Quiso descargar una imagen y terminó revelando su dirección: mira cómo nos espían descaradamente a través de una app de mensajería

Según el informe de Cofense, los atacantes usan cada vez más Telegram no solo para comunicarse y coordinar ataques. La plataforma se ha convertido en un canal conveniente para el robo de datos. A través de bots de Telegram, programas maliciosos y páginas de phishing envían credenciales robadas, capturas de pantalla y otra información directamente a los chats que controlan los atacantes.

Telegram ha atraído durante mucho tiempo a los atacantes gracias a su interfaz de programación abierta. La plataforma permite crear cuentas automatizadas de bots que pueden enviar mensajes, subir archivos y descargar contenido de los chats. Los atacantes usan esa funcionalidad como un servidor de mando y control de la infraestructura maliciosa. El malware recoge datos en el equipo infectado y, mediante una solicitud a la API de Telegram, reenvía la información al chat del grupo atacante.

По datos de los especialistas, Telegram actuó como canal de mando en aproximadamente el 3,8% de las campañas que utilizaron malware desde el primer trimestre de 2024 hasta el segundo trimestre de 2025. En los ataques con páginas de phishing destinadas a robar credenciales, la proporción de Telegram fue de alrededor del 2,3%. Las estadísticas consideran campañas individuales, cada una de las cuales pudo incluir numerosos correos y varias muestras de archivos maliciosos.

El escenario más simple está relacionado con formularios de phishing. Cuando la víctima introduce usuario y contraseña en una página falsa, el sitio envía los datos mediante una solicitud al método sendMessage de la API de bots de Telegram. El mensaje con la información robada llega directamente al chat de los atacantes. En la petición de red se puede ver el identificador del bot y el número de chat al que se envían los datos. La respuesta del servidor también revela información adicional sobre el bot, incluido el nombre de la cuenta y el nombre del chat.

Telegram también es usado activamente por malware. Uno de los ejemplos más destacados es el registrador de teclas Agent Tesla. El malware puede enviar datos por correo electrónico, FTP o peticiones HTTP normales; sin embargo, en algunas configuraciones utiliza Telegram. En esos casos, el código malicioso sube al chat archivos de texto o archivos comprimidos con datos robados: contraseñas desde navegadores, clientes de correo y programas FTP. En 2024, alrededor del 77,7% de las campañas que usaron Telegram como canal de mando correspondieron precisamente a Agent Tesla.

A veces Telegram se usa incluso sin la intervención de malware en el equipo de la víctima. Algunas variantes de WSH RAT envían información del equipo directamente desde la página de descarga del archivo malicioso. Cuando el usuario abre la página, el script transmite al chat de los atacantes la dirección IP, el país, la ciudad, la región y la cadena user-agent del navegador. Ese mecanismo permite a los atacantes saber de inmediato que la víctima descargó el archivo.

Otro ejemplo está relacionado con Pure Logs Stealer y el grupo Lone None. En versiones tempranas, el código malicioso enviaba los datos robados mediante mensajes del bot. Muestras más recientes usan el perfil de un bot de Telegram como parte de la cadena de descarga del código malicioso. En la descripción del perfil se guarda una cadena que se convierte en parte del enlace a un almacenamiento temporal de archivos, desde donde luego se descarga el script malicioso en Python.

Una característica interesante de Telegram facilita el análisis de este tipo de campañas. Si se obtiene el token de autorización del bot y el identificador del chat, se puede consultar la API de Telegram y ver el historial de mensajes. Los métodos getUpdates y forwardMessage permiten reenviar los mensajes del bot a un chat controlado por el analista. Además, los parámetros necesarios a menudo se pueden encontrar directamente en las peticiones de red de la página o del programa malicioso, ya que el bot envía el token y el identificador del chat en cada llamada a la API.

Telegram se ha convertido en una herramienta conveniente para el robo de datos en gran medida gracias a la legalidad del servicio y la simplicidad de uso de su API. El código malicioso o la página de phishing envían una petición HTTPS habitual a api.telegram.org, tras lo cual los datos aparecen directamente en el chat de los atacantes.

Reducir el riesgo de fuga ayuda aplicar medidas básicas. Los usuarios deben prestar más atención a correos sospechosos, enlaces y archivos adjuntos. En organizaciones donde bots de Telegram no se usan para tareas laborales, se puede bloquear completamente el acceso a la API de Telegram Bot. Ese tráfico normalmente pasa por la dirección api.telegram.org con el token del bot y el nombre del método, por ejemplo sendMessage o sendDocument.