¿Instalaste un nuevo paquete de emojis? Ahora podrías ser cómplice de ciberataques y estar siendo usado para ocultar cibercrímenes millonarios
Allí donde otros solo ven emojis, los hackers los interpretan como instrucciones.
Telegram hace tiempo dejó de ser solo una plataforma para comunicación, sino también una herramienta que los participantes de comunidades cibercriminales utilizan cada vez más, y ahora este fenómeno obtuvo una continuación inesperada: en forma de paquetes de emojis. Los especialistas de DarkTower detectaron que actores maliciosos crean paquetes de emojis con los logotipos de las empresas que planean atacar. Estos paquetes no solo sirven como método de comunicación codificada dentro de las comunidades delictivas, sino que también ayudan a ocultar rastros frente a los analistas que monitorean los chats.
Normalmente los emojis los crean los usuarios para personalizar la comunicación: tanto imágenes estáticas como animadas pueden reflejar los intereses o el estado de ánimo del interlocutor. Los suscriptores de Telegram Premium tienen acceso a paquetes exclusivos, y quien lo desee puede crear y subir los suyos propios. Pero precisamente este sistema abierto se convirtió en una vulnerabilidad: los delincuentes comprendieron que podían usar emojis personalizados como herramienta para ocultar los nombres de las empresas víctimas.
El esquema es sencillo. Supongamos que los miembros de una agrupación discuten el hackeo de un banco concreto y no quieren que su nombre aparezca en los textos del chat. Entonces uno de ellos crea un paquete de emojis que contiene el logotipo del banco objetivo y se lo envía a sus cómplices. Cuando hablan y planean el delito, basta con enviar emoji en lugar de la palabra. La búsqueda por el nombre de la empresa ya no mostrará su correspondencia: para los sistemas automatizados y los analistas seguirá siendo «limpia».
Según DarkTower, así actuaron 2 atacantes bajo los alias Jack y Jill, que preparaban un esquema para robar registros bancarios y posteriormente retirar fondos en cajeros automáticos. Para atraer más participantes, uno de ellos lanzó un paquete de emojis con el logotipo del banco y el segundo se suscribió a él mediante Telegram Premium. Al final, ambos pudieron reclutar cómplices sin mencionar el nombre de la entidad crediticia en abierto.
Al 20 de septiembre de 2025, los especialistas registraron 4 paquetes similares con los logotipos de organizaciones financieras.
El primero se llamaba NOFACEOPENUP, y su autor es el usuario @KURASAOCAP. En su perfil indica que se dedica al diseño gráfico y motion. Esa misma persona posee otras cuentas: @vsekartiny y @ralphlaur. Todas las páginas están diseñadas con un estilo visual parecido, lo que sugiere pertenencia a un mismo usuario.
(DarkTower)
El segundo se titulaba «Random Acct Drops / Biz Drops». No contenía enlace a un autor concreto, y la búsqueda por el nombre arrojaba muchos resultados irrelevantes, lo que puede indicar un intento de ocultar el origen del paquete.
(DarkTower)
El tercer paquete «@atmanman :: @fStikbot» señala a dos usuarios. El segundo, @fStikbot, sigue activo y es un servicio que convierte imágenes en emojis de Telegram. Los investigadores creen que este instrumento pudo haber sido usado por los atacantes para subir los logotipos de las empresas objetivo. El otro participante del esquema —@atmanman— ya fue eliminado de Telegram, pero al buscar el antiguo alias aparece la página @Atmanmanjl con un nombre árabe y una biografía. Según DarkTower, probablemente estas cuentas están relacionadas.
(DarkTower)
El último se llama «VICE UNION @viceunion». Hace referencia a un usuario y al canal homónimo VICE UNION SHOP. Ambos recursos ya no están disponibles. Sin embargo, el 9 de septiembre se reenvió desde el canal «???? Fraud Cartel ????» un mensaje de VICE UNION SHOP que posteriormente fue eliminado, lo que puede indicar el bloqueo simultáneo del canal y la cuenta del propietario.
(DarkTower)
Los especialistas señalan que estos paquetes de emojis se están convirtiendo en una nueva forma de «léxico en la sombra» dentro de Telegram. Permiten discutir objetivos de ataques sin usar palabras clave que podrían atraer la atención de investigadores o de algoritmos de análisis automático. Al mismo tiempo, los propios paquetes se disfrazan como colecciones de diseño habituales y parecen inofensivos para la mayoría de usuarios. DarkTower subraya que puede haber muchos más paquetes de este tipo y que su proliferación requiere control adicional por parte de la administración de Telegram.