Las interrupciones de Telegram se extienden más allá de las fronteras nacionales
Las interrupciones temporales del servicio de Telegram en una región determinada pueden derramarse inesperadamente hacia entornos de red vecinos debido a dependencias de enrutamiento en capas superiores e infraestructura de tránsito regional. A medida que el acceso a la infraestructura directa de Telegram se vuelve poco confiable en distintos operadores de telecomunicaciones, los usuarios recurren frecuentemente a una de las funciones nativas e integradas de Telegram: el soporte de proxies MTProto.
A diferencia de las Redes Privadas Virtuales (VPN) tradicionales, que enrutan todo el tráfico del dispositivo a través de un canal cifrado, los proxies MTProto de Telegram operan exclusivamente dentro del ecosistema de la aplicación. Solo redirigen las comunicaciones de Telegram a través de servidores intermediarios, preservando el acceso normal y sin proxy a internet para todas las demás aplicaciones. Telegram introdujo originalmente este mecanismo para mantener la disponibilidad de la plataforma en regiones que enfrentan censura severa, bloqueo de IP o interferencia en la infraestructura — y el mecanismo ha sido puesto a prueba en múltiples campañas de bloqueo importantes desde 2018.
Durante las interrupciones de red, los servicios públicos gratuitos de proxy — como los operados por StormyCloud — y los repositorios de proxies mantenidos por la comunidad experimentan un repunte inmediato en el tráfico. Dado que estos sistemas utilizan el protocolo MTProto propio de Telegram, pueden importarse directamente en la aplicación con un solo clic, eliminando por completo la necesidad de instalar software de terceros.
Contexto histórico: las campañas de censura que moldearon MTProto
Para entender por qué el proxy MTProto evolucionó de la manera en que lo hizo, es necesario repasar brevemente las campañas de bloqueo que impulsaron cada generación del protocolo.
Rusia, 2018–2020
El 16 de abril de 2018, Roskomnadzor — el regulador de telecomunicaciones de Rusia — comenzó a bloquear Telegram tras su negativa a entregar claves de cifrado al FSB. La estrategia de aplicación escaló rápidamente. Roskomnadzor bloqueó más de 1.8 millones de direcciones IP pertenecientes a la infraestructura en la nube de Amazon y Google en los primeros días de la campaña, con el total superando eventualmente los 19 millones de direcciones. El daño colateral fue severo: servicios de banca en línea, sitios de reservas, plataformas de compras y al menos seis medios de comunicación en línea vieron sus sitios web bloqueados temporalmente.
El bloqueo fracasó en su objetivo principal. Telegram fue, anecdóticamente, más o menos fácil de usar para los rusos durante todo el período de dos años, y la base de usuarios rusos de la aplicación se duplicó, pasando de aproximadamente 15 millones en abril de 2018 a 30 millones en junio de 2020. El 18 de junio de 2020, Roskomnadzor levantó el bloqueo tras acordar que Telegram ayudaría en investigaciones sobre extremismo.
El episodio es ahora un caso de estudio canónico sobre los límites de la censura a nivel de IP contra una plataforma capaz de redirigir dinámicamente su tráfico a través de infraestructura en la nube. El fracaso impulsó al Kremlin a desarrollar un sistema mucho más efectivo para controlar internet — uno que desde entonces ha sido utilizado para bloquear servicios como Facebook, YouTube, LinkedIn y X.
La confrontación no está resuelta. El 10 de febrero de 2026, Roskomnadzor confirmó oficialmente una nueva ronda de throttling al servicio de Telegram en toda Rusia, alegando violaciones a la legislación rusa.
Irán, 2018–presente
Telegram ha estado oficialmente bloqueado en Irán desde 2018, con intensificaciones periódicas durante eventos políticos. Las autoridades iraníes desplegaron sistemas de Inspección Profunda de Paquetes (DPI) a nivel de ISP para identificar y descartar el tráfico MTProto. Las consecuencias para el desarrollo de MTProxy fueron directas: un issue de GitHub de 2018 presentado contra el repositorio oficial TelegramMessenger/MTProxy por un desarrollador iraní señalaba explícitamente que el equipo de filtrado DPI de Irán había detectado el método de cifrado personalizado del protocolo MTProto Proxy y estaba bloqueando automáticamente las IPs de los proxies — incluyendo proxies no publicados que jamás habían servido a ningún usuario. La demanda del desarrollador — que Telegram hiciera el tráfico indistinguible del TLS estándar — se convirtió en la especificación técnica de FakeTLS.
China: influencia indirecta a través de la investigación sobre sondeo activo
Aunque Telegram está formalmente bloqueado en China, las técnicas antidetección del Gran Cortafuegos han ejercido una influencia indirecta significativa en el diseño de MTProxy. La investigación sobre técnicas de sondeo activo demuestra que los censores sofisticados pueden enviar intentos de conexión sintéticos hacia proxies sospechosos y observar los patrones de respuesta para confirmar la identidad del protocolo sin necesidad de descifrar el contenido. Esta vector de ataque — documentado extensamente contra los bridges de Tor en China — informó el diseño de la resistencia al sondeo activo de FakeTLS, que devuelve un handshake TLS legítimo ante conexiones inesperadas en lugar de descartarlas silenciosamente.
Comprensión de la arquitectura MTProto de Telegram
Modelo de conexión estándar
Normalmente, las comunicaciones de Telegram se basan en un modelo directo cliente-servidor:
[Dispositivo del usuario] ──(Tráfico directo a internet)──> [DC de Telegram]
Cuando los operadores de red implementan listas negras de IP, filtrado DNS o manipulación de rutas, esta ruta directa queda interrumpida.
Modelo de conexión con proxy MTProto
MTProto inserta una capa de retransmisión intermedia en la ruta de transporte:
[Dispositivo del usuario] ──(Tráfico ofuscado)──> [Proxy MTProto] ──> [DC de Telegram]
Desde la perspectiva del ISP, el tráfico del usuario se dirige hacia la dirección IP del proxy en lugar de al espacio de direcciones conocido de Telegram. De manera fundamental, el proxy actúa únicamente como un relé de transporte — no termina la sesión cifrada:
[Cliente de Telegram]
│
│ Carga útil cifrada con AES-256-IGE
▼
[Daemon del proxy MTProto] ← solo ve blobs cifrados; sin contexto de sesión
│
│ Carga útil cifrada reenviada sin modificaciones
▼
[DC de Telegram — 149.154.x.x / 91.108.x.x]
← realiza autenticación, intercambio de claves, gestión de sesión
El proxy no obtiene mensajes legibles de Telegram. Ve un flujo de bytes cifrados y lo reenvía. Esta es una propiedad arquitectónica, no un argumento de marketing.
Parámetros principales
Una configuración de proxy MTProto requiere exactamente tres parámetros:
- Dirección del servidor: La IP o nombre de dominio de destino.
- Número de puerto: El puerto específico que gestiona el tráfico.
- Clave secreta: Una cadena de autenticación cuyo prefijo codifica el modo de ofuscación (ver más adelante).
Un punto de acceso público ampliamente utilizado publicado por StormyCloud usa la siguiente configuración:
- Servidor:
23.128.248.150 - Puerto:
3128 - Secreto:
ddc5d1717f50bdab002e1ba52d9ed8f2fe
Formatos de clave secreta y su estado práctico
Los secretos de proxy MTProto se presentan en dos variantes principales. La mayoría de los clientes modernos de Telegram aceptan cualquiera, pero se recomienda la forma con padding porque habilita el relleno aleatorio en el cable, haciendo el tráfico menos distintivo para la inspección profunda de paquetes.
| Prefijo | Longitud total | Modo | Estado práctico (2026) |
|---|---|---|---|
| (ninguno) | 32 caracteres hex | MTProto ofuscado sin más | Obsoleto — detectable por DPI en segundos tras el primer paquete |
dd | 34 caracteres (dd + 32 hex) | Relleno aleatorio | Degradado — fue suficiente aproximadamente de 2019 a 2022, pero ya no es confiable en redes con filtrado intensivo; los sistemas de filtrado modernos identifican estos patrones estadísticamente |
ee | Cadena Base64 | FakeTLS / camuflaje HTTPS | Estándar de facto actual entre los despliegues resistentes a la censura |
Sobre el prefijo dd específicamente: El prefijo dd se antepone al secreto base de 32 caracteres, dando un total de 34 caracteres. Agregar dd al inicio de un secreto (p. ej., cafe...babe → ddcafe...babe) habilita el modo de relleno aleatorio en el cliente, insertando bytes aleatorios en las cabeceras de los paquetes para ocultar los patrones de longitud. Esto constituyó una defensa significativa contra los primeros sistemas de DPI. Ya no es suficiente como estrategia principal en Rusia, Irán o China.
Nota: Telegram en sí no ha depreciado formalmente dd. El cambio a ee como valor predeterminado es una respuesta impulsada por la comunidad ante el bloqueo operativo, no una depreciación oficial del protocolo.
Contexto de versión del protocolo: MTProto 2.0
La infraestructura de proxy descrita en este artículo se ejecuta sobre MTProto 2.0, introducido con el cliente v4.6 en diciembre de 2017, reemplazando SHA-1 por SHA-256, rediseñando la derivación de clave de mensaje para que msg_key quede fuertemente ligada tanto al mensaje como a la clave de autenticación, ampliando el relleno aleatorio a 12–1024 bytes, y añadiendo un mecanismo de desafío al cliente para prevenir ataques de repetición. Los mensajes se cifran con AES-256-IGE; la clave y el IV se derivan de auth_key y msg_key. El handshake utiliza Diffie-Hellman con verificación de clave RSA para prevenir ataques de intermediario.
MTProto 2.0 recibió una auditoría criptográfica por parte de investigadores de la Università degli Studi di Udine en 2020, añadiendo un grado de escrutinio académico independiente del que carecían las versiones anteriores. MTProto 1.0 (2013–2017) ha sido completamente descontinuado para nuevas sesiones.
El soporte nativo de MTProto elimina la dependencia de VPNs
Dado que MTProto está implementado directamente dentro de las aplicaciones oficiales de Telegram (Android, iOS, Windows, Linux y macOS), elude varios inconvenientes asociados con las VPN a nivel del sistema operativo:
- Enrutamiento específico por alcance: Solo se redirige el tráfico de Telegram. Los navegadores, aplicaciones bancarias y servicios de streaming funcionan a máxima velocidad sobre la conexión normal.
- Sin privilegios elevados: No se requiere acceso root, derechos de administrador ni perfiles de VPN a nivel del sistema.
- Validación visual: Aparece un ícono de escudo en la parte superior de la lista de chats siempre que hay una conexión de proxy activa. Al tocarlo se abren directamente los ajustes del proxy.
- Divulgación del canal promocionado: Tras conectarse a un proxy MTProto, es posible que aparezca un canal desconocido en la lista de chats. Este es un canal que el operador del proxy promueve para compensar sus costos de servidor. El operador del proxy no puede acceder ni ver la lista de chats ni la actividad en Telegram de ninguna manera. Este es el comportamiento estándar de los proxies públicos y está divulgado en la documentación oficial de Telegram. El canal desaparece de inmediato al desconectar el proxy.
Guías de configuración paso a paso
1. Telegram para Android
- Abre el menú lateral y ve a Configuración.
- Toca Datos y almacenamiento.
- Desplázate hacia abajo y selecciona Configuración del proxy, luego toca Añadir proxy.
- Elige Proxy MTProto e introduce los siguientes datos:
- Servidor:
23.128.248.150 - Puerto:
3128 - Secreto:
ddc5d1717f50bdab002e1ba52d9ed8f2fe
- Servidor:
- Toca Guardar y activa la opción Usar proxy.
2. Telegram para iOS
- Navega a Configuración → Datos y almacenamiento.
- Desplázate hasta el final y selecciona Proxy → Añadir proxy.
- Elige MTProto e introduce los mismos valores de Servidor, Puerto y Secreto.
- Confirma. No se modifican perfiles de configuración de iOS a nivel del dispositivo ni certificados del sistema.
3. Telegram Desktop (Windows, macOS y Linux)
- Abre Configuración → Avanzado.
- En Tipo de conexión, selecciona Usar proxy personalizado.
- Haz clic en Añadir proxy, elige MTProto, introduce los valores y guarda.
Consejo: Todos los clientes permiten almacenar múltiples configuraciones de proxy de forma simultánea. Si un proxy público queda inaccesible, puedes cambiar a uno de respaldo sin reiniciar la aplicación.
Despliegue con un clic mediante enlaces URI
Telegram admite dos formatos URI para configuración automatizada:
Enlace profundo nativo (abre Telegram directamente):
tg://proxy?server=<SERVIDOR>&port=<PUERTO>&secret=<SECRETO>
Redirección web (el navegador redirige al enlace profundo):
https://t.me/proxy?server=<SERVIDOR>&port=<PUERTO>&secret=<SECRETO>
Ambas formas activan el mismo mensaje de “Conectar proxy” dentro de la aplicación. El bot oficial @MTProxyBot en Telegram puede generar estos enlaces automáticamente para los operadores de proxy. Para el servidor público de StormyCloud:
https://t.me/proxy?server=23.128.248.150&port=3128&secret=ddc5d1717f50bdab002e1ba52d9ed8f2fe
Flujo de paquetes, cifrado y realidades sobre la privacidad
Los proxies MTProto no terminan la capa de cifrado subyacente de Telegram. El proxy retransmite blobs cifrados entre el cliente y los centros de datos de Telegram; no posee claves de sesión y no puede leer el contenido de los mensajes. Los Chats Secretos ejecutan cifrado de extremo a extremo independiente sobre esta capa de red, añadiendo un segundo límite criptográfico.
Sin embargo, los operadores de proxy pueden y de hecho observan metadatos:
- Dirección IP de origen
- Marcas de tiempo y duración de la sesión de conexión
- Volumen agregado de datos
- Patrones de frecuencia de conexión
El encuadre correcto es el siguiente: los relés MTProto no pueden observar directamente los identificadores de cuenta ni el contenido de los mensajes, pero sí pueden recopilar metadatos suficientes para sustentar ataques de correlación. Un operador de proxy que registre IPs de origen y tiempos de conexión en una base de usuarios amplia puede, en principio, correlacionar esos patrones con otros conjuntos de datos. Solo debes conectarte a nodos en los que confíes, ya que un operador malicioso podría registrar tu dirección IP, los momentos en que te conectas y el simple hecho de que estás intentando usar Telegram. Para modelos de amenaza de alto riesgo — periodistas, activistas o disidentes que operan dentro de regímenes restrictivos — un despliegue privado verificado es preferible a una lista pública anónima.
El juego del gato y el ratón en la censura
1. Lista negra de IP
El instrumento más burdo: bloquear directamente la dirección IP del proxy. Cuando grandes volúmenes de usuarios se concentran en un único punto de acceso, los sistemas de firewall automatizados registran la anomalía y descartan los paquetes hacia ese destino. El episodio ruso de 2018 ilustró los límites de este enfoque a escala — cuando Telegram desplazó dinámicamente su tráfico hacia la infraestructura de AWS y Google, el intento de Roskomnadzor de seguirlo causó daños colaterales en decenas de millones de direcciones IP no relacionadas, socavando la operación política y prácticamente.
2. Inspección Profunda de Paquetes (DPI) y fingerprinting
Las redes avanzadas despliegan equipos de DPI para evaluar patrones de tráfico — tamaños de paquetes, tiempos entre llegadas, secuencias de handshake de conexión — en lugar de solo las direcciones de destino. Incluso las cargas útiles completamente cifradas llevan huellas de comportamiento. El hardware TSPU (Medios Técnicos de Contrarrestar Amenazas) de Rusia está instalado dentro de los ISP — incluyendo Rostelecom, Megafon, MTS y Beeline — y realiza DPI en tiempo real, clasificación de tráfico, throttling y manipulación de rutas a nivel de operador. El fracaso de 2018 impulsó al Kremlin a invertir fuertemente en esta infraestructura; el sistema TSPU ha sido utilizado desde entonces para ralentizar o bloquear Facebook, YouTube, LinkedIn y X. Representa el equivalente operativizado de Rusia al Gran Cortafuegos de China.
3. Sondeo activo
Cuando un censor detecta un flujo cifrado persistente hacia una IP desconocida, puede enviar un servidor de sondeo activo — un sistema automatizado que inicia su propia conexión hacia el proxy sospechoso, haciéndose pasar por un cliente legítimo de Telegram. Si el objetivo responde con comportamiento del protocolo MTProto, su identidad queda confirmada y es añadido inmediatamente a la lista negra. Esta técnica fue extensamente documentada contra los bridges de Tor en China y ha influenciado cómo opera la infraestructura de filtrado iraní contra los puntos de acceso MTProto. El informe de GitHub del desarrollador iraní en 2018 — que describía un proxy no publicado, nunca distribuido, siendo bloqueado antes de que ningún usuario se hubiera conectado a él — es consistente exactamente con este patrón de sondeo activo.
Defensas avanzadas: FakeTLS y despliegues privados
FakeTLS (prefijo ee) — Estándar de facto para regiones con censura
FakeTLS hace que el tráfico del proxy MTProto simule ser tráfico web HTTPS — técnicamente hablando, TLSv1.3 + HTTP/2. En lugar de presentarse como datos cifrados arbitrarios, la conexión imita los handshakes HTTPS estándar utilizados por los grandes servicios web:
[Dispositivo del usuario] ──(Handshake TLSv1.3 + HTTP/2)──> [Proxy] ──> [DC de Telegram]
↑
El sistema DPI ve: una sesión HTTPS ordinaria hacia un host no clasificado
Los sistemas DPI perciben la sesión como tráfico web seguro estándar, dificultando considerablemente la clasificación del protocolo. La combinación recomendada en 2026 es FakeTLS (modo EE) con relleno aleatorio de 12–1024 bytes y sin filtración de SNI — la configuración más robusta actualmente disponible contra DPI.
Una capa adicional de protección contra el sondeo activo: cuando un proxy FakeTLS recibe una conexión que falla el handshake MTProto — como una sonda de la infraestructura de un censor — devuelve un handshake TLS real desde un backend web local, en lugar de descartar silenciosamente la conexión. Un descarte silencioso es en sí mismo una señal; una respuesta TLS legítima no lo es.
Punto de acceso I2P (StormyCloud)
Para usuarios que requieren una capa adicional de anonimato, StormyCloud opera el mismo proxy MTProto como un servicio oculto sobre la red I2P, usando una dirección de destino I2P con el mismo secreto compartido. Se puede configurar un túnel cliente I2P estándar apuntando al destino, y Telegram se dirige al puerto local resultante.
Despliegues en VPS personales
Dado que las redes de proxies públicos concentran grandes volúmenes de tráfico en direcciones IP visibles y enumeradas, los usuarios avanzados despliegan proxies MTProto privados en infraestructura VPS personal a través de proveedores como AWS Lightsail, DigitalOcean, Hetzner u Oracle Cloud:
[1–3 usuarios] ──(Tráfico FakeTLS de bajo volumen)──> [VPS personal] ──> [DC de Telegram]
Un proxy privado sirve únicamente a un círculo reducido de usuarios de confianza, generando una huella de tráfico poco notable que raramente activa la detección automatizada del ISP o el sondeo activo. Telegram proporciona una implementación de servidor oficial de código abierto (TelegramMessenger/MTProxy en GitHub) y una imagen Docker oficial. Los operadores que registren su proxy con @MTProxyBot obtienen acceso a estadísticas de uso y monetización opcional a través del programa de canales patrocinados de Telegram.
Comparativa estructural: VPN vs. proxy MTProto vs. SOCKS5
| Métrica | VPN del sistema | Proxy MTProto | Proxy SOCKS5 |
|---|---|---|---|
| Capa de operación | Red (todo el sistema operativo) | Aplicación (solo Telegram) | Aplicación (solo Telegram) |
| Alcance del tráfico | Todo el tráfico del dispositivo tunelizado | Solo tráfico de Telegram | Solo tráfico de Telegram |
| Carga del sistema | Mayor uso de batería/CPU | Extremadamente ligero | Ligero |
| Complejidad de configuración | App de terceros o perfil del sistema | Importación nativa con un solo enlace | Nativo; solo servidor y puerto |
| Autenticación | Varía según el protocolo | Clave secreta que codifica el modo de ofuscación | Usuario y contraseña opcionales |
| Ofuscación | Depende del protocolo VPN | Integrada (padding dd o FakeTLS ee) | Ninguna — el tráfico no está ofuscado |
| Resistencia a DPI | Según el protocolo | Alta con ee; moderada con dd; ninguna sin prefijo | Ninguna |
| Privacidad de metadatos | Oculta tu IP de todos los destinos | Oculta tu IP de Telegram; expone tu IP al operador del proxy | Igual que MTProto |
| Ideal para | Privacidad total del dispositivo y enrutamiento | Redes con censura y DPI activo | Redes con bloqueos simples solo a nivel de IP |
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.