Telegram, uno de los mensajeros más utilizados a nivel global, se ha visto implicado en una nueva vulnerabilidad de privacidad que afecta a sus aplicaciones para Android e iOS. Investigadores de ciberseguridad han demostrado que es posible obtener la dirección IP real del usuario con tan solo un clic en un enlace especialmente preparado de tipo t.me/proxy, sin que la víctima tenga que aprobar ningún cambio de configuración ni realizar acciones adicionales.
Vulnerabilidad en Telegram: filtración de IP mediante enlaces MTProto‑proxy
La base técnica del problema reside en la forma en que Telegram maneja las URL de configuración de MTProto‑proxy. Estos enlaces permiten configurar de forma automática un proxy MTProto en el cliente: el usuario pulsa sobre el enlace, la aplicación extrae los parámetros (servidor, puerto y clave secreta) y, en teoría, debería ofrecer la opción de añadir el proxy a su configuración de red.
El uso de MTProto‑proxy es habitual en entornos con bloqueos o censura, ya que permite sortear restricciones locales. Sin embargo, el análisis de varios investigadores ha puesto de manifiesto que, al abrir uno de estos enlaces, los clientes móviles de Telegram realizan automáticamente una conexión de prueba con el servidor MTProto indicado, incluso antes de que el usuario confirme si desea usar ese proxy.
Este tráfico de prueba se origina directamente desde el dispositivo del usuario hacia el servidor del proxy. Como consecuencia, el operador de ese servidor —o un atacante que controle la infraestructura— obtiene de forma inmediata la IP pública real del dispositivo, así como información asociada a la conexión (como el proveedor de acceso y una geolocalización aproximada basada en IP).
Cómo se explota la falla: de t.me/proxy a la IP real del usuario
Conexión automática de comprobación sin interacción explícita
Cuando se abre un enlace con el formato t.me/proxy?server=…&port=…&secret=…, el cliente de Telegram valida de forma silenciosa que ese servidor proxy está disponible y responde correctamente. Desde el punto de vista de la usabilidad, este comportamiento tiene sentido: evita que el usuario añada proxies inactivos o mal configurados.
El problema de seguridad es que esta comprobación ocurre sin ninguna advertencia visible y antes de cualquier consentimiento explícito. Es decir, basta con que la víctima pulse sobre el enlace para que el servidor MTProto reciba una conexión directa desde su dispositivo. Para un atacante, esto equivale a disponer de un mecanismo de recolección de direcciones IP a un solo clic.
Enlaces maliciosos disfrazados de nombres de usuario
El riesgo se incrementa porque estos enlaces pueden camuflarse fácilmente. En la interfaz de Telegram, un atacante puede presentar un texto que parezca un nombre de usuario típico, como @ejemplo, mientras que el enlace real apunta a t.me/proxy?… controlado por el propio atacante.
Desde la perspectiva del usuario, parece que solo está accediendo al perfil de alguien o a un canal. Sin embargo, en el momento en que pulsa el enlace, la aplicación establece la conexión de prueba con el servidor MTProto malicioso. Incluso si el usuario cancela la configuración del proxy en la ventana posterior, la fuga de la IP ya se ha producido durante esa conexión inicial.
Riesgos de seguridad y privacidad al exponer la dirección IP en Telegram
Una dirección IP no equivale por sí sola a una identidad completa, pero en ciberseguridad se considera un identificador sensible. Con ella, un atacante puede:
1. Inferir ubicación aproximada. Los servicios de geolocalización por IP permiten estimar país, región y, en muchos casos, la ciudad. Para periodistas, activistas, disidentes políticos o personas en contextos represivos, este nivel de detalle puede suponer un riesgo significativo.
2. Lanzar ataques de red dirigidos. Conocer la IP facilita la ejecución de ataques de denegación de servicio distribuida (DDoS) o intentos de intrusión contra routers domésticos y redes corporativas, especialmente si el usuario se conecta desde su oficina o desde una infraestructura crítica.
3. Contribuir a la desanonimización. En investigaciones de seguimiento, la IP se combina con cuentas de usuario, patrones de actividad, horarios de conexión y otros identificadores. Esta correlación incrementa la probabilidad de vincular una identidad digital con una persona concreta. Informes de organizaciones como la Electronic Frontier Foundation (EFF) han subrayado repetidamente el papel de la dirección IP en la erosión del anonimato en línea.
Por ello, los mecanismos de conexiones automáticas en segundo plano sin notificación clara resultan especialmente problemáticos en aplicaciones que se promocionan como herramientas de comunicación privada y segura.
Quién descubrió el problema y reacción oficial de Telegram
El comportamiento anómalo de las URL t.me/proxy fue observado inicialmente por miembros del canal de Telegram chekist42. Posteriormente, otros investigadores de seguridad —entre ellos el especialista conocido como 0x6rss— publicaron demostraciones en vídeo mostrando cómo se realiza la filtración de IP en la práctica.
En declaraciones al medio especializado BleepingComputer, representantes de Telegram señalaron que los propietarios de sitios web y servidores proxy, en general, siempre ven la IP de los clientes, y que esto no es exclusivo de su plataforma, sino algo común en servicios web y de mensajería.
No obstante, la compañía ha admitido la necesidad de mejorar la transparencia y ha anunciado que añadirá una advertencia explícita al abrir enlaces de tipo proxy, con el objetivo de que los usuarios revisen con más atención a qué URL acceden. Hasta el momento de redactar este texto, Telegram no ha comunicado un calendario concreto para el despliegue de esta nueva advertencia en todas sus aplicaciones.
Mientras tanto, es recomendable que los usuarios adopten varias medidas de mitigación: no abrir enlaces sospechosos o disfrazados, comprobar si la URL real contiene t.me/proxy antes de pulsar, usar un VPN fiable o Tor para ocultar la IP real, y limitar el uso de proxies MTProto de terceros a operadores de absoluta confianza. Esta vulnerabilidad recuerda que la seguridad en mensajería no depende solo del cifrado, sino también de comprender cómo se gestionan las conexiones de red y de mantener una higiene digital constante.
