daño.
El ciberpatrullaje de TecnetOne ayuda a las empresas a mantenerse un paso adelante en ciberseguridad, monitoreando la Dark Web en tiempo real para detectar filtraciones de datos, amenazas y posibles ataques antes de que se conviertan en un problema. Con esta vigilancia proactiva, las organizaciones pueden proteger su información, reducir riesgos y fortalecer su defensa contra el cibercrimen.
