Los Mejores Canales de Telegram de Stealer Log
Adrian León 06/05/2025 Ciberseguridad, Ciberpatrullaje, Ciberataque
8 Minutos

Telegram, que para muchos es solo una app de mensajería más, se ha convertido en una de las herramientas favoritas de los ciberdelincuentes para mover y vender información robada. ¿Cómo lo hacen? Básicamente, usan malware que se mete en computadoras y teléfonos, roba cosas como contraseñas, cookies, monederos de criptomonedas y otros datos sensibles… y luego lo empaquetan todo en archivos llamados logs. ¿Y adivina dónde los comparten o venden? Exacto: en Telegram.

Esta plataforma les facilita mucho el trabajo por dos razones principales. Por un lado, los hackers configuran bots que reciben automáticamente toda la información robada de los dispositivos infectados. Por otro, usan grupos y canales dentro de Telegram como escaparates donde anuncian, intercambian o venden esos datos, en comunidades que operan al margen de la ley.

En este artículo te vamos a contar cómo funciona todo ese mundo oculto dentro de Telegram: desde el uso de bots automáticos y los canales donde circulan estos datos robados, hasta cómo se monetizan, cómo los investigadores de ciberseguridad los rastrean y qué ha hecho Telegram (si es que ha hecho algo) para frenar estos abusos.

 

¿Qué son las “nubes de registros” en Telegram?

 

Las famosas nubes de registros en Telegram no son otra cosa que canales creados específicamente para compartir o vender montones de credenciales robadas por malware tipo stealer. A diferencia de los mercados oscuros de la dark web, que requieren navegadores especiales como Tor, estos canales son sorprendentemente accesibles: con solo un enlace o una búsqueda rápida ya puedes encontrarlos.

Lo curioso es que muchos de estos canales funcionan como si fueran un servicio en la nube tipo SaaS. Te muestran algunas credenciales de muestra (como gancho) para que veas que lo que ofrecen es real, y luego te invitan a pagar por suscripciones que dan acceso a registros más recientes y valiosos. Todo esto, claro, pagado en criptomonedas. Y para hacerlo aún más sencillo, algunos incluso usan bots de Telegram que automatizan todo: pagos, acceso y entrega de los datos.

Telegram ha intentado controlar un poco esta movida, sobre todo desde que el tema se hizo más mediático en 2024, pero la verdad es que estos grupos siguen activos. Cambian de nombre todo el tiempo, crean cuentas espejo y montan canales de respaldo para evitar que los cierren. Todo esto los hace muy difíciles de rastrear, así que los equipos de ciberseguridad tienen que estar constantemente encima de ellos.

Más abajo te mostramos un análisis de cinco de estos canales que han sido clave para entender cómo funciona este ecosistema tan turbio dentro de Telegram.

 

¿Qué hace tan especiales a estos canales de registros en Telegram?

 

Los canales donde se comparten stealer logs en Telegram tienen una forma de operar que los hace bastante distintos de los foros ocultos de toda la vida. Entender cómo funcionan nos ayuda a ver por qué se han convertido en el centro de operaciones para muchos ciberdelincuentes que comercian con datos robados. Estas son algunas de sus características más llamativas:

 

  1. Súper fáciles de usar: No necesitas ser un hacker ni tener un navegador especial como Tor. Con solo tener Telegram y encontrar el enlace correcto (o buscar una palabra clave), ya estás dentro. Así de simple.

  2. Cantidad bestial de datos: Hablamos de cientos de miles de registros robados que pasan por estos canales. En muchos casos, el volumen supera por mucho lo que se ve en los típicos mercados de la dark web.

  3. Modelo de negocio claro: Funcionan como si fueran un servicio premium. Muestran algunas credenciales gratis para enganchar a la gente, pero si quieres acceder a lo “bueno”, toca pagar. Y claro, todo se paga en cripto.

  4. Todo automatizado: Muchos de estos canales usan bots de Telegram para gestionar las ventas y entregar los datos de forma automática. Eso les ahorra trabajo y acelera todo el proceso.

  5. Tipo de datos que manejan: No es solo Facebook o Gmail. Suelen incluir accesos a herramientas de empresas, VPNs, escritorios remotos (RDP), banca online, redes sociales y hasta servicios internos de compañías.

 

En resumen, estos canales son rápidos, fáciles de usar, muy rentables y casi imposibles de frenar por completo. Su combinación de simplicidad, automatización y beneficios económicos los convierte en el lugar ideal para que los delincuentes sigan haciendo negocio… a pesar de que cada vez hay más ojos encima de ellos.

 

Podría interesarte leer: Descubriendo los canales en Telegram de la Dark Web

 

Canales de Telegram que mueven el negocio de los datos robados

 

Entre 2023 y 2025, varios canales de Telegram se volvieron bastante famosos (o más bien, infames) por su papel clave en el tráfico de credenciales robadas. A continuación, te contamos sobre los más conocidos:

 

1. Moon Cloud (Nube de Luna)

 

Moon Cloud es básicamente un canal de alto tráfico que se dedica a mover credenciales robadas con malware tipo stealer. Pero lo que lo hace diferente es que no se limita a compartir los datos que consigue directamente: también recopila y vuelve a publicar información robada que circula por otros canales y campañas de malware automatizadas. En otras palabras, actúa como una especie de “central de datos robados”.

Los mismos administradores lo presentan como un “recurso completo” donde puedes encontrar prácticamente todo lo que anda dando vueltas en Telegram en cuanto a logs. Con actualizaciones casi diarias y precios que dicen ser “competitivos”, Moon Cloud está claramente pensado para ciberdelincuentes que buscan grandes cantidades de datos sin complicarse demasiado.

Funciona con una estructura mixta: algunos datos se comparten de forma abierta para atraer usuarios, pero el contenido más jugoso solo está disponible para quienes pagan. Esa combinación entre contenido gratuito y acceso premium ha hecho que Moon Cloud se mantenga muy presente en el negocio de los logs, incluso cuando Telegram intenta tomar medidas para cerrar este tipo de canales.

Lo que lo define: canal agregador, modelo freemium (gratis + pago), recopila información de muchos otros canales y de distintas familias de malware tipo stealer.

 

moon-cloud-telegram

 

2. Observer Cloud (Nube de Observadores)

 

Observer Cloud es otro canal bastante veterano en esto de compartir credenciales robadas, aunque con un estilo algo diferente. Aquí el enfoque es más abierto: publican logs sin cobrar nada y, al menos en apariencia, dicen que lo hacen con fines educativos (aunque ya sabemos que eso es más excusa que otra cosa).

Una de las cosas que llama la atención es que etiquetan los registros según la familia de malware de donde vienen, como Lumma o RedLine. Esto les sirve para organizar el contenido sin meterse demasiado en problemas de atribución.

Además de las credenciales, a veces comparten herramientas súper básicas para revisar, filtrar o buscar dentro de los registros. También incluyen algunos scripts simples que les vienen bien a los que están empezando en este “negocio” o a los revendedores de datos que no tienen tantos recursos.

Aunque no es tan sofisticado ni automatizado como otros canales más “profesionales”, Observer Cloud destaca por su constancia, su accesibilidad y su papel como punto de entrada para muchos actores de menor nivel en el mundo del cibercrimen.

Lo que lo define: acceso libre, etiquetado por tipo de malware, herramientas ligeras, publicaciones frecuentes y sin complicaciones.

 

observer-cloud-telegram

 

3. Daisy Cloud (Nube de Margaritas)

 

Daisy Cloud es uno de esos canales veteranos en el mundo de los stealer logs, dando vueltas en Telegram desde 2021. Se vende como una fuente “confiable” de credenciales frescas robadas, con actualizaciones diarias sacadas directamente de nuevas infecciones por malware. La mayoría de los datos que comparten vienen de malware conocidos como RedLine, y suelen incluir accesos a cuentas bancarias, billeteras cripto, correos personales y hasta cuentas empresariales.

Funciona con un sistema clásico de acceso por niveles: algunos datos se comparten gratis como gancho, pero si quieres ver el contenido más valioso tienes que pagar. En algunas versiones del canal, incluso tienen bots de Telegram que se encargan automáticamente de entregar la información y de hablar con los usuarios. Todo muy práctico (y muy turbio).

Pese a los esfuerzos de Telegram por frenar este tipo de grupos, Daisy Cloud ha sabido mantenerse activa cambiando de nombre o clonando su canal. Gracias a sus actualizaciones diarias y a la promesa de ofrecer datos "directos de la fuente", ha logrado ganarse una reputación bastante sólida dentro de este mundo oscuro.

Lo que lo define: canal bien organizado, sistema freemium, uso de bots, fuente directa de registros y bastante perseverante frente a los bloqueos.

 

daisy-cloud-telegram

 

4. ALIEN TXTBASE (El canal extraterrestre)

 

Este canal pegó fuerte cuando liberó un archivo masivo con lo que supuestamente eran 23 mil millones de registros robados. Sí, leíste bien. Esa bomba de datos fue tan grande que incluso el investigador de seguridad Troy Hunt la incluyó en Have I Been Pwned. Se decía que el volcado incluía datos de más de 744 archivos diferentes, afectando a unos 284 millones de correos electrónicos únicos.

La mayoría de esos registros seguían el formato clásico URL:usuario:contraseña, y provenían de malware como RedLine y Raccoon. Pero ojo: aunque el número era impresionante, varios análisis mostraron que la lista era una mezcla de cosas viejas, datos reciclados e incluso algunas credenciales falsas. Había muchos correos no válidos y coincidencias con filtraciones anteriores, lo que indica que el volcado era más marketing que novedad real.

¿La jugada? Publicaron este archivo gigante de forma gratuita para hacerse notar, ganar reputación y luego vender otros paquetes más exclusivos de forma privada. Es una estrategia bastante común: regalan algo impactante para generar ruido y luego monetizan en segundo plano.

Aun así, entre todo eso había credenciales reales. Y eso es lo peligroso. Porque aunque muchos datos estén desactualizados, los atacantes pueden usarlos para probar si alguien sigue usando la misma contraseña en otros servicios. Por lo tanto, incluso algo exagerado como esto puede continuar siendo un riesgo auténtico.

Lo que lo define: filtración masiva gratuita, mezcla de datos reales y falsos, estrategia de autopromoción, riesgo persistente por reutilización de contraseñas.

 

alien-telegram

 

5. LOG SYNC (Sincronización de Registros)

 

LOG SYNC es otro canal que mezcla lo gratuito con lo premium. Publica credenciales robadas tanto propias como de otros usuarios que colaboran, y a veces ofrece registros “de pago” como acceso libre solo para atraer más gente.

Tiene un tono relajado, casi como si fuera un canal de comunidad más, y actualiza con cierta frecuencia. También promueve el contacto directo por mensaje privado para resolver dudas o dar acceso especial, lo que da pistas de que funciona con una mezcla entre contenido público y transacciones privadas.

Es decir, buscan atraer con contenido gratuito, generar reputación y cerrar ventas por privado con quienes estén más interesados.

Lo que lo define: canal híbrido, mezcla de registros propios y de comunidad, acceso abierto a contenido premium, trato directo con usuarios.

 

log-sync-telegram

 

Podría interesarte leer: Los 10 Mejores Navegadores para Navegar en la Dark Web

 

¿Cómo se les da seguimiento a estos canales de registros en Telegram?

 

Echarle un vistazo a los canales de Telegram donde se comparten credenciales robadas no es tan fácil como parece. Aunque entrar a estos canales es relativamente sencillo, el problema es que son súper inestables: un día están y al siguiente ya cambiaron de nombre, se volvieron privados o simplemente desaparecieron. Por eso, los expertos en ciberseguridad tienen que ponerse creativos y usar varias tácticas para seguirles el rastro. Acá te contamos cómo lo hacen:

 

1. Analizar los bots: Una forma muy útil es revisar los tokens de bots que vienen incrustados en los programas maliciosos. Muchos de estos malware envían automáticamente la información robada a un bot en Telegram. Si los investigadores logran sacar ese token, pueden monitorear en tiempo real los datos que están siendo robados. Es como colarse en el sistema del atacante y ver todo lo que está pasando.

2. Monitorear sin intervenir: Otra estrategia es unirse a los canales (públicos o semi cerrados) y solo observar. Los analistas ven qué tipo de información se comparte, si cambian los nombres de los canales, si los administradores están activos, y si hay contenido reenviado desde otros grupos. Algunos equipos incluso usan bots o herramientas que guardan automáticamente los mensajes para revisarlos después con más calma.

3. Mezclar lo que pasa en Telegram con datos públicos (OSINT): Cuando se combina lo que se ve en Telegram con información pública disponible en internet, los investigadores pueden atar cabos. Por ejemplo, pueden descubrir que un mismo usuario usa el mismo alias en foros clandestinos, en billeteras de criptomonedas o en otros canales. Esto ayuda a identificar quién está detrás de ciertas campañas o qué tan grande es su operación.

4. Infiltrarse como si fueran compradores: Sí, también aplican la de “hacerse pasar”. Algunos analistas se meten a los canales fingiendo ser clientes para ver cómo operan por dentro, qué datos manejan o incluso identificar la infraestructura que usan. Aunque es arriesgado, a veces da resultados súper valiosos.

5. Rastrear canales clonados: Cuando Telegram detecta y cierra uno de estos canales, los atacantes no se rinden: simplemente crean otro con un nombre parecido. Así que una parte clave del trabajo es identificar estos clones para no perder el hilo y seguir vigilando sus movimientos.

6. Observar en varias plataformas, no solo en Telegram: Muchos de estos criminales digitales no se limitan a Telegram. También están activos en foros de la dark web o en sitios como BreachForums. Ver cómo se comportan en todos esos espacios ayuda a entender mejor cómo trabajan y, a veces, incluso conectar perfiles entre distintas plataformas.

 

En pocas palabras…

 

Aunque los canales de Telegram donde se rola información robada son difíciles de controlar, hay formas de vigilarlos. Ya sea analizando bots, infiltrándose, o comparando datos entre plataformas, los equipos de ciberseguridad pueden detectar amenazas a tiempo y ayudar a prevenir problemas más graves.

Tag:

Ciberseguridad Ciberpatrullaje Ciberataque

Ataques a Salesforce: Hackers Atacan Cuentas con Ingeniería Social

Artículo Anterior
  • No hay sugerencias porque el campo de búsqueda está vacío.

Categorías

Artículos más leídos

Gustavo Sánchez 05/23/2023 Ciberseguridad, Riesgos informaticos, Ciberpatrullaje
Descubriendo los canales en Telegram de la Dark Web
Alexander Chapellin 02/26/2025 Ciberseguridad, Riesgos informaticos, Ciberpatrullaje, Malware, Ciberataque
10 Principales Grupos y Canales de Telegram en la Dark Web
Gustavo Sánchez 04/01/2024 Microsoft Office 365, Microsoft, CoPilot
Guía para Activar y Usar Copilot en Word Eficazmente
Alexander Chapellin 03/27/2024 Ciberseguridad, Riesgos informaticos
Top 5 de Foros Rusos en la Dark Web

Artículos Relacionados

Ciberseguridad, Ciberataque
Adriana Aguilar 06/04/2025

Ataques a Salesforce: Hackers Atacan Cuentas con Ingeniería Social

Google ha detectado que un grupo de hackers, que se hacen pasar por los conocidos extorsionadores

Leer más
Ciberseguridad, Riesgos informaticos, Malware, Ciberataque
Zoilijee Quero 06/03/2025

Sitios Falsos de DocuSign y GitCode Utilizados para Propagar Malware

Expertos en ciberseguridad están encendiendo las alarmas sobre una nueva campaña maliciosa que está

Leer más
Ciberseguridad, Riesgos informaticos, Malware, Ciberataque
Adan Cuevas 06/03/2025

Malware Crocodrilus Crea Contactos Falsos para Engañar por Teléfono

La nueva versión del malware para Android Crocodilus viene con una táctica bastante astuta: ahora

Leer más
Bottom Banner

Reduce los costos de TI y eleva la productividad de tu empresa con TecnetOne

Si te interesa implementar soluciones en la nube en tu empresa, te invitamos a que nos contactes.

Quiero saber más