- Enlaces de proxy camuflados en Telegram pueden exponer la dirección IP real del usuario con un solo clic.
- La validación automática de proxys en Android e iOS realiza una conexión directa que puede saltarse VPN y proxys previos.
- La filtración de IP facilita geolocalización, perfilado y ataques dirigidos, afectando especialmente a usuarios de alto riesgo.
- Telegram añadirá advertencias en los enlaces proxy, pero por ahora es clave extremar la precaución con cualquier enlace t.me sospechoso.
Cuando pensamos en Telegram, muchos lo asociamos directamente con privacidad, anonimato y seguridad en la mensajería. Sin embargo, una investigación reciente ha destapado un problema bastante delicado: un simple enlace dentro de la app puede llegar a filtrar tu IP real en un solo clic, incluso aunque estés usando VPN o un proxy para protegerte.
Este comportamiento no es un “hackeo mágico”, sino una forma muy concreta de aprovechar cómo gestiona Telegram los enlaces especiales de proxy MTProto y otros proxys. Varios investigadores de seguridad y medios especializados, como Bleeping Computer, han documentado cómo atacantes están camuflando estos enlaces técnicos bajo apariencia de enlaces normales con dominio t.me, lo que abre la puerta a rastreo, vigilancia y ataques dirigidos.
Qué está pasando exactamente con los enlaces de Telegram y la IP
El origen del problema está en el uso de enlaces proxy especiales dentro de Telegram, diseñados para que el usuario pueda configurar un proxy con un solo toque, sin tener que introducir manualmente servidor, puerto, clave, etc. Estos enlaces suelen tener formato del estilo t.me/proxy?server=… y se utilizan sobre todo para eludir censura o bloqueos de la app en determinados países.
En un escenario normal, estos enlaces se comparten de forma transparente: el usuario sabe que va a añadir un proxy, entiende que cambiará la ruta de sus conexiones y es consciente de que ese servidor intermedio verá su tráfico y su IP. El problema aparece cuando ciberdelincuentes comienzan a disfrazar esos enlaces proxy como si fueran simples perfiles, canales o nombres de usuario comunes, manteniendo el dominio t.me, pero ocultando parámetros de proxy en la propia URL.
Cuando la víctima toca uno de estos enlaces camuflados en su móvil, el cliente de Telegram para Android o iOS lanza automáticamente una conexión de prueba hacia el servidor proxy indicado, incluso antes de mostrar ningún aviso o pedir permiso para añadirlo a la configuración. Esa conexión inicial se hace de forma silenciosa y directa.
Esa “prueba rápida” tiene un efecto clave: la solicitud se envía desde el propio dispositivo usando la interfaz de red por defecto, saltándose cualquier proxy previo e incluso, en algunos escenarios, el túnel VPN. Resultado: la IP real del dispositivo llega limpia y clara al servidor que controla el atacante.
Cómo funciona el truco técnico paso a paso
Para entender bien el riesgo, conviene desgranar el procedimiento con algo de detalle, porque es bastante sencillo de explotar y, a la vez, muy fácil de pasar por alto para el usuario medio que confía en su app de mensajería favorita y en su VPN o infraestructura de anonimato.
Primero, el atacante crea un enlace de tipo proxy, por ejemplo con formato t.me/proxy?server=IP-del-atacante&port=… y otros parámetros MTProto. Ese enlace se genera de forma legítima usando las funciones de Telegram, pero con la particularidad de que el servidor pertenece al propio atacante, que tiene control total sobre los registros de conexión y puede anotar, sin ninguna dificultad, la dirección IP pública de cualquier dispositivo que se conecte.
El siguiente paso es el camuflaje. En lugar de mostrar el enlace proxy de forma explícita, el atacante lo esconde bajo la apariencia de un nombre de usuario corriente o un enlace interno “inofensivo”. Para la víctima, a simple vista, parece que va a abrir el perfil de alguien o entrar en un canal más, sin ninguna pista visual de que en realidad está interactuando con un proxy.
Al tocar el enlace en Android o iOS, el cliente de Telegram inicia automáticamente una validación silenciosa del proxy: hace un “ping” o prueba de conexión al servidor antes de ofrecer al usuario la opción de añadirlo a su configuración. Ese tráfico de prueba no solicita confirmación, no muestra ningún cuadro de diálogo previo y se envía por la ruta de red estándar del dispositivo.
Según han documentado investigadores como 0x6rss, esa solicitud de comprobación ignora proxys ya configurados e incluso, según el entorno, puede cruzar fuera del túnel VPN. Es decir, en ese instante, toda la capa de anonimato en la que el usuario confiaba queda esquivada y la IP real termina directamente en los logs del servidor del atacante.
Quién ha descubierto el problema y cómo se ha verificado
La existencia de esta técnica se dio a conocer inicialmente en el canal de Telegram chekist42, centrado en temas de ciberseguridad, donde se publicaron ejemplos prácticos de enlaces manipulados capaces de obtener IPs reales de usuarios móviles. A partir de ahí, varios investigadores reconocidos en la comunidad se pusieron manos a la obra para analizar el comportamiento.
Entre los expertos que han confirmado el problema destacan GangExposed R y 0x6rss, quienes no solo validaron el fallo sino que además difundieron pruebas de concepto públicas. En redes como X (antes Twitter), 0x6rss mostró demostraciones donde, tras hacer clic en un enlace de Telegram especialmente diseñado, el servidor de prueba registraba de inmediato la IP real del dispositivo, sin que el usuario tuviera que aceptar nada.
Medios especializados en ciberseguridad, como Bleeping Computer y diferentes newsletters de seguridad, recogieron y documentaron el hallazgo con detalle. Explicaron que la causa de fondo no es una brecha de cifrado ni algo relacionado con el contenido de los mensajes, sino un diseño arriesgado en la forma en que Telegram implementa la gestión y validación de proxys.
El problema se ha observado principalmente en las versiones móviles de Telegram para Android e iOS, que son precisamente las más utilizadas a nivel global. La enorme base de usuarios móviles multiplica el potencial de impacto, ya que basta con distribuir enlaces en canales masivos o grupos públicos para que miles de personas terminen haciendo clic por pura inercia.
Algunos analistas han comparado esta situación con fugas clásicas de otros entornos, como las filtraciones de hashes NTLM en sistemas Windows, donde un simple intento de autenticación a un recurso externo podía delatar información sensible. Aquí ocurre algo similar: un clic aparentemente inocente desencadena una conexión que revela datos de red críticos.
Por qué exponer tu IP es mucho más grave de lo que parece
Mucha gente tiende a pensar que la dirección IP es un dato menor, algo casi irrelevante comparado con el contenido de los mensajes o las contraseñas. Sin embargo, en la práctica, la IP es un identificador muy jugoso para cualquiera que quiera vigilar, perfilar o atacar a un usuario, especialmente si este depende del anonimato para su seguridad personal.
Aunque la IP no delata por sí sola tu calle y tu portal, sí permite conocer con bastante precisión la ciudad o región en la que estás, tu proveedor de Internet y, analizando patrones, posibles horarios y ubicaciones habituales. Cruzando esta información con otros datos, un atacante (o un actor vinculado a un Estado) puede reconstruir movimientos, rutinas e incluso relacionarte con determinadas actividades o grupos.
En países donde el uso de Telegram está supervisado, limitado o directamente bloqueado, esta fuga puede tener consecuencias muy serias. Activistas, periodistas, opositores políticos o colectivos vulnerables suelen apoyarse en proxies y VPN para comunicarse sin miedo. Si, con un solo enlace malicioso, un tercero logra su IP real, puede ser suficiente para iniciar labores de rastreo más agresivas.
Más allá de la geolocalización aproximada, con la IP en su poder un atacante puede empezar a lanzar ataques de tipo DDoS contra la conexión de la víctima, dejando su servicio de Internet inutilizable por saturación. También puede realizar escaneos de red dirigidos para localizar otros dispositivos vulnerables en esa misma conexión: routers mal configurados, cámaras IP expuestas, servidores caseros, etc.
Con todos esos datos técnicos y de contexto, se pueden construir perfiles muy detallados de los usuarios, vinculando identidades digitales con entornos físicos. Y, en manos equivocadas, ese tipo de perfilado abre la puerta al doxing, la extorsión, el acoso o incluso acciones coercitivas en el mundo real.
Telegram, los proxys y el delicado equilibrio entre usabilidad y privacidad
Telegram lleva años apostando por compatibilidad con diferentes sistemas de proxy, en particular SOCKS5 y MTProto, precisamente para que quienes viven en entornos con censura puedan seguir accediendo a la plataforma. Desde 2018, la app incorpora su propio sistema de proxy MTProto personalizado, pensado para saltarse bloqueos de forma relativamente sencilla.
Estos proxys actúan como intermediarios: el tráfico va cifrado desde el dispositivo al proxy y de ahí a los servidores de Telegram. La idea es que el proveedor de Internet local no sepa exactamente qué se está haciendo ni con quién se está interactuando. En este modelo, el operador del proxy sí ve la IP de los usuarios que se conectan a través de él, algo que Telegram reconoce abiertamente y que no es exclusivo de su aplicación, sino inherente al funcionamiento de cualquier proxy.
El detalle cuestionado por los investigadores no es tanto que el operador de un proxy vea la IP (eso ya se da por hecho), sino que, debido al diseño actual, la app realice por defecto esa prueba de conexión directa sin avisar al usuario, saltándose incluso otros mecanismos de anonimato que tenían precisamente el objetivo de ocultar dicha IP.
Esta tensión entre comodidad y seguridad no es nueva. Otras apps centradas en la privacidad, como Signal, también han tenido que revisar en el pasado ciertas decisiones de diseño tras descubrirse comportamientos de red que podían eludir proxys o VPN bajo ciertas condiciones. El reto está en ofrecer una experiencia de uso fluida sin abrir puertas traseras involuntarias a la exposición de metadatos.
En el caso de Telegram, todo apunta a que la intención original era agilizar la vida del usuario: que con un clic pudiera probar y añadir un proxy sin complicaciones. Pero, como han demostrado los expertos, esa elección se ha convertido en un vector ideal para que actores maliciosos exploten la confianza de los usuarios y se hagan con su IP real casi sin esfuerzo.
Respuesta oficial de Telegram ante la fuga de IP
Tras las publicaciones de chekist42, los análisis de investigadores como GangExposed R y 0x6rss, y la cobertura mediática de Bleeping Computer y otros medios, Telegram fue contactada para dar su versión y explicar si consideraba esto una vulnerabilidad de seguridad o un comportamiento esperado de la aplicación.
Portavoces de la compañía indicaron que, desde su punto de vista, no se trata de un fallo de seguridad en sentido estricto, sino de una consecuencia lógica de cómo funcionan los proxys. Cualquier servidor proxy, por definición, puede ver las IPs de los clientes que se conectan a él, y esto no es algo exclusivo ni peculiar de Telegram, sino estándar en la mayoría de servicios de este tipo.
Ahora bien, Telegram sí ha reconocido la preocupación de los investigadores respecto al abuso de enlaces camuflados y ha señalado que planea añadir advertencias visibles cuando el usuario haga clic en enlaces de tipo proxy. La idea es que, antes de que se produzca cualquier conexión potencialmente sensible, la persona vea claramente que está interactuando con un proxy y se le recuerden los riesgos asociados.
Según han explicado a Bleeping Computer, estas advertencias servirán para mitigar el riesgo de que usuarios confiados terminen pinchando en enlaces “t.me” que en realidad esconden parámetros de proxy. No obstante, Telegram no ha dado una fecha concreta para la implantación de esta medida, de modo que, hasta que llegue ese cambio, el comportamiento descrito seguirá siendo posible.
Además, desde la plataforma insisten en que otros servicios de mensajería o aplicaciones que permiten enlaces externos también pueden ver la IP de quienes acceden a contenidos alojados en sus servidores, recalcando que el problema no es exclusivamente ni singular de Telegram, sino un síntoma de cómo se gestionan hoy muchos enlaces y servicios en Internet.
Riesgos concretos para usuarios de alto perfil: activistas, periodistas y disidentes
Aunque esta fuga de IP afecta en realidad a cualquier usuario, donde más preocupa es en aquellos colectivos que dependen de Telegram como herramienta de comunicación segura bajo regímenes restrictivos. Hablamos de activistas, periodistas, defensores de derechos humanos, opositores políticos o personas perseguidas por su orientación, religión o ideología.
En muchos contextos, estas personas ya utilizan VPN, proxys y configuraciones avanzadas precisamente para que no se pueda relacionar fácilmente su identidad física con su actividad online. Creen estar operando tras varias capas de protección y asumen que el simple gesto de pulsar un enlace interno de Telegram no debería saltarse esos mecanismos.
Sin embargo, la validación automática del proxy hace justo lo contrario: borra temporalmente esas capas y envía la IP real al servidor de prueba. Si ese servidor está controlado por un actor vinculado a un Estado, un servicio de inteligencia o una empresa de vigilancia privada, el daño potencial es evidente.
Los metadatos de red —IP, horarios de conexión, ubicaciones aproximadas— se han convertido en un objetivo prioritario para muchos actores de amenazas, precisamente porque el contenido de los mensajes suele ir cifrado y es más difícil de obtener. Aunque no se sepa qué se ha dicho en un chat, saber quién se conecta, desde dónde y con qué frecuencia ya aporta un valor enorme para labores de rastreo y correlación.
Los investigadores recomiendan que los usuarios de alto riesgo asuman que un solo clic descuidado puede exponer su red y que ajusten sus modelos de amenaza en consecuencia. Esto implica ser extremadamente estrictos con los enlaces sobre los que se hace clic, incluso si parecen internos y “de confianza” por estar dentro de Telegram.
Qué pueden hacer los usuarios ahora mismo para protegerse
Mientras Telegram no despliegue las prometidas advertencias ni cambie el comportamiento por defecto de la validación de proxys, los usuarios tienen que poner algo de su parte para reducir la probabilidad de que su IP termine en manos equivocadas. No hay una solución perfecta, pero sí buenas prácticas que ayudan bastante.
En primer lugar, conviene adoptar una regla básica: desconfiar de nombres de usuario y enlaces t.me que no conozcas, especialmente si llegan desde canales públicos, grupos enormes o mensajes privados no solicitados. Que el enlace parezca interno de Telegram no significa que sea inocuo.
También es recomendable revisar las opciones de configuración de la app y comprobar si existe alguna posibilidad de limitar o desactivar la conexión automática a proxys al pulsar enlaces. Dependiendo de la versión y la plataforma, estas opciones pueden variar, pero merece la pena echar un vistazo a los ajustes de datos, red y proxys.
Para usuarios más avanzados, una medida extra consiste en utilizar firewalls a nivel de dispositivo o herramientas de monitorización de tráfico. En Android, utilidades como AFWall+ permiten controlar qué aplicaciones pueden hacer conexiones salientes y bajo qué condiciones, mientras que en escritorio existen soluciones tipo Little Snitch o similares que avisan cada vez que una app intenta comunicarse con un servidor nuevo.
Por último, no está de más mantenerse al día de los anuncios oficiales de Telegram y las notas de cambios (changelogs), así como de los análisis de medios de ciberseguridad. Cuando la empresa implemente las nuevas advertencias o introduzca correcciones adicionales, aparecerán reflejadas en estas fuentes, y será el momento de revisar de nuevo la configuración de la app.
El contexto actual demuestra que, por muy segura que sea una aplicación en términos de cifrado de mensajes, siempre hay que prestar atención a cómo gestiona los metadatos, las conexiones y los enlaces especiales. Telegram no es una excepción y esta fuga de IP lo ha puesto encima de la mesa de forma bastante clara.
Todo este caso deja una lección importante: incluso en plataformas que se presentan como muy centradas en la privacidad, una sola decisión de diseño —como probar automáticamente un proxy sin avisar— puede traducirse en una exposición de datos sensibles como la dirección IP, por lo que toca navegar con algo más de cabeza y mirar dos veces antes de pulsar en cualquier enlace “inocente” que llegue por Telegram.
Redactor apasionado del mundo de los bytes y la tecnología en general. Me encanta compartir mis conocimientos a través de la escritura, y eso es lo que haré en este blog, mostrarte todo lo más interesante sobre gadgets, software, hardware, tendencias tecnológicas, y más. Mi objetivo es ayudarte a navegar por el mundo digital de forma sencilla y entretenida.