Una falla recientemente descubierta en las aplicaciones móviles de Telegram
está generando serias preocupaciones entre los defensores de la privacidad y
los investigadores de ciberseguridad, tras la aparición de evidencia de que
las direcciones IP reales de los usuarios pueden exponerse con un solo toque,
incluso al usar proxies o VPN diseñadas para ocultar su ubicación.
El problema, descrito por los investigadores como una «fuga de IP con un
solo clic», afecta tanto a las versiones de Android como a iOS de Telegram y
explota la función de validación automática de proxy de la plataforma.
Según los expertos en seguridad, la falla permite a los atacantes eludir las
herramientas de anonimato configuradas por el usuario y capturar directamente
información de identificación de la red, lo que podría facilitar la
vigilancia, el rastreo o el doxing a gran escala.
Telegram ha promovido durante mucho tiempo la compatibilidad con proxys, como
los proxies SOCKS5 y MTProto, como una forma de que los usuarios eludan la
censura u oculten su ubicación en la red. Sin embargo, los investigadores
afirman que el diseño de la aplicación incluye un descuido crítico: cuando un
usuario pulsa un enlace de proxy, Telegram prueba automáticamente su
conectividad antes de añadirlo a la configuración de la aplicación.
Según los expertos, esa solicitud de prueba se envía directamente desde el
dispositivo del usuario mediante la interfaz de red predeterminada, omitiendo
todos los proxies configurados previamente y, en algunos casos, el
enrutamiento VPN.
«Esto ocurre de forma silenciosa e instantánea», afirmó un investigador
de ciberseguridad que analizó el comportamiento.
«El usuario cree estar operando tras capas de protección, pero la
aplicación las supera momentáneamente».
El problema fue demostrado públicamente por el investigador de seguridad
0x6rss en X, quien compartió una prueba de concepto que mostraba cómo un atacante podía
registrar la dirección IP real de una víctima inmediatamente después de un
solo clic en un enlace de Telegram manipulado.
«Telegram realiza un ping automático al servidor proxy antes de
agregarlo», escribió el investigador.
«Esa solicitud ignora todos los proxies configurados. Tu IP real se
registra al instante».
Enlaces maliciosos camuflados en nombres de usuario
El ataque se basa en el sistema flexible de enlaces de Telegram. Los atacantes
pueden crear URL de proxy, como t.me/proxy?server=attacker-controlled,
y camuflarlas en nombres de usuario comunes o enlaces de perfil inofensivos
dentro de chats, canales o mensajes directos.
Una vez hecho clic, el proceso se ejecuta automáticamente:
-
Validación silenciosa del proxy: Telegram prueba la disponibilidad del
proxy. -
Evasión de proxy y VPN: La solicitud de prueba se envía directamente desde
el dispositivo. -
Exposición de IP: El servidor del atacante registra la dirección IP real del
usuario, su ubicación aproximada y los metadatos de conexión.
No se requieren permisos, confirmaciones ni credenciales adicionales. La
víctima no recibe ninguna advertencia visible de que su identidad de red ha
sido expuesta.
Los investigadores comparan este mecanismo con las conocidas fugas de hash
NTLM en sistemas Windows, donde un simple intento de autenticación puede
revelar inadvertidamente credenciales confidenciales. En este caso, basta con
hacer clic en un enlace.
Implicaciones para activistas, periodistas y disidentes
Esta vulnerabilidad es particularmente preocupante dada la base global de
usuarios de Telegram —estimada en más de 950 millones de usuarios activos
mensuales— y su popularidad entre activistas, periodistas y comunidades que
operan bajo regímenes restrictivos.
Telegram se utiliza a menudo en entornos donde el anonimato no es solo una
preferencia, sino una necesidad. Una falla como esta puede tener consecuencias
reales, como arrestos, acoso o situaciones aún peores.
Los actores de amenazas afines a los Estados y las empresas de vigilancia
privada se han centrado cada vez más en los metadatos —como las direcciones IP
y la información de tiempo— en lugar del contenido de los mensajes, que puede
estar cifrado. Incluso sin acceso a los chats, una dirección IP puede revelar
el país, la ciudad, el proveedor de internet (ISP) y, en ocasiones, los
movimientos físicos de un usuario a lo largo del tiempo.
Preocupaciones similares han surgido en el pasado. Signal, otra aplicación de
mensajería centrada en la privacidad, se enfrentó anteriormente al escrutinio
sobre cómo ciertas solicitudes de red podían eludir las herramientas de
anonimato en condiciones específicas, lo que provocó cambios de diseño y
auditorías públicas. Los investigadores afirman que la situación actual de
Telegram pone de relieve la tensión existente entre la usabilidad y la
seguridad en las plataformas de mensajería a gran escala.
Respuesta de Telegram
Telegram informó que empezará a añadir advertencias a los enlaces proxy
después de que investigadores demostraran que enlaces especialmente diseñados
podrían exponer la dirección IP real del usuario sin necesidad de confirmación
adicional.
La compañía ha priorizado históricamente su arquitectura de seguridad,
especialmente en lo que respecta al cifrado, pero ha recibido críticas de
expertos que argumentan que la privacidad a nivel de red recibe menos
atención.
Qué pueden hacer los usuarios ahora
Hasta que se implemente una solución, millones de usuarios de Telegram pueden
estar operando bajo una falsa sensación de seguridad: a un clic de ser
expuestos. Hasta que Telegram aborde el problema, los expertos recomiendan
varias medidas de precaución:
-
Evitar hacer clic en nombres de usuario desconocidos o enlaces proxy,
especialmente en canales públicos o mensajes no solicitados. - Desactivar la detección o prueba automática de proxy, si esta opción está
disponible en la versión de su aplicación. -
Utilizar firewalls a nivel de dispositivo para supervisar y bloquear
conexiones salientes inesperadas. Herramientas como
AFWall+
en Android o monitores de red tipo
Little Snitch (o
similar) pueden ayudar a los usuarios avanzados a identificar tráfico sospechoso. -
Seguir el registro de cambios oficial de Telegram y los anuncios de seguridad
para obtener actualizaciones o correcciones.
Para los usuarios de alto riesgo, los investigadores recomiendan asumir que
un solo clic descuidado podría comprometer el anonimato de la red y ajustar
los modelos de amenaza en consecuencia.
Fuente: Cyber Security Hub Newsletter