Investigadores revelan un método trivial que permite desanonimizar usuarios de Telegram en Android e iOS eludiendo sus configuraciones de privacidad.
La promesa de privacidad de Telegram tiene una nueva grieta. Un investigador de seguridad ha demostrado cómo un atacante puede desenmascarar la dirección IP real de cualquier usuario con tan solo lograr que haga clic en un enlace engañoso, eludiendo incluso las configuraciones de proxy que la víctima tenga activas.
Este hallazgo es crítico para activistas, periodistas y usuarios en regímenes restrictivos que dependen de Telegram y herramientas de ofuscación para proteger su identidad física.
El Mecanismo: Abuso de la Validación de Proxy
El ataque explota una función de “conveniencia” dentro de la aplicación: la validación automática de proxies MTProto.
- La Trampa: El atacante envía un enlace que parece un nombre de usuario inocente o un enlace a un canal, pero que en realidad es un enlace de configuración de proxy (ej. t.me/proxy?server=servidor-atacante).
- El “Ping” Automático: Cuando el usuario hace clic, Telegram intenta verificar inmediatamente si el proxy es funcional enviando un “ping” o solicitud de prueba al servidor especificado en el enlace.
- La Fuga: Lo grave es que este “ping” se realiza directamente desde la conexión del dispositivo, ignorando cualquier otro proxy o túnel que el usuario ya tenga configurado en la aplicación.
- El Resultado: El servidor del atacante recibe la solicitud directa y registra instantáneamente la dirección IP real de la víctima, sin que esta siquiera haya confirmado que quería añadir el nuevo proxy.
¿Por qué es peligroso?
A diferencia de otros ataques que requieren ingeniería social compleja o la instalación de malware, este es un ataque de “un solo clic” (One-Click).
- No requiere autenticación: El atacante no necesita una clave secreta válida para el proxy; el simple intento de conexión es suficiente para revelar la IP.
- Afecta a todos: Se ha confirmado que funciona tanto en los clientes oficiales de Android como de iOS.
- Deanonymization: Permite vincular una identidad digital (usuario de Telegram) con una ubicación física (IP residencial o móvil).
Estado de la Vulnerabilidad
Hasta el momento de este reporte, Telegram no ha parcheado públicamente este comportamiento. La aplicación prioriza la experiencia de usuario (verificar si el proxy funciona antes de usarlo) sobre la seguridad estricta en este flujo específico.
Recomendaciones
- No hagas clic en enlaces extraños: Especialmente aquellos que prometen configuraciones de proxy gratuitas o que vienen ocultos tras acortadores o nombres de usuario desconocidos.
- Usa una VPN a nivel de sistema: Dado que el fallo elude la configuración de proxy dentro de la app, una VPN que encripte todo el tráfico del dispositivo (Android/iOS) debería protegerte, ya que el “ping” viajará a través del túnel VPN y no desde tu IP real.
- Firewalls Personales: Usuarios avanzados en Android (con root/AFWall+) o iOS (con Little Snitch) pueden bloquear conexiones salientes a puertos no estándar para mitigar el riesgo.
