Radiografía de la comercialización ilegal de datos en Perú: Estudio internacional describe su venta en Telegram
La ONG Derechos Digitales analizó ocho grupos y dos canales de la app de mensajería en el país, donde información sensible, incluyendo datos biométricos, se envía al instante a través de bots. El informe revela un mercado ilegal que opera en toda Lationamérica.
Este resumen es generado por inteligencia artificial y revisado por la redacción.
Documentos de identidad, números telefónicos, direcciones, datos bancarios e incluso huellas dactilares de millones de peruanos circulan sin consentimiento en plataformas digitales, exponiendo a los ciudadanos a distintos tipos de riesgos. Pero esto no solo es un problema en nuestro país, sino en toda Latinoamérica. Un informe de la ONG Derechos Digitales revela un mercado ilegal de datos personales que opera en Telegram y que tendría vínculos con bases estatales.
La investigación identificó 27 grupos y canales activos en Brasil, Perú y Argentina dedicados a la comercialización de información sensible mediante bots automatizados y pagos digitales. En esos espacios, cualquier persona puede obtener en segundos datos asociados a un número de identidad, nombre o teléfono bajo un modelo que combina consultas gratuitas limitadas y acceso completo mediante pago.
Telegram fue Lanzada en 2013 por los hermanos rusos Pavel y Nikolai Durovs. Foto: EFE.
Suplantaciones de identidad, vulneración de cuentas bancarias, fraudes, extorsiones y amenazas digitales son algunos de los posibles impactos que enfrentan las personas que ven comprometida su información.
Por eso, el informe también busca generar conciencia crítica de su impacto y demandar respuestas urgentes y mecanismos de reparación.
El informe al detalle
Paloma Lara-Castro, directora de políticas de Derechos Digitales, explicó a El Comercio que el objetivo del estudio fue evidenciar la existencia y funcionamiento del mercado de comercialización ilegal de datos personales en América Latina a través de Telegram.
“Demuestra una tendencia regional, porque si bien la investigación se focalizó en tres países, se identificaron datos de personas de otros países que también estaban circulando en estos grupos”, declaró.
La investigación se desarrolló entre octubre de 2024 y noviembre de 2025, con foco en Brasil, Perú y Argentina. El objetivo fue identificar las dinámicas de comercialización de datos personales a través de canales y grupos públicos de Telegram.
Además…
Principios de la investigación
Al tratarse de una investigación sobre dinámicas ilegales de compra y venta, la ONG Derechos Digitales adoptó medidas para proteger la seguridad tanto de las personas cuyos datos pudieron verse comprometidos como de quienes realizaron el trabajo de investigación. Por eso, se aplicaron los siguientes principios:
No se incluyó nombres ni enlaces de grupos o canales para evitar la reproducción del daño
La investigación fue de carácter no participante: no se estableció contacto con administradores de los espacios ni compradores, evitando cualquier forma de interacción directa
Se desactivó la descarga automática de archivos, ya que durante la exploración se detectaron espacios con contenido violento y sexual.
El documento completo de la investigación ya está en la web de la ONG Derechos Digitales.
El diagnóstico del mercado ilegal de datos en Perú
¿Por qué Perú fue uno de los países escogidos?
Lara-Castro explicó que uno de los criterios para seleccionar a los países en los que se focalizó el estudio fue la existencia de normativa de protección de datos y ciberseguridad, así como reformas en el ámbito penal en relación a esta problemática.
“Perú cumple con estos requisitos. Además, otro factor es que la ciudadanía peruana ha sido víctima de filtraciones masivas de datos en varias ocasiones. En ese sentido, nos pareció también que era un elemento muy interesante de incluir porque hay un contexto que demuestra la importancia de profundizar en este tipo de investigaciones”, indicó la experta.
Cabe recordar que la Ley N.° 29733 - Ley de Protección de Datos Personales fue promulgada en 2011 con el objetivo de garantizar el derecho fundamental a la protección de los datos personales. La aplicación de la ley está a cargo de la Autoridad Nacional de Protección de Datos (ANPD), adscrita al Ministerio de Justicia.
¿Cómo funciona la venta ilegal de datos en Telegram?
En Perú, se analizaron ocho grupos y dos canales de Telegram. La mayoría de los grupos opera bajo una lógica de cobro con funciones básicas y funciones Pro o VIP de pago.
“Los precios oscilan desde $2.20 USD por acceso de tres días hasta montos anuales como $116.20 USD, siendo este último uno de los valores más altos registrados en toda la investigación”, destacó Lora-Castro.
Evidencia sobre venta de datos a través del comando /dni. Foto: ONG Derechos Digitales.
Los métodos de pago más comunes para dichos planes son y Plin. Al respecto, la ONG Derechos Digitales hace una observación importante. “Si bien estas billeteras digitales permiten cierto nivel de trazabilidad, ya que el nombre completo del titular aparece al momento de realizar la transferencia, su uso sigue siendo frecuente en los mercados ilegales observados”.
En los grupos, se identificaron bots con funciones de administración, encargados de responder consultas o ejecutar búsquedas. Los bots generan en segundos una respuesta automática con una ficha de datos personales detallados, que deberían encontrarse únicamente en los registros oficiales.
El comando más común para consultar y comprar datos en los grupos y canales peruanos es /dni, que permite acceder a una gran variedad de datos de cualquier ciudadano a partir de su documento de identidad. A diferencia de Brasil, la respuesta automatizada incluye datos biométricos como huellas dactilares de las personas, incrementando exponencialmente el nivel de exposición y vulnerabilidad de los derechos afectados.
“Es muy preocupante la calidad de los documentos descargados observada es suficientemente alta como para ser utilizados en falsificaciones, clonación de identidad, acceso a servicios bancarios o cualquier trámite digital”, advirtió Lara-Castro.
Evidencia sobre venta de datos con certificados oficiales de antecedentes policiales y judiciales. Foto: ONG Derechos Digitales.
En la investigación también se observó la venta de certificados oficiales con elementos distintos de instituciones del Estado como el Poder Judicial o la Policía Nacional del Perú. “Este de registro apunta a la posibilidad de que, en algunos casos, los bots empleados en los grupos de Telegram podrían estar operando con credenciales institucionales válidas, lo que permitiría realizar consultas directas a sistemas oficiales y extraer datos en tiempo real para su posterior venta”, indica el informe.
Así también, llama la atención que, en algunos casos encontrados en la investigación, los certificados fueron generados en la misma fecha y hora que la consulta realizada al bot en Telegram. “Eso podría indicar que estos sistemas podrían estar directamente vinculados, de manera no autorizada, con bases de datos oficiales”, manifestó Lara-Castro. En esa línea, la ONG determina que el acceso podría no provenir de una base filtrada estática, sino de una interacción directa con los sistemas oficiales.
“Hay una fragilidad en la exposición de los datos en Perú y una brecha entre lo que dice la legislación y cómo está siendo aplicada en términos de protección a la ciudadanía sobre sus datos personales”, refiere la experta.
Recomendaciones para autoridades y empresas privadas
Por todo ello, el estudio propone fortalecer la gobernanza y seguridad de los datos públicos, y dotar de mayor autonomía y recursos a las autoridades de protección de datos.
También sugiere incorporar enfoques de género y niñez en las políticas de ciberseguridad y exigir mayor responsabilidad a las plataformas digitales frente a la circulación de información ilícita.
Adicionalmente, Lara-Castro afirma que las empresas privadas, como los bancos a cargo de Yape y Plin, también tienen una responsabilidad en el cumplimiento de la ley y la protección de sus usuarios que utilizan sus servicios.
“Estos sistemas de pago deben adecuarse a las legislaciones y asegurar que sus servicios no sean utilizados para fines ilegales, como es el caso en Perú”, expresó.