La investigación identificó 27 grupos y canales activos en Brasil, Perú y Argentina dedicada a la comercialización de información sensible a través de bots automatizados y pagos digitales. En estos espacios cualquier persona puede obtener datos asociados a un número de identidad, nombre o número de teléfono en segundos bajo un modelo que combina consultas gratuitas limitadas y acceso completo mediante pago.
Telegram fue lanzado en 2013 por los hermanos rusos Pavel y Nikolai Durovs. Foto: EFE.
Robo de identidad, violaciones de cuentas bancarias, fraude, extorsión y amenazas digitales son algunos de los posibles impactos que enfrentan las personas que ven comprometida su información.
Por ello, el informe también busca generar conciencia crítica sobre su impacto y exigir respuestas urgentes y mecanismos de reparación.
El informe en detalle
Paloma Lara CastroDirector de políticas de Derechos Digitales, explicó a que el objetivo del estudio fue demostrar la existencia y funcionamiento del mercado de comercialización ilegal de datos personales en América Latina a través de Telegram.
“Demuestra una tendencia regional, porque si bien la investigación se centró en tres países, se identificaron datos de personas de otros países que también circulaban en estos grupos”, afirmó.
La investigación fue desarrollada entre octubre de 2024 y noviembre de 2025centrándose en Brasil, Perú y Argentina. El objetivo fue identificar la dinámica del marketing de datos personales a través de canales y grupos públicos de Telegram.
Además…
Principios de investigación
Al tratarse de una investigación sobre dinámicas de compra y venta ilegal, la ONG Derechos Digitales adoptó medidas para proteger la seguridad tanto de las personas cuyos datos podrían haber sido comprometidos como de quienes realizaron el trabajo de investigación. Por lo tanto, se aplicaron los siguientes principios:
- No se incluyeron nombres ni enlaces de grupos o canales para evitar reproducir el daño.
- La investigación fue de carácter no participativo: no se estableció contacto con administradores de los espacios ni compradores, evitando cualquier forma de interacción directa.
- La descarga automática de archivos quedó deshabilitada, ya que durante el escaneo se detectaron espacios con contenido violento y sexual.
El documento completo de la investigación ya se encuentra en la página web del ONG Derechos Digitales.
El diagnóstico del mercado ilegal de datos en el Perú
¿Por qué Perú fue uno de los países elegidos?
Lara-Castro explicó que uno de los criterios para seleccionar los países en los que se centró el estudio fue la existencia de normas de protección de datos y ciberseguridad, así como reformas en el ámbito penal en relación con esta problemática.
“El Perú cumple con estos requisitos. Además, otro factor es que los ciudadanos peruanos han sido víctimas de fugas masivas de datos en varias ocasiones. En ese sentido, también nos pareció un elemento muy interesante de incluir porque hay un contexto que demuestra la importancia de profundizar en este tipo de investigaciones”. indicó el experto.
Cabe recordar que la Ley N° 29733 – Ley de Protección de Datos Personales fue promulgada en el año 2011 con el objetivo de garantizar el derecho fundamental a la protección de datos personales. La aplicación de la ley está a cargo de la Autoridad Nacional de Protección de Datos (ANPD), adscrita al Ministerio de Justicia.
¿Cómo funciona la venta ilegal de datos en Telegram?
En Perú analizaron ocho grupos y dos canales de Telegram. La mayoría de los grupos operan bajo una lógica de cobro con funciones básicas y funciones Pro o VIP de pago.
“Los precios van desde $2.20 USD por acceso de tres días a montos anuales como $116.20 USD, siendo este último uno de los valores más altos registrados en toda la investigación”, destacó Lora-Castro.
Evidencia de venta de datos a través del comando /dni. Foto: ONG Derechos Digitales.
Los métodos de pago más comunes para dichos planes son y Plin. A este respecto, la ONG Digital Rights hace una observación importante. “Si bien estas billeteras digitales permiten cierto nivel de trazabilidad, ya que el nombre completo del titular aparece al momento de realizar la transferencia, su uso aún es frecuente en los mercados ilegales observados.”.
En los grupos se identificaron bots con funciones de administración, encargados de responder consultas o ejecutar búsquedas. Los bots generan una respuesta automática en segundos con una hoja de datos personales detallados, que sólo deben encontrarse en registros oficiales.
El comando más común para consultar y comprar datos en grupos y canales peruanos es /identificaciónlo que permite acceder a una amplia variedad de datos de cualquier ciudadano desde su documento de identidad. A diferencia de Brasil, la respuesta automatizada incluye datos biométricos como huellas dactilares de las personas, aumentando exponencialmente el nivel de exposición y vulnerabilidad de los derechos afectados.
“Es muy preocupante que la calidad de los documentos descargados observados sea lo suficientemente alta como para ser utilizados en falsificaciones, clonación de identidad, acceso a servicios bancarios o cualquier trámite digital”, advirtió Lara-Castro..
Constancias de venta de datos con certificados oficiales de antecedentes policiales y judiciales. Foto: ONG Derechos Digitales.
La investigación también observó la venta de certificados oficiales con diferentes elementos de instituciones del Estado como el Poder Judicial o la Policía Nacional del Perú. “Este registro apunta a la posibilidad de que, en algunos casos, los bots utilizados en los grupos de Telegram podrían estar operando con credenciales institucionales válidas, lo que permitiría realizar consultas directas a sistemas oficiales y extraer datos en tiempo real para su posterior venta”, indica el informe.
Asimismo, llama la atención que, en algunos casos encontrados en la investigación, Los certificados se generaron en la misma fecha y hora de la consulta realizada al bot en Telegram. “Esto podría indicar que estos sistemas podrían estar vinculados directamente, de manera no autorizada, con bases de datos oficiales”, dijo Lara-Castro. En esta línea, la ONG determina que el acceso no podría provenir de una base filtrada estática, sino de una interacción directa con los sistemas oficiales.
“Existe una fragilidad en la exposición de datos en el Perú y un desfase entre lo que dice la legislación y cómo se está aplicando en materia de protección de los ciudadanos sobre sus datos personales”, afirma el experto.
Recomendaciones para autoridades y empresas privadas
Por todo ello, el estudio propone reforzar la gobernanza y la seguridad de los datos públicos, y dotar de mayor autonomía y recursos a las autoridades de protección de datos.
También sugiere incorporar enfoques de género e infancia en las políticas de ciberseguridad y exigir mayor responsabilidad a las plataformas digitales respecto de la circulación de información ilícita.
Además, Lara-Castro afirma que las empresas privadas, como los bancos de Yape y Plin, también tienen la responsabilidad de cumplir con la ley y proteger a los usuarios que utilizan sus servicios.
“Estos sistemas de pago deben cumplir con la legislación y garantizar que sus servicios no sean utilizados con fines ilegales, como es el caso del Perú”, dijo.
