Bots de Telegram que recopilan direcciones IP y números de teléfono: cómo funcionan y si son peligrosos

Bots de Telegram que recopilan direcciones IP y números de teléfono: cómo funcionan y si son peligrosos

En cada suceso ruidoso sobre «un bot que averiguó mi IP y mi número» suele mezclarse tecnología, astucia y un poco de misticismo. Desgranemos: qué ve un bot en Telegram realmente por defecto, dónde comienza la ingeniería social, por qué son peligrosos los «IP-loggers» y por qué ajustar una opción en las llamadas literalmente oculta tu IP.

Qué ve el bot realmente por defecto

Empecemos con la mecánica básica. Un bot de Telegram es un programa en el servidor del autor que se comunica contigo a través del Bot API. Por defecto el bot recibe del cliente tu identificador interno de usuario, nombre/nick y el contenido de los mensajes que le envías. Telegram no «muestra» al bot tu número de teléfono ni tu dirección IP. Para que el bot obtenga el teléfono, el usuario debe enviarlo explícitamente (por ejemplo, pulsando el botón del sistema «Compartir contacto») o indicarlo en un formulario de pago/envío. En los grupos rige el modo de privacidad: el bot no ve todo hasta que no se le conceden más permisos de forma consciente. Esto es importante: la mayoría de las historias alarmistas se desmoronan en este punto.

  • En el chat privado el bot ve tus mensajes dirigidos a él, como debe ser.
  • En un grupo el bot en modo privado recibe solo los comandos/respuestas; el acceso total es posible desactivando la privacidad o si se convierte en administrador.
  • El número de teléfono — solo si tú mismo lo enviaste (con el botón «Compartir contacto»), mediante pago/envío o Telegram Passport.

Documentación y detalles: Telegram Bot API, Privacy Mode en grupos, Bots FAQ.

Cómo los bots «consiguen» tu IP: no es magia, son enlaces web

Por sí solo, el bot no ve tu IP. Pero puede enviar un enlace que abras en el navegador o en una miniaplicación. Cualquier servidor web al que se acceda registrará la IP del cliente: así funciona Internet. Esto lo aprovechan los «IP-loggers» como Grabify y IP Logger: generan un enlace corto o un «píxel invisible» y, al hacer clic, registran la IP y una serie de metadatos (user agent, proveedor, geolocalización aproximada, etc.).

Hay otra vía: las Mini Apps (aplicaciones web dentro de Telegram). En esencia es un sitio web normal abierto en un contenedor de Telegram. En cuanto el usuario lo lanza, tu servidor ve la conexión entrante y, por tanto, la IP. Detalles para desarrolladores: Telegram Mini Apps.

¿Y las vistas previas y las «tarjetas bonitas» de enlaces?

Las vistas previas de la mayoría de enlaces en Telegram las generan los servidores de Telegram, no tu cliente: simplemente ver el mensaje con miniatura no «expone» tu IP al sitio externo. El riesgo aparece al abrir el enlace o la página en el navegador o en la miniaplicación.

  • Ejemplos de «trampas»: un enlace corto con redirección, una «invitación» para «verificar la cuenta», un «sorteo», un «regalo», un «inicio por QR», etc.
  • Clásico phishing: páginas falsas de Microsoft/Google que en sus scripts además envían al autor del bot tu IP y los datos introducidos.

Cómo te obtienen el número de teléfono

Al bot le resulta difícil «adivinar» tu número: debe conseguirlo de forma legítima o engañándote. Estos son los métodos que funcionan:

  1. Botón «Compartir contacto». Es un botón del sistema de Telegram (no un simple «Sí/No») que, al pulsarlo, envía tu número al bot. Se reconoce por el icono de contacto en la interfaz. Si dudas — no pulses.
  2. Pagos y envíos. En una factura (invoice) el bot puede solicitar nombre, teléfono, correo y dirección de envío. Si los completas, el bot recibe esos campos junto con los datos del pedido.
  3. Telegram Passport. Para servicios que requieren verificación de identidad. Entre los elementos posibles está el «número de teléfono verificado». La transmisión se realiza con tu consentimiento.
  4. Ingeniería social. «Envía tu número para contacto», «confirma tu participación», «activa el descuento» — y la gente comparte el número en el chat o envía el contacto al bot.

Uso útil para desarrolladores: Bot API (el botón para solicitar contacto en el teclado de respuestas), Bot Payments, Telegram Passport.

Lo que los bots NO pueden hacer (y los mitos persistentes)

  • «El bot supo mi IP solo porque leí el chat» — no. La IP la ven los sitios web a los que accedes y la persona en llamadas P2P (si no está habilitado el modo mediante servidor). La simple lectura del chat no revela la IP.
  • «Cualquier bot ve el número de teléfono» — no. El número se transmite solo por una acción explícita tuya: «compartir contacto», pago/envío, Telegram Passport, o cuando escribes el número manualmente en texto/tarjeta.
  • «La vista previa del enlace filtra mi IP al sitio» — en Telegram las vistas previas las recopilan generalmente los servidores de Telegram. El riesgo es al hacer clic y abrir la página.
  • «Un bot en el grupo lo lee todo» — en modo privado solo ve lo dirigido a él (comandos/respuestas). Acceso total solo si se desactiva privacy mode o se le conceden privilegios de administrador.

Dónde está el verdadero peligro: escenarios reales

El peligro no está en la «omnipotencia» del bot, sino en la combinación de enlaces web, phishing y confianza. Ejemplos prácticos:

  • IP-loggers envían un enlace corto o un «píxel»: haces clic y el servicio registra IP/geolocalización/dispositivo. Si haces clic, queda rastro.
  • Formularios de phishing (fingiendo ser Microsoft/Google, etc.): los datos y tu IP se envían al autor a través de su bot de Telegram.
  • OSINT/«bots de búsqueda» tipo «encuentro todo por número» — normalmente son agregadores de filtraciones y bases abiertas, a veces en el límite de la legalidad o fuera de ella. En la práctica pública se ve que esos servicios periódicamente recortan funciones o cierran por requerimientos regulatorios.
  • En grupos si al bot se le permite acceso «a los mensajes» puede leer todo. Si el grupo es público, a menudo se añaden bots «servicio» recolectores.

Cómo reconocer y no caer: lista rápida

  • No pulses «Compartir contacto» si no estás seguro de con quién hablas. Ese botón es del sistema y envía tu número al instante.
  • Cualquier enlace de un desconocido = compruébalo en urlscan.io o VirusTotal, y los enlaces cortos — primero «desenróllelos» (el comprobador de URL integrado de IPLogger sirve también para ver el destino).
  • Una miniaplicación (Mini App) es, en esencia, un sitio web. Si la abres, el servidor ve tu IP. Abre solo lo que confíes.
  • No agregues bots desconocidos como administradores en grupos. Revisa periódicamente qué bots tienen desactivado el modo de privacidad.

Dos minutos para configurar la privacidad en Telegram

Estos pasos cierran los vectores más habituales de «recolección»:

  1. Oculta tu número: Ajustes → Privacidad y seguridad → Número de teléfono → «Nadie». Debajo — «Quién puede encontrarme por número» → «Mis contactos».
  2. Limita las llamadas y oculta la IP en llamadas: Ajustes → Privacidad y seguridad → Llamadas → «Quién puede llamarme» → «Mis contactos» (o «Nadie»). En ese mismo apartado, «P2P»/«Usar punto a punto» → «Nunca/Nadie», para que las llamadas pasen por el servidor y tu IP no se revele a la otra persona.
  3. Sesiones: Ajustes → Privacidad y seguridad → Sesiones activas → cierra las que no reconozcas.

Si ya hiciste clic o «entregaste» el número

  • Comprueba filtraciones: Have I Been Pwned (email/teléfono) y servicios similares.
  • Cambia contraseñas en los servicios afectados y activa la autenticación en dos pasos.
  • Spam/extorsión por teléfono? Agrégalos a la lista negra, usa filtros antispam del operador. No sigas enlaces de SMS/mensajes.
  • Eliminar datos en los loggers: algunos ofrecen un formulario «Remove my data» (por ejemplo, Grabify — en el pie del sitio).

FAQ: breve y al grano

¿Puede un bot saber mi IP si solo leí su mensaje?

No. La IP se expone al abrir un enlace externo/miniaplicación o en llamadas P2P (si no está desactivado). Leer el chat es seguro.

¿Y si el bot está en un grupo?

En modo privado ve solo comandos/respuestas. Acceso total ocurre si se desactiva privacy mode o se hace al bot administrador. Revisa los permisos de los bots en chats importantes.

¿Cómo sé que me pidieron exactamente el número?

Busca el botón del sistema «Compartir contacto» con su icono — ese envía tu teléfono automáticamente. Cualquier otro «Sí/No» es solo un botón de texto y no enviará tu número.

Me enviaron una «miniaplicación», ¿es segura?

Es un sitio web en una ventana de Telegram. Si la abres, el servidor ve tu IP; después depende de la buena fe del autor. Abre solo las que conozcas y necesites.

Resultado: los hechizos se desvanecen

Los bots de Telegram no tienen superpoderes: dependen de tus acciones (clic, botón, pago, passport) y de la web. Para no «exponer» IP y teléfono basta con higiene básica: no compartir el contacto, no abrir enlaces sospechosos, mantener las llamadas P2P desactivadas y vigilar los permisos de los bots en grupos. Un par de minutos en los ajustes y la mayoría de los sustos se quedan en nada.

Enlaces útiles

Alt text
article-title

Hacker