En este momento estás viendo Los piratas informáticos están usando emojis para esconderse a simple vista
En las redes de ciberdelincuencia modernas, los símbolos y emojis se están convirtiendo en un lenguaje común que ayuda a los ciberdelincuentes a comunicar sus intenciones, organizar sus actividades y eludir los métodos de detección tradicionales. (Imagen generada por IA).

Los piratas informáticos están usando emojis para esconderse a simple vista

  • Autor de la entrada:
  • Categoría de la entrada:Análisis
  • Última modificación de la entrada:abril 29, 2026

Para la mayoría, los emojis son una forma inocente de evitar escribir, pero no hay nada inocente en el uso que les dan los delincuentes del submundo digital, según la empresa de inteligencia de amenazas Flashpoint.

A medida que la actividad de los ciberdelincuentes se traslada a plataformas de comunicación informales y dinámicas como Telegram y Discord, la forma en que se comunican está evolucionando, explicó Flashpoint en su blog. Los emojis, a menudo considerados informales o poco técnicos, se han convertido en una parte fundamental de esa evolución.

En foros ilícitos, aplicaciones de mensajería y comunidades cerradas, los emojis se utilizan no solo para expresarse, sino también para indicar intenciones, categorizar actividades y, en algunos casos, ocultar el significado a terceros.

«Lo que observamos en las comunidades ilícitas es que los emojis se utilizan como una capa de señalización constante junto con el texto», declaró Alanah Crocker, directora de capacitación en soluciones de seguridad nacional de Flashpoint.

“Indican aspectos como el acceso, la monetización, la segmentación y el éxito de forma rápida, repetible y, a menudo, más fácil de escalar a diferentes idiomas”, añadió.

Influencia de Telegram y Discord.

Plataformas como Telegram y Discord han transformado la comunicación entre los ciberdelincuentes. “Telegram y Discord les proporcionan canales cifrados, de alta velocidad y efímeros, con alcance global y mínima moderación; algo que los ciberdelincuentes nunca habían tenido”, explicó Yagub Rahimov, director ejecutivo de Polygraf AI, una empresa de seguridad de IA con sede en Austin, Texas.

“La comunicación ha pasado de los foros estructurados de la web oscura a entornos dinámicos donde la monitorización tradicional resulta ineficaz”, declaró. “Para muchos, se trata de soberanía de datos, pero para esos estados y otros ciberdelincuentes, se trata de libertad para causar daño”.

“El cambio a plataformas como Telegram y Discord ha transformado radicalmente la forma en que los ciberdelincuentes se comunican, ya que estos entornos son rápidos, semi-anónimos y están optimizados para la coordinación en tiempo real”, observó Ensar Seker, CISO de SOCRadar, una empresa de inteligencia de amenazas con sede en Newark, Delaware.

“En estos canales, los ciberdelincuentes operan más como equipos ágiles que como usuarios de foros tradicionales, y los emojis se convierten en una extensión natural de ello: son ligeros, independientes del idioma y reconocibles al instante en grupos globales”, declaró. “Esto reduce las fricciones en ecosistemas multilingües y permite a los ciberdelincuentes coordinar operaciones con rapidez sin necesidad de textos extensos”.

Cómo los emojis ayudan a evadir la detección.

Los ciberdelincuentes se inclinan principalmente por Telegram porque ofrece el anonimato que proporciona Signal, junto con la comunidad que antes ofrecían los foros tradicionales, afirmó Karen Walsh, CEO de Allegro Solutions, una consultora de ciberseguridad con sede en West Hartford, Connecticut.

“Aunque es fácil olvidarlo, los ciberdelincuentes son personas, solo que con intenciones maliciosas”, declaró. “Utilizan emojis para comunicar ideas de la misma manera que los usuarios legítimos”.

Por ejemplo, continuó, en comunidades en línea como TikTok, los usuarios legítimos han eludido los filtros de palabras clave para Palestina utilizando el emoji de la sandía, que tiene el mismo color que la bandera palestina. Inicialmente, solo algunas personas comprendían este uso, hasta que se generalizó en todas las aplicaciones.

“De manera similar, los ciberdelincuentes utilizan estas imágenes para burlar la detección de palabras clave, creando una notación visual que los ‘iniciados’ reconocerán”, afirmó. “Al ser imágenes, los filtros de palabras clave no las reconocen, lo que les brinda a los ciberdelincuentes otra forma de evadir la detección. Al mismo tiempo, también crean un sentido de comunidad y un código tácito de pertenencia dentro de este grupo social”.

Seker, de SOCRadar, explicó que los sistemas de monitoreo tradicionales dependen en gran medida de la coincidencia de texto, pero sustituir o complementar las palabras clave con emojis puede invalidar esos modelos. “Una frase que normalmente activaría una alerta puede volverse invisible o parecer inofensiva simplemente reemplazando términos clave con símbolos”, concluyó.

Walsh añadió que usar imágenes para resaltar información importante refleja cómo las personas leen contenido digital. «La mayoría de la gente hojea la información en internet, y las investigaciones demuestran que la lectura en línea es diferente a la lectura en papel», explicó. «Los colores, las formas y el formato de los emojis facilitan aún más esta lectura, haciendo que la información importante sea más fácil de encontrar al hojear el contenido».

Emojis como protocolo.

Los emojis funcionan como una taquigrafía operativa condensada: una especie de comunicación secreta. «Entre las palabras clave más utilizadas hoy en día se encuentran los emojis de llaves que señalan credenciales robadas, una bolsa de dinero que confirma pagos y banderas de países que designan objetivos», señaló Rahimov, de Polygraf.

«En la campaña DISGOMOJI, un grupo APT vinculado a Pakistán utilizó emojis como comandos de máquina literales: un emoji de cámara capturaba capturas de pantalla, un emoji de fuego extraía archivos y una calavera finalizaba procesos», dijo. «Esto no era jerga. Era un protocolo sencillo».

“Los emojis son una codificación de baja entropía que pasa desapercibida”, continuó. “A menudo, ni siquiera se piensa que tengan algún significado. Cuando un atacante reemplaza ‘tarjeta de crédito robada’ con un emoji de tarjeta superpuesto a jerga multilingüe, los filtros basados ​​en expresiones regulares no detectan nada útil. Las herramientas de seguridad diseñadas para escanear comandos basados ​​en cadenas de texto simplemente se vuelven indetectables”.

Los emojis se utilizan cada vez más como una forma abreviada de indicar intenciones. “Un solo icono puede indicar etapas de una operación, como la selección de objetivos, la explotación o la monetización, sin decirlo explícitamente”, explicó Seker. “Ciertos símbolos pueden implicar ‘acceso disponible’, ‘credenciales a la venta’ u ‘operación exitosa’, lo que permite a los atacantes comunicar información sensible de forma comprimida y menos detectable”.

“Los atacantes también utilizan emojis para categorizar flujos de actividad dentro de canales concurridos”, añadió. En grupos de Telegram con gran volumen de usuarios, ciertos emojis pueden funcionar como etiquetas, separando las discusiones sobre malware de las filtraciones de datos, las ofertas de acceso inicial o el fraude financiero. Esto crea una taxonomía visual que permite a los participantes filtrar rápidamente la información relevante sin necesidad de una indexación estructurada.

Significado ambiguo.

Desde la perspectiva de la ofuscación, los emojis introducen una ambigüedad difícil de interpretar para los sistemas automatizados. «El mismo símbolo puede tener diferentes significados según el contexto, la comunidad o incluso el grupo específico de atacantes», explicó Seker. «Esta variabilidad contextual dificulta que personas externas y sistemas de detección comprendan con precisión la intención detrás de las comunicaciones».

«Esto me recuerda al dicho “Una imagen vale más que mil palabras”», añadió Mark Odom, ingeniero sénior de soluciones en Black Duck Software, una empresa de seguridad de aplicaciones en Burlington, Massachusetts.

«Lo mismo se aplica a un emoji», comentó. Según el contexto, un emoji puede representar muchas cosas, como significado, estado o intención. Un emoji que representa una llave puede significar algo inofensivo en una conversación, como que alguien simplemente olvidó las llaves de casa. En otro contexto, tal vez se refiera a una lista de credenciales.

Otro aspecto a considerar es una cadena de emojis, añadió. «Si una imagen vale más que mil palabras, ¿cuántas palabras representa una cadena de imágenes?», preguntó. «Incluso sabiendo lo que pretende un atacante, ¿cómo podrían las fuerzas del orden, por ejemplo, probar esa intención sin mensajes de texto sencillos?. Esto no solo aumenta la complejidad de localizar las conversaciones, sino también lo que se necesitaría para probar la intención».

“En cuanto al uso de patrones para localizar a los ciberdelincuentes”, continuó, “no se puede confiar únicamente en los emojis como método válido para aislar este tipo de conversaciones. En algunos casos, los ciberdelincuentes podrían incluir palabras junto con los emojis, como ‘vender’ antes de un emoji para indicar intenciones, lo cual podría ser útil, pero esto no aumenta la fiabilidad de los resultados al analizar grandes cantidades de datos”.

Dialectos de emojis.

Sin embargo, Rahimov argumentó que los equipos de inteligencia de amenazas deben tratar los patrones de emojis como firmas de comportamiento y utilizar herramientas contextuales. “En esencia, el comportamiento contextual es la principal arma de los defensores, ya que los alias pueden cambiar, pero los comportamientos permanecen”, afirmó.

“Los patrones de uso pueden convertirse en una señal en sí mismos”, añadió Seker. “Con el tiempo, grupos específicos desarrollan ‘dialectos de emojis’ consistentes que se pueden rastrear. Los analistas pueden usar estos patrones como parte de la identificación de comportamiento, correlacionando la actividad en diferentes plataformas, atribuyendo campañas o identificando a ciberdelincuentes recurrentes incluso cuando cambian los nombres de usuario o la infraestructura”.

«El uso de emojis refleja la profesionalización de los ecosistemas del cibercrimen», afirmó. «Estos actores buscan optimizar la eficiencia, la escala y la resiliencia, al igual que las organizaciones legítimas».

«Los emojis no son una novedad», advirtió. «Se están convirtiendo en parte del lenguaje operativo de los ciberdelincuentes modernos, y los defensores deben tratarlos como tal».

Etiquetas: , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,