Tecnología

“Tu cuenta será suspendida”: Activan bot y SMS para robar a usuarios de Telegram en México

Un nuevo fraude por SMS suplanta a Telegram y amenaza con suspender cuentas si no ingresas a un sitio falso

Un nuevo fraude por SMS suplanta a Telegram y amenaza con suspender cuentas si no ingresas a un sitio falso.
Un nuevo fraude por SMS suplanta a Telegram y amenaza con suspender cuentas si no ingresas a un sitio falso. Foto: Dall-e y Publimetro México
Por Ignacio Gómez Villaseñor

Una campaña de fraude digital está siendo desplegada contra usuarios de Telegram en México a través de mensajes SMS falsos que simulan provenir de la propia plataforma. En ellos, se advierte de una supuesta “actividad sospechosa” y se amenaza con suspender la cuenta en 12 horas si no se verifica la información en un sitio web que aparenta ser oficial: `telegram-rnex.top`. Sin embargo, se trata de una trampa diseñada para robar datos.

El dominio, registrado apenas el 15 de abril de 2025, está alojado en servidores de Cloudflare y oculta su IP real, dificultando rastrear al responsable. En su análisis, plataformas como Hybrid Analysis ya han catalogado el sitio como malicioso con alta probabilidad de phishing, mientras ScamAdviser señala que oculta la identidad de su propietario, algo habitual en sitios fraudulentos.

El rol del bot de Telegram

Uno de los elementos más llamativos del fraude es que el sitio clonado de Telegram recolecta información como la IP de la víctima, su navegador, el sistema operativo y otros metadatos, y los envía de forma automatizada a un bot de Telegram controlado por los delincuentes. El bot, identificado como `@tgyumiao_tz2_bot`, fue consultado por Publimetro México por medio de la API oficial de Telegram y se comprobó que está activo y tiene capacidad para integrarse en grupos, lo que indica que podría estar vinculado a un panel de control tipo Kraken.

Kraken es una plataforma de phishing como servicio que se renta en foros de ciberdelincuencia y opera mediante bots de Telegram para automatizar el robo y envío de credenciales. Aunque no hay confirmación directa de que se trate de Kraken, la arquitectura y comportamiento del bot sugiere un modus operandi similar.

Así funciona el engaño

  1. El usuario recibe un mensaje SMS del número +52 937 257 0898 (o cualquier otro) advirtiendo de una actividad sospechosa.
  2. El mensaje incluye un enlace al dominio `telegram-rnex.top`, que simula ser el sitio oficial de Telegram.
  3. Al ingresar, el sitio detecta la IP del usuario y registra si es su primera visita o si ya había ingresado antes.
  4. Inmediatamente, toda esa información es enviada al bot de Telegram, lo que permite al atacante registrar nuevas posibles víctimas.
El mensaje SMS simula alertas de seguridad urgentes y lleva a usuarios a entregar sus credenciales sin darse cuenta.
El mensaje SMS simula alertas de seguridad urgentes y lleva a usuarios a entregar sus credenciales sin darse cuenta. Imagen: Publimetro México

Riesgos y recomendaciones

El principal riesgo de este tipo de ataques es que el usuario entregue sus credenciales creyendo estar en un entorno seguro. El sitio fraudulento utiliza incluso certificados SSL legítimos (emitidos por Let’s Encrypt y Cloudflare), lo que da una falsa sensación de seguridad. Además, su diseño replica fielmente la interfaz de Telegram Web.

Los expertos recomiendan:

  • No dar clic a enlaces enviados por SMS que aparenten ser de servicios digitales.
  • Verificar siempre la dirección del sitio (por ejemplo, `web.telegram.org` es el oficial).
  • Reportar el mensaje como spam o intento de fraude.

Este tipo de ataques están en aumento en México y forman parte de una tendencia creciente de cibercriminales que utilizan herramientas automatizadas para masificar sus estafas.

Recomendados:

DV Player placeholder

Tags

Lo Último