- Telegram alcanza un récord de moderación con picos de hasta 500.000 cierres diarios de canales y grupos.
- A pesar del esfuerzo, alrededor del 20% de los canales bloqueados sigue vinculado a carding, venta de datos y servicios de hacking.
- La plataforma continúa siendo el principal foco de actividad criminal, con cerca de 3 millones de enlaces de invitación en entornos clandestinos.
- Expertos piden a empresas y SOC tratar Telegram como un entorno crítico de amenazas y no confiar solo en la moderación interna.
Telegram se ha convertido en uno de los escenarios más tensos del Internet actual: por un lado, exhibe un récord de moderación y cierres de canales, y por otro sigue siendo el lugar favorito de los ciberdelincuentes para operar. Esta paradoja está llamando especialmente la atención en España y Europa, donde la aplicación vive bajo una fuerte presión regulatoria y un escrutinio constante por parte de autoridades y expertos en ciberseguridad.
En los últimos meses, la plataforma de mensajería ha pasado de ser vista como un entorno relativamente permisivo a un campo de batalla entre reguladores, empresa y redes criminales. Pese a la ofensiva de moderación sin precedentes, los delincuentes digitales no solo no abandonan Telegram, sino que se adaptan a un ritmo que complica seriamente su erradicación.
Un récord de moderación sin precedentes en Telegram
Los últimos análisis de firmas especializadas, como Check Point Software, señalan que Telegram ha alcanzado niveles históricos de eliminación de canales y grupos. Durante 2025, la plataforma cerró más de 43,5 millones de espacios, una cifra que refleja un cambio de rumbo radical respecto a años anteriores.
Ese esfuerzo se ha intensificado todavía más: en 2026 se han registrado jornadas en las que Telegram ha superado los 500.000 cierres diarios de canales, un salto descomunal si se compara con los aproximadamente 10.000 cierres al día que eran habituales en el pasado. La compañía ha desplegado sistemas de automatización y mecanismos de cumplimiento que, sobre el papel, elevan la presión sobre los grupos ilegales.
Este giro llega en un contexto especialmente delicado. Tras el arresto de Pavel Durov, CEO y fundador de Telegram, a finales de 2024, la empresa se ha visto empujada a aumentar la transparencia y endurecer la moderación. A ello se suma la creciente fricción con autoridades europeas y, en particular, con el Gobierno español, muy crítico con el papel de la plataforma en la difusión de contenidos ilícitos y desinformación.
El propio Durov llegó a dirigirse directamente a los usuarios a principios de año para advertir de que ciertas iniciativas regulatorias sobre redes sociales podían derivar, según su visión, en una especie de “estado de vigilancia” permanente. Ese choque político y legal contrasta con la realidad técnica: Telegram, guste más o menos, está cerrando canales a un ritmo nunca visto.
España y Europa: foco regulatorio y auge del fraude
En el contexto español y europeo, Telegram no solo preocupa por los contenidos que circulan, sino también por su peso en el auge de las estafas y delitos financieros. En España, diferentes análisis han situado a la aplicación a la cabeza de los canales utilizados para fraudes digitales, con una cuota relevante de los incidentes detectados en el país.
Informes recientes han apuntado que, en 2025, Telegram concentró en torno al 22% de ciertas categorías de estafas registradas en España, lo que la situó por delante de otras plataformas habituales. La combinación de cifrado, anonimato relativo y facilidad para crear grupos y canales masivos favorece que los delincuentes se sientan cómodos operando en este entorno.
Las autoridades y los equipos de ciberseguridad europeos observan con preocupación cómo la aplicación, pese a los intensos esfuerzos de moderación, sigue siendo considerada un activo crítico para la seguridad. No atender a lo que ocurre en Telegram, insisten los expertos, equivale a dejar una parte importante del mapa de amenazas en la penumbra.
Este escenario ha derivado en un pulso complejo: mientras gobiernos y reguladores reclaman más control y capacidad de actuación, la compañía intenta demostrar que está endureciendo sus políticas y procesos internos, sin renunciar a la imagen de refugio para la privacidad que la ha hecho tan popular entre millones de usuarios europeos.
La paradoja: más cierres, misma actividad criminal
El gran problema que revelan los últimos estudios es que los récords de moderación no se traducen en una reducción clara de la actividad ilícita. Según Check Point, cerca del 20% de los canales bloqueados en Telegram estaban relacionados con delitos que afectan directamente a empresas y usuarios, como el carding (fraude con tarjetas), la venta de datos personales o la oferta de servicios de hacking.
Lejos de desaparecer, estas comunidades se reorganizan en cuestión de horas. Las redes criminales operan ya con la idea de que los cierres son parte del día a día y han incorporado esa presión como un factor más de su modelo de negocio. El resultado es una especie de juego del gato y el ratón a gran escala, en el que la capacidad de adaptación de los atacantes compite con la automatización de los sistemas de moderación.
Los expertos señalan que el ecosistema delictivo dentro de Telegram ha asumido que siempre habrá canales que caigan, por lo que funciona con redundancia, estructuras distribuidas y canales alternativos listos para activarse. El aumento de la moderación ha generado fricción, sí, pero no ha conseguido desarticular de manera significativa las infraestructuras criminales que usan la plataforma.
La propia firma de ciberseguridad advierte de que esta situación crea “puntos ciegos críticos” si las empresas y los equipos de seguridad no incorporan Telegram a sus procesos habituales de análisis y detección de amenazas. Ignorar lo que ocurre en la app abre una ventana de oportunidad que los atacantes están aprovechando sin demasiados obstáculos.
Telegram, centro neurálgico de los ciberdelincuentes
Si la ofensiva de moderación estuviera siendo realmente efectiva a la hora de expulsar a los delincuentes, cabría esperar una migración masiva hacia otras plataformas. Sin embargo, los datos no reflejan ese movimiento. Telegram sigue siendo el epicentro de buena parte de la actividad criminal organizada en el canal de mensajería.
El último trimestre analizado por Check Point evidencia esta concentración: se han contabilizado cerca de 3 millones de enlaces de invitación a grupos y canales de Telegram compartidos en foros y espacios clandestinos. Frente a esa cifra, Discord apenas representa menos del 6% de esos enlaces y alternativas como Signal, SimpleX o Matrix muestran una presencia casi testimonial en este tipo de entornos.
Este dominio de Telegram como “plaza principal” del crimen digital se explica por varios factores: su enorme base de usuarios, la facilidad para compartir enlaces de acceso, el soporte para grandes comunidades y la percepción de que es una plataforma difícil de controlar por completo. Todo ello hace que, pese a golpes puntuales, los ciberdelincuentes prefieran adaptar sus métodos antes que mudarse a otros servicios.
Para los especialistas, esta realidad obliga a los equipos de seguridad corporativa y a los centros de operaciones de seguridad (SOC) a tratar Telegram como un entorno prioritario de monitorización. No se trata solo de una aplicación más, sino de uno de los lugares donde se preparan o facilitan muchos ataques dirigidos contra usuarios y empresas en Europa.
Cómo se adaptan las redes criminales a la moderación récord
El incremento de cierres y controles ha provocado que las redes criminales afinen sus tácticas. Lejos de operar a la vista de todos, muchos grupos han pasado a modelos más cerrados y sofisticados que buscan esquivar los sistemas automáticos de detección desplegados por la propia plataforma.
Una de las técnicas más habituales es el uso de la función “Request to Join”, que exige aprobación para entrar en determinados canales o grupos. Con este filtro, los administradores intentan bloquear la entrada de bots de moderación o perfiles sospechosos, reduciendo la visibilidad de sus actividades ante sistemas automáticos.
Otra maniobra extendida es la inclusión de avisos en las biografías de los canales, mencionando a la dirección de Telegram o haciendo referencia a políticas internas, como si se tratara de espacios que cumplen estrictamente las normas. Estos mensajes actúan como una capa de maquillaje para simular cumplimiento, aunque el contenido real pueda seguir vinculado a actividades ilícitas.
Además, muchos grupos disponen de canales de respaldo con audiencias precargadas, listos para activarse en cuanto uno principal es cerrado. Esta estrategia de redundancia permite que, tras un cierre masivo, la comunidad se reorganice en muy poco tiempo, manteniendo casi intacta su capacidad operativa y evitando la pérdida de seguidores clave.
En paralelo, se están consolidando estructuras de red distribuidas, con múltiples canales interconectados que reparten funciones (comunicación, venta, soporte, distribución de herramientas, etc.). Este diseño hace que derribar un canal tenga un impacto limitado sobre el conjunto de la infraestructura criminal, complicando seriamente las labores de desarticulación.
Implicaciones para empresas y equipos de ciberseguridad
Para las organizaciones europeas, el escenario que dibujan estos informes va más allá de una cuestión de moderación en redes sociales. La presencia constante de grupos dedicados al comercio de datos personales, carding y servicios de hacking convierte Telegram en un riesgo directo para la seguridad corporativa.
Los expertos insisten en que confiar únicamente en las políticas de cumplimiento de la propia plataforma es insuficiente. Aunque Telegram esté batiendo récords de cierres y presuma de mayor transparencia, las cifras muestran que una parte relevante de la actividad criminal sigue en marcha, adaptándose a la nueva realidad.
De ahí que se recomiende a empresas y administraciones públicas invertir en capacidades específicas de vigilancia de canales, análisis de enlaces de invitación y monitorización de amenazas que se gestan o coordinen a través de la aplicación. La gestión continua de la exposición y la inteligencia de amenazas se vuelven piezas clave para detectar movimientos sospechosos antes de que se concreten en ataques.
El mensaje de los analistas es claro: ignorar Telegram como entorno de riesgo puede traducirse en brechas de seguridad difíciles de detectar a tiempo. Tratar la plataforma como un componente más del perímetro digital —igual que el correo electrónico, la web o las redes corporativas— se ha vuelto, a estas alturas, una necesidad más que una recomendación.
Todo este contexto pone de relieve una realidad incómoda: a pesar del récord de moderación y el endurecimiento de controles, Telegram sigue siendo un punto de encuentro clave para los ciberdelincuentes. La combinación de una presión regulatoria creciente, una respuesta técnica cada vez más agresiva y una delincuencia digital muy adaptable dibuja un panorama complejo, en el que ni las plataformas ni las autoridades pueden bajar la guardia si quieren reducir realmente el peso del crimen organizado en el ecosistema de mensajería.
