El Mundial más grande de la historia empieza en días. Apostá con Bitcoin, sin KYC y con retiros instantáneos → 1xBit, apuestas en crypto.
Espacio patrocinadoTelegram ha dejado de ser una simple aplicación de mensajería para convertirse en un ecosistema de aplicaciones en sí mismo. Gracias a la función de mini apps (aplicaciones web que se ejecutan directamente en el navegador interno o WebView de Telegram), los usuarios pueden realizar pagos o gestionar herramientas sin salir de un chat.
Sin embargo, las redes de ciberdelincuencia han convertido esta comodidad en un arma de ingeniería social masiva. La firma de ciberseguridad CTM360 encendió las alarmas globales al descubrir FEMITBOT. Se trata de una red de estafa a gran escala que utiliza estas aplicaciones integradas para suplantar a marcas reconocidas, simular falsas plataformas de inversión en criptomonedas y distribuir malware altamente peligroso para Android.
En esta entrega de Alerta Digital analizamos a fondo el modus operandi de esta y otras mini apps fraudulentas que acechan en Telegram.
La trampa de las mini apps fraudulentas en Telegram
El gran éxito de apps como FEMITBOT radica en que rompe el esquema del phishing tradicional. Ya no necesitas recibir un enlace sospechoso por correo electrónico o SMS que te redirija a un navegador externo. Todo ocurre dentro de Telegram.
Cuando una víctima interactúa con uno de estos bots fraudulentos y pulsa el botón Start, se despliega una interfaz idéntica a un panel de inversión en criptomonedas. Al no abandonar nunca la app de mensajería, el usuario experimenta una falsa sensación de seguridad.
Para enganchar a sus víctimas, el sistema emplea tácticas psicológicas agresivas:
- Balances ficticios: las pantallas muestran ganancias acumuladas y saldos falsos y sumamente atractivos.
- Urgencia inducida: relojes con cuentas regresivas y ofertas por tiempo limitado para forzar a la persona a actuar rápido sin pensar.
El fraude se consolida cuando el usuario intenta retirar sus supuestas ganancias. En ese momento, la Mini App le exige realizar un depósito de dinero real o cumplir con tareas de referidos bajo la promesa de liberar los fondos, una mecánica idéntica a las estafas de tipo pig-butchering (matanza de cerdos) y fraudes de pago por adelantado.
Infraestructura modular: suplantación de marcas a escala global
Los investigadores de CTM360 descubrieron que FEMITBOT utiliza una arquitectura modular basada en plantillas. Esto significa que los operadores detrás de la estafa utilizan un mismo sistema central (backend), pero pueden cambiar el diseño, el idioma y los logotipos en segundos para lanzar campañas masivas en todo el mundo.
El nexo se confirmó al hallar una misma cadena de respuesta API en múltiples dominios: Welcome to join the FEMITBOT platform.
Entre las marcas de intercambio de criptomonedas y pasarelas de pago suplantadas se encuentran gigantes de la industria como Binance, OKX, Bitget y MoonPay.
Lo más sofisticado es que estas campañas emplean herramientas de seguimiento publicitario reales. FEMITBOT integra píxeles de seguimiento de Meta (Facebook/Instagram) y TikTok dentro de sus operaciones en Telegram. Con esto, los estafadores monitorean las acciones de los usuarios, miden cuántas personas caen en la trampa (conversiones) y optimizan el rendimiento de sus anuncios maliciosos en redes sociales.
El vector de infección: Malware oculto en archivos APK
El peligro no termina en el fraude económico. Algunas de estas Mini Apps de Telegram se utilizan como trampas de distribución de malware para dispositivos móviles, afectando principalmente a los usuarios de Android.
El sistema solicita a las víctimas descargar archivos APK externos (instaladores de aplicaciones fuera de la tienda oficial), abriendo las puertas a infecciones graves de software espía o troyanos bancarios. Para camuflarse, estos archivos maliciosos se hacen pasar por marcas de entretenimiento, telecomunicaciones y tecnología sumamente conocidas, tales como Netflix, Claro, NVIDIA, BBC, CineTV y Coreweave.
Los atacantes alojan estos archivos APK en el mismo dominio de la API de la campaña. Esto garantiza que cuenten con certificados TLS (SSL) válidos, evitando que los navegadores móviles muestren alertas de seguridad que puedan prevenir a la víctima antes de instalar el archivo.
Protocolo de seguridad: cómo identificar un bot fraudulento
Para evitar que tu cuenta de Telegram y tus finanzas se vean comprometidas por la red FEMITBOT, aplica estas reglas de verificación:
- Sospecha de la rentabilidad mágica: si un bot de Telegram promete rendimientos garantizados en criptomonedas de forma desproporcionada, corta la interacción de inmediato.
- El bloqueo del retiro: ninguna plataforma financiera legítima te exigirá realizar un depósito de capital nuevo o invitar a un número específico de amigos para poder retirar fondos que legalmente ya te pertenecen.
- Prohibir la instalación externa: nunca descargues ni instales archivos APK sugeridos dentro de canales o bots de Telegram. Si necesitas una aplicación (sea de Netflix, Claro o un exchange), acude directamente a la Google Play Store oficial.
- Verifica el entorno: aunque la interfaz de la Mini App parezca real, recuerda que cualquier entidad financiera legítima cuenta con su propia aplicación nativa verificada o un dominio web institucional con estrictas medidas de seguridad externa, no un WebView dentro de un chat de mensajería.
