Una sanción contra un servicio usado por ransomware terminó desconectando los enlaces de Telegram
Medida del Departamento del Tesoro de EE. UU. contra un proveedor de VPN utilizado por grupos de ransomware habría provocado la desaparición temporal de todos los enlaces t.me de Telegram en el mundo
El incidente expone hasta qué punto decisiones regulatorias pueden impactar infraestructura crítica de Internet de formas difíciles de anticipar.
Una sanción dirigida… con consecuencias globales
La Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de Estados Unidos anunció esta semana sanciones contra First VPN Service (1VPNS), un proveedor de VPN acusado de facilitar infraestructura a distintos grupos de ransomware. La medida formó parte de una acción coordinada contra actores que prestan servicios al ecosistema del cibercrimen.
Sin embargo, entre los múltiples identificadores incluidos en la resolución apareció un detalle aparentemente menor: el canal de Telegram t.me/FirstVPNService, utilizado por el servicio sancionado.
Pocas horas después comenzó un fenómeno inesperado.
Todos los enlaces t.me dejaron de funcionar
Registros WHOIS mostraron que el dominio t.me fue colocado en estado serverHold, una condición aplicada a nivel del registro del dominio que elimina completamente su resolución DNS.
El resultado fue inmediato: cualquier enlace corto de Telegram —canales, grupos, bots, perfiles públicos o invitaciones— dejó de funcionar desde navegadores y aplicaciones externas alrededor del mundo.
Lo llamativo es que Telegram nunca dejó de operar.
Los usuarios que ya tenían la aplicación instalada pudieron seguir enviando mensajes normalmente, mientras que el dominio histórico telegram.me continuó resolviendo correctamente. El problema afectó específicamente al dominio abreviado t.me, utilizado como estándar por la plataforma desde hace años.
¿Fue realmente culpa de las sanciones?
Hasta el momento no existe una confirmación oficial por parte de OFAC, Telegram ni del registro .me que establezca una relación directa entre ambos hechos.
Sin embargo, la secuencia temporal llamó inmediatamente la atención:
OFAC publica la sanción contra 1VPNS.
En la resolución aparece un enlace
t.me.Horas después el registro coloca todo el dominio t.me en estado serverHold.
Comienza la caída global de todos los enlaces.
Además, circuló una captura de pantalla atribuida al operador del registro indicando que la suspensión respondía a “OFAC-related compliance requirements”, aunque dicha evidencia aún no fue validada públicamente de forma independiente.
En otras palabras, la hipótesis es sólida por la coincidencia de los hechos, pero todavía falta una confirmación oficial que cierre definitivamente el caso.
¿Qué significa un serverHold?
A diferencia de una caída de servidores o un problema de conectividad, un estado serverHold actúa directamente sobre el sistema de nombres de dominio (DNS).
Cuando un dominio recibe ese estado:
deja de publicarse en el DNS mundial;
ningún navegador puede resolverlo;
todos los enlaces asociados dejan de existir desde la perspectiva de Internet.
Es una medida extremadamente potente porque no afecta únicamente un sitio web concreto: elimina la visibilidad completa del dominio.
En este caso, eso implicó inutilizar millones de enlaces públicos utilizados diariamente por Telegram.
Más allá de Telegram: un problema de infraestructura
El episodio también deja una reflexión importante sobre cómo funcionan hoy algunos componentes fundamentales de Internet.
La sanción apuntaba a un recurso específico asociado a un proveedor investigado por facilitar operaciones de ransomware. Sin embargo, si efectivamente el mecanismo de cumplimiento terminó afectando al dominio completo, el alcance fue muchísimo mayor que el objetivo original.
Más allá de que se trate de Telegram, el caso ilustra un desafío creciente para la gobernanza de Internet: decisiones regulatorias o de cumplimiento pueden propagarse rápidamente a infraestructura compartida, generando efectos colaterales sobre millones de usuarios que no guardan ninguna relación con el objetivo inicial.
A medida que plataformas globales concentran cada vez más servicios sobre un número reducido de dominios, registros y operadores de infraestructura, también aumenta el impacto potencial de este tipo de errores o interpretaciones automatizadas.
En ciberseguridad suele hablarse del blast radius: el alcance que puede tener un incidente. Este episodio demuestra que ese concepto ya no aplica únicamente a ataques informáticos, sino también a mecanismos administrativos capaces de afectar, en cuestión de minutos, parte de la infraestructura pública de Internet.



