El mercado ilegal de datos personales en América Latina ha evolucionado hacia esquemas organizados donde la información se comercializa como un insumo digital con precios, paquetes y modelos de suscripción. Derechos Digitales, ONG de origen chileno, se dio a la tarea de documentar cómo Telegram se ha convertido en uno de los principales canales para esta actividad.
Entre los hallazgos de su estudio “Identidades en venta: El mercado ilegal de compra y venta de datos personales latinoamericanos en Telegram”, encontraron que bases de datos filtradas —públicas y privadas— alimentan un ecosistema regional donde los datos se compran, venden y reutilizan con distintos fines.
En ese sentido, Telegram se ha convertido en el canal preferido para este mercado ilegal por sus características técnicas: grupos masivos de hasta 200.000 miembros, bots automatizados que funcionan como tiendas 24/7 y escasos mecanismos de moderación, detalla el documento. Aunque fue concebida como una alternativa de comunicación privada, su infraestructura ha sido adaptada para operaciones ilícitas a gran escala.
Aunque el análisis se concentra en Argentina, Brasil y Perú, la organización destacó la presencia de información de países como Venezuela, Bolivia, Chile, Uruguay y República Dominicana en los mismos canales. Según los autores, sugiere que se trata de un fenómeno de alcance regional.
Bots: el motor del negocio
La investigación analizó 27 grupos y canales públicos entre octubre de 2024 y noviembre de 2025, mediante scrapping (técnicas automatizadas de extracción masiva de datos), búsquedas automatizadas y muestreo “bola de nieve».
El núcleo del sistema son bots que funcionan como motores de búsqueda de datos personales. A través de comandos específicos, los usuarios pueden consultar información y recibir fichas estructuradas con distintos niveles de detalle. Incluyen desde datos básicos (nombre, fecha de nacimiento) hasta información sensible como dirección exacta, historial crediticio, biometría o vínculos familiares.
Las consultas gratuitas suelen mostrar datos parciales, para incentivar la compra, mientras que el acceso completo requiere pago. Los métodos incluyen transferencias instantáneas, billeteras digitales y plataformas de pago formales.
Los hallazgos revelaron que en Brasil, algunos grupos superan los 47.000 miembros, mientras que en Perú y Argentina hay canales con hasta 12.800 suscriptores, lo que evidencia un alto volumen de tráfico y permanencia, de acuerdo con Derechos Digitales.
Estos espacios operan con modelos similares a plataformas digitales: esquemas freemium, planes por tiempo o volumen de consultas y sistemas automatizados que permiten acceder a datos en segundos.
Brasil
En Brasil, los bots operan principalmente con el comando /cpf, que consulta el número de identificación fiscal (Cadastro de Pessoas Físicas). Al ingresar este comando seguido del CPF de una persona, el bot genera en segundos un archivo descargable en formato .txt.
La respuesta no se limita a datos básicos como nombre completo, fecha de nacimiento y género. Incluye información económica detallada: una estimación de ingresos mensuales, una categorización del poder adquisitivo en niveles (“bajo”, “medio” o “alto”) y un sistema de scoring crediticio con métricas como CSB (Credit Score Básico) y CSBA (Credit Score Básico Ampliado).
El CSB clasifica el riesgo básico de una persona (historial de pagos y deudas), mientras que el CSBA amplía el análisis con variables de consumo y comportamiento financiero. Su presencia en los archivos generados por los bots sugiere que los vendedores están accediendo a bases de datos crediticias institucionales.

(Imagen: Derechos Digitales)
El archivo también revela información laboral: profesión declarada, código CBO (clasificación oficial de ocupaciones), nombre del empleador, salario y fechas de ingreso. En algunos casos, se accede a datos de beneficios sociales como el Auxílio Emergencial, Bolsa Família y aportes del INSS (Instituto Nacional do Seguro Social), organismo que gestiona la seguridad social en Brasil, con montos exactos y número de cuotas recibidas.
Además, se exponen líneas telefónicas asociadas, con identificación de la operadora, y un historial de domicilios que permite rastrear movimientos pasados y actuales de la persona.
Desde la perspectiva de la organización, la estructura técnica de los archivos —con campos como “tipo: auxilioEmergencial” y nomenclatura en formato camelCase— sugiere que las filtraciones no provienen solo de fuentes privadas sino también de bases estatales sensibles como la Receita Federal (administración tributaria), SERASA (buró de crédito) o el Sistema Único de Salud (SUS).
Los bots también permiten consultas por nombre (/nome), que devuelve una lista de coincidencias con CPF, género y fecha de nacimiento; y por CNPJ (/cnpj), que expone datos detallados de personas jurídicas como razón social, capital declarado y tamaño de la empresa.
Perú
En Perú, el comando /dni permite acceder al Documento Nacional de Identidad (DNI) de cualquier ciudadano. La respuesta incluye nombres completos, sexo, fecha de nacimiento, lugar de nacimiento (departamento, provincia, distrito), estado civil, grado de instrucción, estatura y fechas de inscripción, emisión y caducidad del documento.
Para la ONG, uno de los hallazgos más críticos es la exposición de datos biométricos: huellas dactilares, fotografía oficial y firma manuscrita. Esto, mediante comandos como /dniel (para el DNI electrónico) o /dniv (para el DNI virtual); los bots permiten descargar imágenes completas del documento en alta calidad —frontal y posterior—, incluso de niñas, niños y adolescentes.
En ese sentido, los autores alertan que la calidad de estas imágenes es suficientemente alta como para ser utilizadas en falsificaciones, clonación de identidad o trámites bancarios.

(Imagen: Derechos Digitales)
Por otro lado, el comando /hogar permite reconstruir núcleos familiares completos. Al ingresar un DNI, el bot devuelve la dirección registrada, la clasificación socioeconómica oficial (“pobre extremo”, “pobre” o “no pobre”) según el Sistema de Focalización de Hogares (SISFOH). Además, incluye los datos de cada integrante del hogar: nombres, apellidos, DNI y fecha de nacimiento.
La organización también documentó la venta de certificados oficiales de antecedentes policiales y judiciales, generados en el mismo momento de la consulta. En algunos casos, la fecha y hora de emisión coincidieron exactamente con la consulta realizada al bot.
Ante ello, los autores cuestionan si estos sistemas estarían conectados de manera no autorizada a plataformas estatales.
Argentina
En Argentina, el modelo es más discreto. En lugar de moverse mediante grupos, la venta de datos personales se da a través de los canales de Telegram. Estos funcionan como vitrinas donde se anuncian servicios y se comparten “referencias” (ejemplos de consultas reales), pero las transacciones se concretan en chats privados. Una vez realizado el pago, el vendedor habilita un bot en el chat personal del comprador que le proporciona toda la información que busca.
El comando /dni devuelve una ficha con datos completos: nombre, DNI, CUIL (Código Único de Identificación Laboral), fechas de emisión y vencimiento, nacionalidad, sexo, fecha de nacimiento y dirección exacta (calle, número, barrio, código postal, ciudad, provincia). En muchos casos, la respuesta incluye un enlace directo a Google Maps que facilita la geolocalización del domicilio.
Además de los datos básicos, las fichas incluyen elementos de seguridad como el número de trámite y de ejemplar del DNI, información que solo debería estar en registros oficiales y cuya exposición facilita la clonación del documento, detalla el estudio.
Uno de los elementos técnicos más alarmantes, según la ONG, es la presencia del código IDARG, un identificador alfanumérico incluido en el DNI electrónico argentino, utilizado para validar la autenticidad del documento. Su inclusión en estas respuestas indicaría un acceso a capas profundas del sistema de emisión de identidad.
El comando /nosis permite acceder a reportes crediticios completos: estado laboral, bancarización, “peor situación” crediticia registrada, bancos involucrados, monto total adeudado, compromiso mensual (relación entre ingresos y deuda) y score crediticio con tendencia histórica.
Asimismo, se brinda información de la AFIP (Administración Federal de Ingresos Públicos), organismo tributario de Argentina. La inclusión de datos provenientes de la AFIP, con datos sobre antigüedad fiscal, estado laboral y bancarización, sugeriría que los vendedores tienen acceso a registros privados de crédito y a bases estatales sensibles, añaden desde Derechos Digitales.

(Imagen: Derechos Digitales)
También se identificaron comandos como /familia, que devuelve los datos de familiares directos (nombres, fechas de nacimiento, domicilio, números telefónicos) y /empresa, que permite consultar información detallada de personas jurídicas a partir del CUIT (Clave Única de Identificación Tributaria).
Los datos personales en venta se pagan a través de plataformas digitales
Como medio de pago para la compra y venta de datos personales, la Derechos Digitales identificó el uso de herramientas financieras formales como PIX en Brasil; Yape y Plin en Perú; o Mercado Pago en Argentina.
Al respecto, señalan que aunque estos sistemas facilitan la inclusión financiera y la rapidez de las transacciones, su adopción para la venta de datos personales muestra los límites de los mecanismos actuales de control, sobre todo en transacciones fragmentadas en montos pequeños o que se canalizan a través de cuentas que operan en la frontera entre la economía formal e informal.
Según Derechos Digitales, la trazabilidad potencial de estas plataformas no se traduce automáticamente en fiscalización efectiva, en parte porque las autoridades carecen de recursos o atribuciones necesarias para monitorear el flujo de pagos a escala. Además de eso, los responsables suelen operar con cuentas rotativas o datos de terceros, dificultando su identificación.
Algunos espacios también han migrado hacia el uso de criptomonedas, lo que representa un nivel mayor de encubrimiento transaccional y menor trazabilidad.
La venta de datos personales potencia violencia de género
De acuerdo con el documento, la disponibilidad de información personal, particularmente en Latinoamérica, ayuda a amplificar agresiones como el acoso, la extorsión sexual y el doxxeo. Durante el periodo analizado se documentaron casos en los que mujeres y personas del colectivo LGBTTTQIA+ fueron hostigadas tras la filtración de sus datos en estos canales.
«La disponibilidad de información personal amplifica el alcance y la gravedad de la violencia facilitada por las tecnologías, transformando el acceso ilícito a datos en un insumo que facilita prácticas de chantaje, control y hostigamiento», señala el estudio de Derechos Digitales.
En Brasil, una usuaria denunció que un agresor adquirió su información en Telegram para extorsionarla con amenazas. En Argentina, la fotografía del DNI de una mujer fue difundida en grupos con comentarios misóginos y homofóbicos. En Perú, una joven fue amenazada con armas tras la filtración de su identidad por haberse pronunciado contra un caso de violencia de género.
«La venta y uso de datos personales potencia patrones de control, extorsión y silenciamiento que ya afectan de manera desproporcionada a mujeres y personas LGBTQIA+», añade el documento.
El estudio concluye que la compraventa de datos personales en Telegram no es marginal, sino un mercado regional estructurado que opera con automatización, precios definidos y métodos de pago formales.
Además, destacan que la coincidencia de los datos con registros oficiales en los tres países sugiere fallas en la protección de bases públicas y privadas, así como posibles filtraciones o accesos indebidos a sistemas institucionales.
Telegram ya ha tomado medidas
En respuesta a estos hallazgos, Telegram dijo a Mobile Time Latinoamérica que compartir datos privados, la extorsión y el acoso están explícitamente prohibidos en sus términos de servicio, y que se elimina en cuanto es detectado. Además, detalló que ya toma acciones para combatir estos incidentes.
«Compartir datos privados, la extorsión y el acoso están explícitamente prohibidos por los términos de servicio de Telegram, y dicho contenido se elimina en cuanto se descubre. Moderadores, apoyados con herramientas personalizadas de IA, monitorean proactivamente las secciones públicas de la plataforma y aceptan reportes para eliminar millones de contenidos dañinos cada día.
Este año, más de 11 millones de grupos y canales han sido bloqueados por violar los términos de servicio de Telegram», dijo Telegram a Mobile Time Latinoamérica por medio de un correo electrónico.
La imagen principal fue creada por Mobile Time con IA.


