Así funciona el mercado ilegal de compra y venta de datos personales en Telegram

No es solo una intuición o una alerta. Un estudio probó cómo funciona el mercado ilícito de datos a través de Telegram en Latinoamérica y los hallazgos son perturbadores. En al menos 27 grupos activos en esta plataforma en Brasil, Perú y Argentina, se identificó una tienda 24 horas de compra y venta de datos personales sensibles. Lo más grave es que muchos de sus compradores los usan como arma arrojadiza contra las mujeres y los niños. En suma, un mercado ilícito digital que contribuye a la violencia de género.

‘Identidades en venta’, como se titula el estudio hecho por la ONG Derechos Digitales, analizó grupos en estos tres países entre octubre de 2024 y febrero de 2025 y encontró que a través de bots—en algunos casos de humanos— y mediante esquemas de pago digitales, se accede de forma inmediata a datos personales sensibles en esta plataforma. A un clic se mercadea con la identidad de los latinoamericanos.

“La venta de datos personales se ha convertido en un negocio lucrativo dentro de la economía digital clandestina: documentos de identidad, números telefónicos, direcciones de domicilios, historiales financieros, de salud o información de familiares circulan en Telegram sin consentimiento y exponen a millones de personas a distintos tipos de riesgos”, indica el estudio.

Lo más preocupante es que hay indicios de que parte de la información que circula podría provenir, directa o indirectamente, de bases de datos públicas o registros oficiales. Esa es una de las conclusiones más serias porque evidencia las vulnerabilidades en la gestión estatal de información en un momento de creciente digitalización de servicios públicos y cuando los Gobiernos de la región recopilan cada vez más volúmenes de datos de los ciudadanos.

Para Paloma Lara-Castro, directora de Políticas Públicas de Derechos Digitales y coordinadora de la investigación, el fenómeno desnuda la gran fragilidad estructural de América Latina frente al manejo de datos, una falta de cultura sólida que se expresa en vulnerabilidades normativas, institucionales y de seguridad de la información. “En cuanto a lo normativo hay vacíos y legislaciones de protección de datos desconectadas de las de ciberseguridad; las fragilidades institucionales tienen que ver con que las autoridades encargadas de aplicar estas normativas, en general, carecen de independencia o recursos o capacidad para supervisar al propio Estado”, explica.

La fragilidad en seguridad- agrega la abogada- es que los Estados manejan grandes volúmenes de información, pero esto no viene acompañado de políticas robustas de seguridad “considerando los factores estructurales de América Latina, donde hay un historial elevado de filtración de datos”.

Cómo opera el mercado ilegal

Telegram se lanzó en 2013 y fue creada por los hermanos rusos Pavel y Nikolai Durov. Se presentó como alternativa a una plataforma de mensajería ajena a toda vigilancia estatal y con escasos controles de moderación de contenido, pero las características propias de la aplicación la hacen apetecible para actividades clandestinas. No solo se ha convertido en lugar de desinformación masiva, sino que ya es considerada el fetiche de los ciberdelincuentes. “Permite la anonimización para interactuar en la plataforma, y la posibilidad de transmitir información de manera masiva”, explica Lara-Castro sobre una de las características de esta aplicación que ha crecido en Latinoamérica, con Brasil, México y Colombia liderando las descargas.

Sin embargo, es la automatización o el uso de bots capaces de ejecutar tareas sin intervención ni supervisión humana directa lo que más influye en las actividades ilícitas que se hacen a través de Telegram. La automatización fue diseñada para mejorar la experiencia de los usuarios, pero rápidamente se convirtió en la mejor opción de los delincuentes para comprar y vender datos personales.

“Funcionan mediante comandos predefinidos, integrándose con bases de datos externas para entregar resultados al instante”, dice el documento. Así, estos bots permitenq que los clientes de los cibercriminales gestionen consultas y accedan a datos sensibles, que van desde números de identidad hasta antecedentes judiciales o financieros.

El mercado ilegal funciona bajo el modelo de negocio conocido como ‘Freemium’, —muestras gratis antes de ofrecer planes— que utiliza estrategias de marketing adaptadas al mercado ilícito y formas de pago legales y muy conocidas en estos países como las billeteras virtuales. Si bien los valores del acceso variaban entre países, los investigadores encontraron que en esos grupos la venta de datos oscilaba entre 1 dólar por planes o accesos por una semana hasta 116 dólares por un año, como encontraron en Perú, y que fue el valor más alto registrado en toda la investigación.

“Podemos notar realmente un acceso perturbador a la cantidad de datos identificados a una persona con distintos niveles de exposición. Desde el rostro, porque también incluye imágenes, información geo referenciada, hasta historiales financieros laborales individuales y familiares. Lo que nos preocupa es que la identidad se está convirtiendo en un insumo de valor económico, comercializado de manera ilegal”, dice Lara-Castro.

Brasil, Perú y Argentina

El estudio rastreó 27 canales activos donde se mercadea la identidad en Brasil, Perú y Argentina, aunque no son los únicos. Se trató de una muestra que les permitió hacer un trabajo sostenido de análisis y hacer las comparaciones.

Los hallazgos de Brasil, donde Telegram es una de las aplicaciones más populares, indican que hay un “elevado grado de automatización en la gestión” y en todos los espacios hay un administrador, lo que garantiza una atención constante a las solicitudes de datos. “Esta estructura facilita el funcionamiento del grupo como una tienda activa las 24 horas, con comandos operativos preestablecidos para realizar búsquedas o compras”, dice la investigación.

Allí, los cibercriminales vendían desde la identificación civil, el número de identificación fiscal-administrado por la Receita Federal do Brasil- datos de vacunación o la estimación de la renta mensual de la persona consultada, así como la categorización del poder adquisitivo.

“Esta clasificación puede provenir de registros tributarios o de consumo, y puede usarse para inferir la situación socioeconómica de la persona afectada, exponiéndola a riesgos de discriminación, estigmatización y prácticas de exclusión o de búsqueda por ventaja financiera”, advierten.

Pero no eran los únicos datos a la venta en ese mercado, también circulaba información como la tarjeta de trabajo y de seguridad social, así como domicilios registrados que no se limitaban a la persona consultada sino a su red familiar directa y hasta de los vecinos. Algo similar hallaron en los grupos de Perú, donde los bots también permitían acceso a datos biométricos, como huellas dactilares de las personas y, en algunos casos, fotos y firmas de las personas.

“Los bots divulgan datos de personas que residen en las proximidades del titular consultado. La inclusión de estos terceros amplía el alcance de la filtración y podría facilitar la elaboración de perfiles relacionales, capaces de mapear vínculos familiares y comunitarios, y eventualmente combinarse con otros datos para fines como fraudes dirigidos, suplantación de identidad, extorsión o vigilancia por actores no estatales”.

Arma de los agresores de mujeres

Lara-Castro señala que hay otra dimensión crítica de la exposición de datos y es la violencia de género facilitada por las tecnologías. En 2024 se había documentado la existencia en Telegram de un grupo de 70.000 hombres que intercambiaban información respecto a cómo drogar y violar a mujeres y hasta el propio fundador de la aplicación, Pavel Durov, fue detenido en el marco de una investigación sobre delitos facilitados por la plataforma, como la distribución de material de abuso sexual infantil. También en Perú, se usó la información comprada en la aplicación para amenazar periodistas.

“Hemos documentado algunos casos en los que se utilizan los datos obtenidos por Telegram para extorsionar a una víctima con finalidades sexuales o incluso a veces como represalia para silenciar a personas que han denunciado violencia de género”, dice la investigadora y agrega una alerta: el impacto en niños, niñas y adolescentes, puesto que los compradores no solo acceden a datos de una persona sino también del entorno familiar, que incluye niños.

El estudio señala un alarmante caso de filtración de datos de menores en los grupos analizados en Argentina, donde se muestra la imagen de una adolescente, junto a datos como nombre, DNI y fecha de nacimiento, con una marca de agua que indica Sistema Federal de Comunicaciones Policiales (SIFCOP). Ese sistema es una herramienta oficial restringida, utilizada exclusivamente para el intercambio de información de interés criminal entre fuerzas policiales y organismos judiciales, explican. “Su acceso está regulado por protocolos estrictos, lo que agrava la potencial filtración ocurrida”.

“La venta de sus datos y el uso de estéticas hipersexualizadas en los grupos y canales de Telegram refuerzan prácticas ilícitas y aumentan los riesgos para su integridad y la de sus familias”, dice el documento.

Los grupos de Argentina mostraron también un esquema diferente al de los otros países evaluados. Mientras en los de Perú y Brasil dominan los bots, en los argentinos hay más “vendedores humanos” y se prioriza la comunicación “directa y discreta” entre vendedores y compradores que usan tokens como moneda interna. Además de datos personales, se documentó también la filtración de datos empresariales.

Paradójicamente, Argentina fue uno de los primeros países con legislaciones sólidas en protección de datos; sin embargo, se han puesto en riesgo por las reformas en la gobernanza de ciberseguridad durante el mandato del presidente Javier Milei, dice la investigadora de Derechos Digitales.

La investigación hace énfasis en las responsabilidades de los Estados y les recomienda mejorar los marcos normativos que se ven desactualizados frente a los problemas actuales; crear protocolos para atender y reparar a víctimas con datos en circulación en el mercado ilegal; integrar efectivamente la perspectiva de género a políticas de protección de datos y ciberseguridad y establecer reglas de diseño, restricciones comerciales y servicios de protección adecuados a la edad para evitar la filtración de datos de menores de edad.