Confirmado en 2026: el auth_key_id de MTProto de Telegram se expone en texto plano. Combinado con el sistema Shahkar+SIAM+DPI de Irán, permite un seguimiento de dispositivos a largo plazo. Este documento proporciona VLESS+Reality, proxy MTProto y reinicio periódico de claves. También cubre errores ortográficos comunes: mtrproto, mtporoto, мтпрото y soluciones para mtproto no funciona.
En lugar de buscar una lista de proxies MTProto gratuitos inestable que muere en cuestión de horas, TGV ofrece un proxy dedicado gratuito de 3 días – IP privada, sin compartir, velocidad completa y protección anti-DPI. No requiere tarjeta de crédito.
Obtén tu proxy dedicado gratuito → ⚡ También consulta nuestra lista de proxies MTProto actualizada a diario en el Centro de Ayuda.La ortografía correcta es MTProto. Los errores comunes incluyen mtrproto, mtporoto, mptproto y мтпрото (ruso). Estás en el lugar correcto – TGV proporciona servicios oficiales de proxy MTProto y soluciones anticensura. Ver nuestra guía de configuración →
En Irán, en el momento en que abres un chat de Telegram, tu dispositivo ya ha entregado su tarjeta de identidad al sistema de vigilancia.
Esto no es alarmista: se deriva de una característica de diseño del protocolo de cifrado subyacente de Telegram, MTProto, llamado "auth_key_id" (identificador de clave de autorización). En mayo de 2026, un informe de evaluación técnica publicado por la firma independiente de ciberseguridad Symbolic Software confirmó que los clientes de Telegram transmiten mensajes MTProto a través de conexiones TCP no cifradas, lo que hace que auth_key_id se exponga en texto plano en el tráfico de red. Cualquier entidad con acceso pasivo a la red puede extraer fácilmente este identificador. Si has estado experimentando mtproto no funciona, esta exposición también puede estar relacionada con la huella digital DPI.
Este artículo combina la arquitectura de vigilancia única de Irán para analizar los riesgos específicos de la exposición de auth_key_id, evalúa la eficacia de varios VPN y proxies, y finalmente proporciona un plan de defensa práctico para los usuarios.
La ventaja central del sistema de vigilancia iraní reside en su integración de la capa de red, la capa de red móvil y la capa de autenticación de identidad. Incluso si te conectas con éxito a un servidor proxy, el sistema de vigilancia puede identificarte a ti y a tu dispositivo por múltiples medios, y la exposición de auth_key_id de Telegram proporciona a estos sistemas un identificador adicional y preciso.
Irán ha construido la Red Nacional de Información (NIN), que separa el internet doméstico del internet internacional. Las autoridades han pasado de un modelo de bloqueo de "lista negra" a un modelo de "lista blanca", utilizando las bases de datos SHAHKAR y HAMTA para rastrear los documentos de identidad y dispositivos de los usuarios, cortando fácilmente el acceso del público al internet internacional al tiempo que reservan acceso privilegiado para grupos específicos.
Sobre esta arquitectura, la Autoridad Reguladora de Comunicaciones de Irán, en cooperación con el operador nacional más grande, ha establecido el Sistema de Interceptación Legal (LIS), que incluye principalmente cuatro subsistemas: Interceptación Legal (LI), Control de Dispositivos Ilegales (CID), sistema SHAHKAR y sistema SHAMSA. Entre ellos:
Una vez que tu dispositivo genera tráfico, el sistema de vigilancia recopila información de múltiples capas: los dispositivos DPI analizan el tráfico de red en tiempo real, identifican protocolos y extraen metadatos; el sistema SIAM puede obtener números de teléfono e IMSI desde la capa de red móvil; la base de datos SHAHKAR vincula las tarjetas SIM a identidades reales. Cuando estos sistemas se asocian con auth_key_id, se forma una cadena completa de anclaje de identidad. Lo más aterrador del sistema iraní no son las capacidades técnicas individuales, sino esta arquitectura integrada entre capas: Shahkar vincula las SIM a los documentos nacionales de identidad, SIAM puede manipular dispositivos, HAMTA registra los modelos de dispositivos – combinados, auth_key_id se convierte en la llave final que abre esta puerta.
auth_key_id es un identificador de 64 bits en el protocolo MTProto. Cuando un cliente de Telegram inicia sesión por primera vez en un dispositivo, genera una clave de autorización de 2048 bits (auth_key) mediante el intercambio de claves Diffie-Hellman, y auth_key_id es el hash SHA-1 de los 64 bits inferiores de esa clave. Se encuentra al principio del encabezado externo de MTProto en cada transmisión de mensaje, indicando al servidor "qué clave usar para descifrar el contenido siguiente".
La evaluación técnica de Symbolic Software confirma: auth_key_id permanece sin cambios entre sesiones, cambios de IP, cambios de red y movimientos geográficos, lo que lo convierte en una poderosa herramienta para que los observadores pasivos de red rastreen un solo dispositivo a largo plazo. Cualquier intermediario de red – ISP, administrador de red, sistema de vigilancia gubernamental – puede recolectar valores de auth_key_id mediante monitoreo de red pasivo, sin ataques de intermediario, descifrado de certificados o manipulación del protocolo. Basta con una simple captura de paquetes y desofuscación.
Ante el sistema de vigilancia de múltiples capas de Irán, auth_key_id enfrenta múltiples riesgos de exposición. Tanto si usas conexión directa como VPN, puede filtrarse en varios nodos clave:
| Capa de vigilancia | Mecanismo técnico | Riesgo de exposición |
|---|---|---|
| Capa de red (DPI) | El ISP analiza paquetes mediante dispositivos DPI | Incluso si el VPN cifra el contenido, auth_key_id como identificador de capa de aplicación puede ser extraído; si Telegram usa TCP no cifrado, queda completamente expuesto. Esto a menudo causa mtproto no funciona cuando el DPI interrumpe los handshakes. |
| Capa de red móvil (SIAM) | SIAM puede forzar la degradación a 2G inseguro, recolectar metadatos | Registra auth_key_id y lo vincula con IMSI/número de teléfono, anclando la identidad con precisión a un dispositivo personal. |
| Capa de identidad (Shahkar) | Tarjeta SIM vinculada a la cédula nacional, puede apuntar a números específicos | Si una conexión (por ejemplo, WiFi de hotel con autenticación) asocia auth_key_id con tu identidad real, el sistema de vigilancia puede usar Shahkar para rastrear todos tus registros de conexión auth_key_id pasados. |
| Capa física (capturador IMSI) | Despliegue de estaciones base falsas en lugares de protesta | Captura simultáneamente el IMSI del teléfono, el modelo del dispositivo y auth_key_id, formando un perfil completo de identidad del dispositivo. |
| Retrospección pasiva | Los operadores guardan registros a largo plazo | Una vez que un ancla de identidad vincula auth_key_id, el sistema de vigilancia puede buscar en los registros históricos para reconstruir patrones de comunicación y rastros de comportamiento durante meses o incluso años. |
El riesgo de la exposición de auth_key_id radica en su persistencia y capacidad de vinculación. No es un marcador temporal de sesión, sino un identificador fijo ligado a la clave de autorización a largo plazo del dispositivo. Si una sola conexión (por ejemplo, registrarse en el WiFi de un hotel) asocia tu auth_key_id con tu identidad real, el sistema de vigilancia puede usar este "ancla" para buscar en todos los registros de tráfico históricos – tus registros de comunicación de los últimos meses a través de diferentes redes podrían ser rastreados de una vez, incluso si en ese momento usaste un VPN o cambiaste de red.
Conclusión: Confiar en estos protocolos para construir tus propios servidores VPN desde cero ya no es una solución sostenible.
Shadowsocks fue creado originalmente por desarrolladores chinos para evadir el "Gran Cortafuegos", utilizando métodos de ofuscación no estándar. Los sistemas DPI no pueden clasificar claramente su tráfico como proxy/VPN, lo que le da una ventaja relativa en el entorno de censura iraní. Pero Shadowsocks no es una panacea. Carece de simulación de funciones avanzadas como los handshakes TLS, y después de un uso prolongado, sus patrones de tráfico pueden ser clasificados y reconocidos por sistemas de aprendizaje automático.
El protocolo VLESS está diseñado específicamente para evadir la detección DPI, envolviendo la información de enrutamiento en TLS estándar, haciendo que el tráfico generado a nivel de paquete sea indistinguible de las conexiones HTTPS ordinarias. Con la tecnología de transporte REALITY, puede tomar prestados los certificados TLS de sitios web legítimos para ocultar el destino real. Los sistemas de sondeo activo de Irán, cuando sondean un servidor VLESS+Reality, reciben la misma respuesta que un sitio web genuino, y el servidor no revela su función de proxy. Los operadores que configuran correctamente servidores VLESS dentro de Irán reportan tasas de detección por debajo del 5%. Un servidor que sería bloqueado en días bajo WireGuard puede funcionar durante meses con una configuración VLESS+Reality correcta.
El proxy MTProto está diseñado específicamente para Telegram y solo funciona para Telegram; no puede proxy el tráfico del navegador ni de otras aplicaciones. En el entorno de censura de 2026, solo los proxies MTProto de tercera generación que comienzan con "ee" (que habilitan Fake TLS) siguen siendo efectivos. Si encuentras mtproto no funciona, actualizar a MTG 2.2.8 o usar un proxy dedicado como el de TGV a menudo resuelve el problema.
Sin embargo, ni siquiera los proxies MTProto Fake TLS pueden ocultar auth_key_id. Los clientes de Telegram usan TCP no cifrado en la capa de transporte, y la exposición de auth_key_id es un problema de diseño fundamental del protocolo – no importa cuánto ofusque el proxy, auth_key_id se expone a los nodos intermedios de la red antes de llegar al servidor proxy. El 1 de abril de 2026, varios ISP rusos comenzaron a identificar selectivamente los handshakes de Telegram MTProto/FakeTLS mediante análisis de huellas TLS, causando fallos generalizados de mtproto no funciona, mientras que los servicios VLESS Reality en los mismos servidores seguían funcionando normalmente.
Ante la vigilancia integral de Irán, ninguna herramienta por sí sola es suficiente para garantizar la seguridad absoluta. Necesitas una estrategia de defensa de múltiples capas.
| Capa | Estrategia | Puntos de implementación |
|---|---|---|
| Capa 1: Proxy anticensura | Usar el protocolo VLESS + Reality | Desplegar con Xray-core o Sing-box, elegir un dominio de camuflaje adecuado (ej. api.github.com, update.microsoft.com), activar REALITY, preferiblemente con enrutamiento descentralizado P2P. |
| Capa 2: Canal específico para Telegram | Proxy MTProto de 3ª generación (Fake TLS) | Usar secreto con prefijo ee, puerto 443, con un dominio de camuflaje de buena reputación; como canal de entrada de Telegram. Nota: el proxy MTProto solo funciona para Telegram y no resuelve la exposición de auth_key_id. |
| Capa 3: Reinicio periódico de auth_key_id | Restablecer la clave de autorización regularmente, detener el seguimiento a largo plazo (obligatorio) | Más completo: Ir a Configuración de Telegram → Dispositivos, finalizar todas las sesiones sospechosas; usar el cierre de sesión y el inicio de sesión oficiales para generar un nuevo auth_key_id. El uso de PFS no puede prevenir la exposición del identificador pero puede limitar el período de rastreo. Realizar un reinicio cada 1-3 meses reduce enormemente el riesgo de seguimiento a largo plazo. |
| Capa 4: Aislamiento de identidad | Separar estrictamente la identidad real de la comunicación sensible | No uses la misma cuenta de Telegram para actividades sensibles en redes autenticadas (WiFi de hotel, red corporativa). Para comunicaciones sensibles, usa Tor o un túnel VPS de confianza en el extranjero. Evita registrar cuentas sensibles con números de teléfono vinculados a la SIM. |
| Capa 5: Cadena VPN/Proxy multicapa | Combinar protocolos anticensura | Hacer pasar el tráfico de Telegram primero a través de un proxy MTProto (ee Fake TLS) y luego dentro de un túnel VLESS, para que auth_key_id esté protegido por múltiples capas de cifrado durante toda la transmisión. |
| Capa 6: Red P2P descentralizada | Evitar la dependencia de un solo punto | Usar una red P2P descentralizada evita una interrupción completa del servicio si una sola IP es bloqueada. |
Dado que la persistencia de auth_key_id es el mayor riesgo, el restablecimiento periódico es la forma más efectiva de romper el seguimiento a largo plazo.
Se recomienda desplegar el protocolo VLESS + Reality en un VPS. Usando Xray como ejemplo, pasos breves:
bash -c "$(curl -L https://github.com/XTLS/Xray-install/raw/main/install-release.sh)" @ installxray x25519Bajo la arquitectura de vigilancia actual de Irán, la exposición de auth_key_id constituye un riesgo de privacidad significativo y persistente. Conclusiones clave:
✅ VLESS+Reality es actualmente el protocolo anticensura más robusto dentro de Irán; combinado con restablecimientos periódicos de auth_key_id, reduce enormemente el riesgo de asociación de identidad.
✅ Los usuarios de pago de TGV obtienen proxies MTProto de tercera generación con prefijo ee y orientación profesional para la configuración de túneles VLESS.
✅ Siempre obtén las claves y configuraciones de proxy a través de canales oficiales; evita los nodos gratuitos de origen desconocido.
✅ Se recomienda a los usuarios de alto riesgo realizar "Cerrar sesión → Iniciar sesión nuevamente" mensualmente para cambiar completamente la clave de autorización.
✅ Si encuentras mtproto no funciona, primero intenta actualizar a MTG 2.2.8 o contacta al soporte de TGV para obtener un proxy dedicado.