{"id":32286,"date":"2026-07-01T09:47:01","date_gmt":"2026-07-01T07:47:01","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=32286"},"modified":"2026-07-01T09:47:01","modified_gmt":"2026-07-01T07:47:01","slug":"telegram-no-password-session-stealer","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/telegram-no-password-session-stealer\/32286\/","title":{"rendered":"Puedes perder el acceso a tu cuenta de Telegram sin contrase\u00f1as ni c\u00f3digos de verificaci\u00f3n"},"content":{"rendered":"<p>Existen decenas de formas de acceder a la cuenta de Telegram de una persona. Hemos tratado en numerosas ocasiones el tema del <a href=\"https:\/\/www.kaspersky.com\/blog\/telegram-mini-app-phishing\/55041\/\" target=\"_blank\" rel=\"noopener nofollow\">phishing en las miniaplicaciones de Telegram<\/a>, <a href=\"https:\/\/www.kaspersky.es\/blog\/phishing-and-scam-in-telegram-2025\/31315\/\" target=\"_blank\" rel=\"noopener\">las estafas con bots, los regalos y los sorteos<\/a>, as\u00ed como muchas otras t\u00e1cticas. Hoy vamos a analizar otro m\u00e9todo m\u00e1s de secuestro de cuentas, uno que se basa en un script de PowerShell.<\/p>\n<p>El script, cuyo nombre enga\u00f1oso es \u201cActualizaci\u00f3n de telemetr\u00eda de Windows\u201d, sirve en realidad como herramienta para secuestrar sesiones de Telegram. Recopila datos de ordenadores <a href=\"https:\/\/www.kaspersky.es\/premium?icid=es_bb2022-kdplacehd_acq_ona_smm__onl_b2c_kdaily_lnk_sm-team___kprem___\" target=\"_blank\" rel=\"noopener\">totalmente desprotegidos<\/a>\u00a0y los env\u00eda a los atacantes a trav\u00e9s de un bot de Telegram.<\/p>\n<h2>Un script malicioso que contiene un stealer<\/h2>\n<p>Los atacantes con frecuencia conf\u00edan en los scripts de PowerShell para descargar malware o recolectar datos de manera encubierta. Esta vez, los investigadores <a href=\"https:\/\/flare.io\/learn\/resources\/blog\/telegram-session-stealerpastebin-hosted-powershell-script-targets-desktop-web-sessions\" target=\"_blank\" rel=\"noopener nofollow\">descubrieron<\/a> un script en Pastebin que se hac\u00eda pasar por una actualizaci\u00f3n rutinaria de Windows. En realidad, era un infostealer dise\u00f1ado para secuestrar datos de sesi\u00f3n de Telegram para Windows y permitir que los pciberdelincuentes se apoderaran de cuentas sin contrase\u00f1a ni c\u00f3digo de verificaci\u00f3n.<\/p>\n<blockquote><p>\u00bfQu\u00e9 es, en realidad, un script de PowerShell? Piensa en \u00e9l como un archivo de texto lleno de comandos para un ordenador con Windows. En lugar de que una persona tenga que perder tiempo haciendo clic manualmente en cada tarea, el ordenador sigue estas breves instrucciones para hacerlo todo autom\u00e1ticamente en cuesti\u00f3n de segundos.<\/p><\/blockquote>\n<div id=\"attachment_32288\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2026\/06\/30160605\/telegram-no-password-session-stealer-01.png\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-32288\" class=\"wp-image-32288 size-large\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2026\/06\/30160605\/telegram-no-password-session-stealer-01.png\" alt=\"Este script de PowerShell roba los datos de sesi\u00f3n de Telegram para Windows, lo que les permite a los ciberdelincuentes secuestrar cuentas sin necesidad de contrase\u00f1as ni c\u00f3digos de verificaci\u00f3n.\" width=\"1024\" height=\"639\"><\/a><p id=\"caption-attachment-32288\" class=\"wp-caption-text\">Este script de PowerShell roba los datos de sesi\u00f3n de Telegram para Windows, lo que les permite a los ciberdelincuentes secuestrar cuentas sin necesidad de contrase\u00f1as ni c\u00f3digos de verificaci\u00f3n.<\/p><\/div>\n<p>Justo al principio del script, los investigadores detectaron enseguida un token de bot de Telegram y un ID de chat, adem\u00e1s de varias referencias a la carpeta <em>tdata<\/em>. Esta carpeta espec\u00edfica es donde Telegram para Windows guarda las claves de autorizaci\u00f3n utilizadas para iniciar sesi\u00f3n en sus servidores. Si los atacantes consiguen estos datos, pueden acceder a la cuenta de Telegram de la v\u00edctima sin necesidad de contrase\u00f1as ni c\u00f3digos de verificaci\u00f3n. Una vez dentro, siguen teniendo acceso hasta que la v\u00edctima comprueba sus sesiones activas en la app y cierra manualmente las que le parezcan sospechosas.<\/p>\n<h2>C\u00f3mo funciona el stealer<\/h2>\n<p>El malware se cuela en el ordenador de la v\u00edctima camuflado como un script de PowerShell para una actualizaci\u00f3n de telemetr\u00eda de Windows. En cuanto se ejecuta, recopila informaci\u00f3n b\u00e1sica del sistema: nombre de usuario, nombre de host y direcci\u00f3n IP p\u00fablica. Luego, comprueba si tienes instalado Telegram Desktop. Si es as\u00ed, el script obliga a la aplicaci\u00f3n a cerrarse para poder desbloquear los archivos de Telegram y poder editarlos.<\/p>\n<p>A partir de ah\u00ed, el resto es sencillo: el script comprime todo el contenido de la carpeta <em>tdata<\/em> en un directorio temporal, env\u00eda el archivo comprimido directamente a los atacantes y lo borra del ordenador para ocultar sus rastros.<\/p>\n<p>La buena noticia es que es probable que el stealer a\u00fan no haya vulnerado ninguna cuenta, ya que los expertos no encontraron pruebas de que se hayan producido transferencias de datos. Al parecer, los investigadores detectaron este script malicioso de PowerShell cuando a\u00fan se encontraba en la fase de pruebas del prototipo.<\/p>\n<p>Otro indicio es su nombre, que resulta sorprendentemente sospechoso. Los ciberdelincuentes suelen utilizar nombres neutrales para ocultar sus bots y aplicaciones. En este caso, cuando los investigadores lo encontraron, el bot se ejecutaba bajo el nombre de usuario <em>afhbhfsdvfh_bot<\/em>, con una descripci\u00f3n que no dejaba lugar a dudas: <em>Atacante de Telegram<\/em>. Los investigadores se\u00f1alaron que, aunque era probable que el bot se hubiera sometido a pruebas funcionales, a\u00fan no se hab\u00eda implementado a gran escala, lo que explica el nombre provisional.<\/p>\n<h2>C\u00f3mo protegerte contra los scripts de PowerShell<\/h2>\n<p>Para defenderse de este ladr\u00f3n an\u00f3nimo, hay que adoptar un enfoque de seguridad por capas. Para empezar, debemos entender c\u00f3mo llega un script de PowerShell a tu PC en primer lugar. Normalmente, se cuelan sin que te des cuenta a trav\u00e9s de archivos adjuntos maliciosos en correos electr\u00f3nicos, vulnerabilidades de software, aplicaciones infectadas o trucos de ingenier\u00eda social. Por eso, recomendamos instalar un <a href=\"https:\/\/www.kaspersky.es\/premium?icid=es_bb2022-kdplacehd_acq_ona_smm__onl_b2c_kdaily_lnk_sm-team___kprem___\" target=\"_blank\" rel=\"noopener\">buen paquete de seguridad<\/a>\u00a0en tu dispositivo y que tengas mucho cuidado con los enlaces en los que haces clic y los archivos que descargas.<\/p>\n<ul>\n<li><strong>Ten cuidado con lo que descargas.<\/strong> Comprueba siempre las p\u00e1ginas web que usas para descargar archivos. Recurre siempre a fuentes oficiales y de confianza, y\u00a0recuerda que los canales de Telegram y <a href=\"https:\/\/www.kaspersky.es\/blog\/hijacked-discord-invite-links-for-multi-stage-malware-delivery\/31208\/\" target=\"_blank\" rel=\"noopener\">Discord<\/a>, as\u00ed como las p\u00e1ginas web poco fiables y ef\u00edmeras, no encajan en absoluto en esa descripci\u00f3n.<\/li>\n<li><strong>Ten cuidado con los enlaces y los archivos adjuntos de los correos electr\u00f3nicos. <\/strong>Ten en cuenta que el correo electr\u00f3nico sigue siendo uno de los m\u00e9todos favoritos de los ciberdelincuentes. Podr\u00edan enviarte un script de PowerShell directamente a tu bandeja de entrada como archivo adjunto o enga\u00f1arte para que hagas clic en un enlace que active una descarga autom\u00e1tica.<\/li>\n<li><strong>Mant\u00e9n actualizadas tus aplicaciones y el sistema operativo. <\/strong>Las vulnerabilidades de software surgen de forma inesperada, pero los parches suelen publicarse muy r\u00e1pido. Recomendamos instalar las actualizaciones tan pronto como est\u00e9n disponibles. Para simplificar las cosas, activa las actualizaciones autom\u00e1ticas siempre que puedas.<\/li>\n<\/ul>\n<p>Aseg\u00farate de instalar <a href=\"https:\/\/www.kaspersky.es\/premium?icid=es_bb2022-kdplacehd_acq_ona_smm__onl_b2c_kdaily_lnk_sm-team___kprem___\" target=\"_blank\" rel=\"noopener\">Kaspersky Premium<\/a><b> <\/b>en todos los dispositivos en los que uses Telegram. Nuestra soluci\u00f3n de seguridad bloquear\u00e1 el malware, los archivos adjuntos maliciosos, el spam, los intentos de phishing y las p\u00e1ginas web sospechosas. La <a href=\"https:\/\/www.kaspersky.es\/premium?icid=es_bb2022-kdplacehd_acq_ona_smm__onl_b2c_kdaily_lnk_sm-team___kprem___\" target=\"_blank\" rel=\"noopener\">suscripci\u00f3n tambi\u00e9n incluye un<\/a> <a href=\"https:\/\/www.kaspersky.es\/password-manager?icid=es_kdailyplacehold_acq_ona_smm__onl_b2c_kasperskydaily_wpplaceholder____kpm___\" target=\"_blank\" rel=\"noopener\">administrador de contrase\u00f1as<\/a>. Genera y almacena de forma segura contrase\u00f1as robustas y \u00fanicas, evita que introduzcas tus datos de acceso en p\u00e1ginas falsas y resulta muy \u00fatil para reforzar la seguridad de Telegram, algo que veremos a continuaci\u00f3n.<\/p>\n<h2>C\u00f3mo proteger tu cuenta de Telegram<\/h2>\n<p>Para proteger tu cuenta de Telegram frente a este tipo de enga\u00f1os que incluyen secuestro de cuentas, te recomendamos lo siguiente:<\/p>\n<ul>\n<li><strong>Supervisa de vez en cuando tu actividad en Telegram.<\/strong> Al final, los ciberdelincuentes roban cuentas para enviar spam masivo y llevar a cabo estafas. Es buena idea revisar de vez en cuando tu historial de chat para asegurarte de que no haya aparecido ninguna conversaci\u00f3n o mensaje nuevo que no hayas enviado t\u00fa mismo.<\/li>\n<li><strong>Cierra inmediatamente las sesiones no reconocidas.<\/strong> Si sospechas que has sido v\u00edctima de este infostealer o de cualquier otro ciberataque, cierra todas las dem\u00e1s sesiones de Telegram lo antes posible yendo a <em>Configuraci\u00f3n<\/em> \u2192 <em>Dispositivos<\/em> \u2192 <em>Cerrar todas las dem\u00e1s sesiones<\/em>.<\/li>\n<\/ul>\n<p>Si ya te secuestraron la cuenta de Telegram, tienes un plazo de 24\u00a0horas para echar a los atacantes cerrando sus sesiones. En nuestra gu\u00eda detallada, <a href=\"https:\/\/www.kaspersky.es\/blog\/telegram-account-hacked\/30678\/\" target=\"_blank\" rel=\"noopener\"><strong>Qu\u00e9 hacer si hackean tu cuenta de Telegram<\/strong><\/a>, te explicamos con todo detalle por qu\u00e9 existe esta regla y te indicamos todas las formas posibles de recuperar tu cuenta.<\/p>\n<p>Mientras tanto, es imprescindible reforzar la seguridad de tu cuenta. Primero, configura una contrase\u00f1a en la nube yendo a <em>Configuraci\u00f3n<\/em> \u2192 <em>Privacidad y seguridad<\/em> \u2192 <em>Verificaci\u00f3n en dos\u00a0pasos<\/em>. No vale cualquier contrase\u00f1a: necesitas algo \u00fanico e imposible de hackear. Recomendamos leer nuestra publicaci\u00f3n sobre el tema: <a href=\"https:\/\/www.kaspersky.es\/blog\/international-password-day-2025\/30932\/\" target=\"_blank\" rel=\"noopener\"><strong>C\u00f3mo crear una contrase\u00f1a f\u00e1cil de recordar<\/strong><\/a>.<\/p>\n<p>Mejor a\u00fan, p\u00e1sate a las <a href=\"https:\/\/www.kaspersky.es\/blog\/full-guide-to-passkeys-in-2025-part-1\/31099\/\" target=\"_blank\" rel=\"noopener\">llaves de acceso<\/a>, una tecnolog\u00eda sin contrase\u00f1as que ofrece una protecci\u00f3n de primer nivel contra las filtraciones y el phishing. Para configurar ese m\u00e9todo de inicio de sesi\u00f3n, ve a <em>Configuraci\u00f3n<\/em> \u2192 <em>Privacidad y seguridad<\/em> \u2192 <em>Llaves de acceso<\/em>. La forma m\u00e1s f\u00e1cil de administrar tus llaves de acceso es con <strong><a href=\"https:\/\/www.kaspersky.es\/password-manager?icid=es_kdailyplacehold_acq_ona_smm__onl_b2c_kasperskydaily_wpplaceholder____kpm___\" target=\"_blank\" rel=\"noopener\">Kaspersky Password Manager<\/a><\/strong>. Nuestra aplicaci\u00f3n multiplataforma te garantiza que puedas iniciar sesi\u00f3n en Telegram sin problemas usando tus llaves de acceso guardadas, tanto si usas Windows, Android, iOS o macOS.<\/p>\n<blockquote><p>Si quieres saber m\u00e1s sobre c\u00f3mo los ciberdelincuentes pueden acceder a tu cuenta de Telegram y c\u00f3mo protegerla, echa un vistazo a nuestras otras publicaciones:<\/p>\n<ul>\n<li><a href=\"https:\/\/www.kaspersky.es\/blog\/phishing-and-scam-in-telegram-2025\/31315\/\" target=\"_blank\" rel=\"noopener\"><strong>Estafas de Telegram con bots, regalos y criptomonedas<\/strong><\/a><\/li>\n<li><a href=\"https:\/\/www.kaspersky.es\/blog\/how-to-prevent-whatsapp-telegram-account-hijacking-and-quishing\/30780\/\" target=\"_blank\" rel=\"noopener\"><strong>Robo de cuentas de WhatsApp y Telegram: c\u00f3mo protegerse de las estafas<\/strong><\/a><\/li>\n<li><a href=\"https:\/\/www.kaspersky.es\/blog\/telegram-premium-scam\/30608\/\" target=\"_blank\" rel=\"noopener\"><strong>Te han enviado un \u201cregalo\u201d: una suscripci\u00f3n a Telegram Premium<\/strong><\/a><\/li>\n<li><a href=\"https:\/\/www.kaspersky.es\/blog\/telegram-account-hacked\/30678\/\" target=\"_blank\" rel=\"noopener\"><strong>Qu\u00e9 hacer si hackean tu cuenta de Telegram<\/strong><\/a><\/li>\n<li><a href=\"https:\/\/www.kaspersky.com\/blog\/telegram-mini-app-phishing\/55041\/\" target=\"_blank\" rel=\"noopener nofollow\"><strong>El phishing en las miniaplicaciones de Telegram: \u00bfqu\u00e9 tiene que ver la papakha de Habib?<\/strong><\/a><\/li>\n<\/ul>\n<\/blockquote>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"premium-generic\">\n","protected":false},"excerpt":{"rendered":"<p>Los cinberdelincuentes han desarrollado un script de PowerShell que secuestra sesiones de Telegram y les permite a los atacantes acceder a las cuentas sin contrase\u00f1as ni c\u00f3digos de verificaci\u00f3n. A continuaci\u00f3n, te contamos c\u00f3mo funciona y c\u00f3mo mantenerse a salvo.<\/p>\n","protected":false},"author":2754,"featured_media":32287,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1348,1124],"tags":[378,2381,3517,61,2958,750],"class_list":{"0":"post-32286","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-privacy","9":"tag-amenazas","10":"tag-cuentas","11":"tag-mensajeros","12":"tag-seguridad","13":"tag-stealers","14":"tag-telegram"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/telegram-no-password-session-stealer\/32286\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/telegram-no-password-session-stealer\/30842\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/telegram-no-password-session-stealer\/25881\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/telegram-no-password-session-stealer\/30683\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/telegram-no-password-session-stealer\/42109\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/telegram-no-password-session-stealer\/56006\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/telegram-no-password-session-stealer\/30790\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/telegram-no-password-session-stealer\/36351\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/telegram-no-password-session-stealer\/36241\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/telegram\/","name":"telegram"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/32286","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/2754"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=32286"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/32286\/revisions"}],"predecessor-version":[{"id":32291,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/32286\/revisions\/32291"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/32287"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=32286"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=32286"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=32286"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}