Repressão do Telegram ao cibercrime avança, mas não desmonta o ecossistema criminoso
Um novo relatório da Check Point Software mostra que, apesar do aumento expressivo nas ações de moderação do Telegram, o ambiente de cibercrime dentro da plataforma continua ativo, organizado e altamente adaptável. A aparente “limpeza” de canais esconde um problema mais profundo: as estruturas criminosas se reconstroem rapidamente e seguem operando em grande escala, explorando brechas técnicas e comportamentais.
Desde o final de 2024, após a prisão do CEO Pavel Durov, o Telegram passou a endurecer de forma contundente suas políticas internas. Em 2025, a plataforma intensificou a automação da fiscalização, expandiu o bloqueio de canais e passou a remover, diariamente, dezenas de milhares de grupos e canais suspeitos. Na prática, isso gerou uma sensação de maior controle e de pressão sobre comunidades ilícitas.
Os números, no entanto, revelam um cenário mais complexo. Segundo o relatório, somente em 2025 o Telegram bloqueou cerca de 43,5 milhões de canais, com uma média diária que varia de 80 mil a 140 mil remoções. Mesmo assim, as comunidades de cibercriminosos não demonstram recuo consistente. Em vez disso, demonstram resiliência: voltam ao ar em poucas horas, reorganizadas, com novos endereços e parte da base de usuários preservada.
A análise, baseada em dados da solução de Exposure Management da Check Point, aponta três movimentos principais após o endurecimento da moderação: criação prévia de backups, estratégias para se manter sempre um passo à frente das regras da plataforma e a consolidação do Telegram como principal infraestrutura de comunicação para cibercriminosos, sem concorrente real em escala.
Um dos achados mais preocupantes é o uso sistemático de backups estruturados com antecedência. De acordo com o estudo, apenas cerca de 20% das remoções atingem infraestruturas ativas relevantes de cibercrime, como esquemas de fraude, venda de bases de dados, comercialização de credenciais roubadas e oferta de serviços de hacking. Quando um canal é derrubado, seus administradores geralmente já têm, preparados, canais espelho ou novos grupos prontos para serem ativados, muitas vezes com membros automaticamente convidados. Assim, em poucas horas, a operação volta ao normal.
Outro ponto é que muitos agentes de ameaça estão invariavelmente à frente da própria moderação. Para driblar os filtros automáticos e ações manuais, cibercriminosos passaram a restringir o acesso com aprovação prévia, exigindo, por exemplo, referências, pagamento ou comprovação de “confiabilidade” antes de liberar a entrada. Alguns utilizam avisos de suposta conformidade com termos de uso como fachada, tentando transmitir aparência de legalidade. Há ainda a proliferação de canais espelho, cópias exatas de grupos originais, que servem como redundância caso o principal seja removido.
O uso intenso de mensagens encaminhadas também dificulta o controle. Mesmo quando o canal de origem é excluído, o conteúdo continua circulando em outros grupos por meio do encaminhamento em massa. Isso permite que manuais de fraude, ferramentas maliciosas, tutoriais de invasão e dados roubados sigam sendo disseminados, muitas vezes sem que a plataforma consiga rastrear rapidamente o ponto inicial da publicação.
Em paralelo, o Telegram continua sendo, de longe, o principal ponto de encontro para cibercriminosos. Nos três meses analisados, foram detectados cerca de 3 milhões de links de convite para canais na plataforma compartilhados em ambientes clandestinos. Outras soluções, como plataformas de chat e comunidades em tempo real, representam menos de 6% desse volume. Houve tentativas pontuais de migração para alternativas, mas nenhuma ganhou tração suficiente para oferecer a mesma amplitude de usuários, recursos, anonimato relativo e simplicidade de uso que o Telegram proporciona.
O resultado é um paradoxo: de um lado, vê-se um grande volume de remoções e endurecimento das regras; de outro, as operações ilícitas seguem em funcionamento, apenas mais camufladas, fechadas e sofisticadas. O relatório destaca que o atrito criado pela repressão – derrubada de canais, interrupções temporárias, necessidade de criação de novos grupos – não se traduz, por si só, em disrupção real do ecossistema criminoso.
Para Tal Samra, líder de Desenvolvimento de Fontes de Inteligência da divisão Check Point Exposure Management, o foco atual ainda é insuficiente. Segundo ele, as medidas da plataforma atacam sintomas visíveis, como canais públicos com conteúdo ilegal, mas não desmantelam as engrenagens estruturais que sustentam o cibercrime. Enquanto isso, os grupos maliciosos continuam evoluindo rapidamente, testando novos formatos de comunicação, linguagens de código, camadas de criptografia e técnicas de ofuscação para escapar da detecção.
Na avaliação da Check Point Software, o reforço da moderação é um passo necessário, mas está longe de ser a solução completa. A remoção isolada de canais, sem o mapeamento das conexões entre grupos, administradores, fornecedores de dados, intermediários financeiros e compradores finais, acaba tendo impacto limitado. Redes criminosas de cibercrime operam como verdadeiras cadeias de valor: quando apenas um elo é cortado, outros rapidamente se reorganizam para preencher a lacuna.
Por isso, a recomendação para empresas e organizações é clara: não basta depender das ações do Telegram ou de qualquer outra plataforma para se proteger. É necessário investir em monitoramento contínuo de exposição, inteligência de ameaças e capacidade de análise proativa. Isso significa acompanhar de perto menções à marca, produtos, executivos e tecnologias da empresa nesses ambientes, bem como detectar vazamento de credenciais, dados de clientes, propriedades intelectuais e informações de infraestrutura de TI.
Equipes de segurança que confiam unicamente na moderação das plataformas correm o risco de perder visibilidade de ameaças emergentes. Quando um canal é derrubado, a percepção superficial é de que o problema foi “resolvido”. Mas, sem monitoramento constante, torna-se fácil ignorar o fato de que o mesmo grupo criminoso pode estar operando em outro canal, com nova identidade, atraindo vítimas e comercializando dados que pertencem àquela organização.
Abordagens baseadas em gerenciamento contínuo de exposição usam inteligência de ameaças, correlação de dados e automação para mapear todo o ecossistema criminoso conectado a uma empresa. Em vez de olhar apenas para o canal visível, essa abordagem identifica relacionamentos entre perfis, padrões de comportamento, recorrência de apelidos, endereços de carteiras de criptomoedas usados em golpes, domínios maliciosos associados à mesma gangue e ferramentas utilizadas repetidamente. Assim, é possível compreender a estrutura completa da operação, não apenas sua face mais aparente.
Na prática, isso traz implicações diretas para a gestão de risco corporativo. Ao entender como grupos de cibercrime exploram dados vazados, quais tipos de informações têm maior valor de revenda e de que forma esses dados são usados em ataques subsequentes (como spear phishing, extorsão, fraudes financeiras ou invasão de sistemas), as organizações conseguem priorizar melhor seus investimentos em segurança. Em vez de responder a incidentes caso a caso, passam a adotar uma postura preventiva, reduzindo a superfície de ataque e interrompendo cadeias de exploração ainda em estágios iniciais.
Outro aspecto crucial é a educação dos usuários. O mesmo ambiente que abriga comunidades criminosas também é amplamente usado por pessoas comuns, funcionários de empresas e gestores que enxergam no Telegram apenas uma ferramenta de comunicação eficiente. Sem conscientização, é fácil que colaboradores participem de canais aparentemente inofensivos, mas que servem como ponte para golpes, engenharia social e disseminação de malware. Políticas claras de uso de aplicativos de mensagens, combinadas com treinamento contínuo, podem reduzir significativamente a exposição a esses riscos.
O cenário também tem implicações regulatórias e jurídicas. À medida que plataformas globais se tornam espaço central para a coordenação de crimes digitais, cresce a pressão de governos e órgãos reguladores por maior transparência, compartilhamento de dados e cooperação em investigações. O desafio, porém, é equilibrar a proteção à privacidade e à liberdade de expressão com a necessidade de combater atividades ilícitas sofisticadas e em constante mutação.
Empresas que operam em setores mais visados – como finanças, varejo digital, saúde e indústria – tendem a ser alvos prioritários nessas comunidades do Telegram. Para essas organizações, acompanhar relatórios como o da Check Point não é apenas um exercício acadêmico, mas uma forma de antecipar tendências de ataque e ajustar controles internos. Isso inclui desde reforço de autenticação e segmentação de rede até planos de resposta a incidentes que considerem explicitamente o papel de grupos coordenados de cibercrime.
A médio prazo, a expectativa é que a repressão em plataformas como o Telegram continue se intensificando, mas também que os atores maliciosos ampliem o uso de técnicas de descentralização, múltiplos canais redundantes e integração com outras ferramentas, como VPNs, redes anônimas e serviços de armazenamento encriptado. Em vez de um ponto único de falha, o ecossistema criminoso tende a se espalhar em “ilhas” interconectadas, o que torna ainda mais valiosa a inteligência que enxerga além da superfície.
No fim, o relatório da Check Point reforça uma conclusão central: volume de remoção não é sinônimo de controle do cibercrime. O que realmente faz diferença é a capacidade de entender, monitorar e desarticular as estruturas completas que sustêm essas redes. Para empresas, isso significa combinar as medidas de moderação das plataformas com uma estratégia própria de segurança, centrada em visibilidade constante, inteligência acionável e resposta rápida a sinais de risco. Sem isso, a repressão continuará causando apenas atrito temporário – enquanto o cibercrime, mais uma vez, se adapta e segue em frente.