Volver al blog

Proxies para Threema en entornos corporativos: configuración, seguridad y elusión de bloqueos

Analizamos por qué las empresas necesitan un proxy para Threema, cómo configurarlo correctamente y qué tipo de proxy elegir para la seguridad corporativa.

📅26 de junio de 2026
```html

Threema es uno de los pocos mensajeros que realmente fue creado con un enfoque en la seguridad corporativa: cifrado de extremo a extremo, mínimo de metadatos, servidores en Suiza. Pero incluso él tiene un punto vulnerable: el nivel de red. Si su proveedor bloquea el tráfico, el departamento de TI corporativo limita las conexiones o necesita ocultar el hecho de usar el mensajero, un proxy es indispensable.

En este artículo, analizaremos cómo conectar un proxy a Threema Work y a la versión normal, qué tipo de proxy es adecuado para tareas corporativas y cómo no comprometer la seguridad durante la configuración.

¿Por qué necesita Threema un proxy: escenarios corporativos reales?

Muchos piensan que dado que Threema cifra todo con cifrado de extremo a extremo, un proxy es innecesario. En la práctica, esto no es así. El cifrado protege el contenido de los mensajes, pero no oculta el hecho de conectarse a los servidores de Threema. Es precisamente a nivel de red donde surgen la mayoría de los problemas corporativos.

Veamos situaciones concretas en las que un proxy se vuelve una necesidad:

Escenario 1: Bloqueos regionales

En varios países y redes corporativas, el tráfico hacia los servidores de Threema se bloquea a nivel de firewall. Esto es especialmente relevante para las empresas que tienen oficinas en países con regulaciones de internet estrictas. Un empleado abre Threema Work y ve un error de conexión. En este caso, el proxy actúa como un nodo intermedio: el tráfico no va directamente a los servidores de Threema, sino a través de una dirección IP en una jurisdicción permitida.

Escenario 2: Control de TI corporativo

Las grandes corporaciones a menudo dirigen todo el tráfico de los empleados a través de un servidor proxy corporativo — para monitoreo, filtrado y registro. Si Threema Work no está configurado para funcionar a través de este proxy, simplemente no se conectará en la red de la oficina. Los administradores de TI deben especificar explícitamente el proxy en la configuración de la aplicación, de lo contrario, el mensajero no estará disponible en los dispositivos de trabajo.

Escenario 3: Inteligencia competitiva y anonimato en las negociaciones

Para la alta dirección y los departamentos legales, no solo es importante el contenido de las negociaciones, sino también los metadatos: desde qué IP se está comunicando, en qué región se encuentran los participantes. Un proxy permite ocultar la dirección IP real de la oficina corporativa o de un empleado específico — especialmente durante negociaciones de fusiones y adquisiciones, donde incluso el hecho de comunicarse con una parte específica puede ser información sensible.

Escenario 4: Trabajo de empleados remotos

Los empleados remotos de diferentes países enfrentan problemas de conexión inestable a los servidores de Threema. Un proxy con servidores en la región adecuada ayuda a reducir la latencia y asegurar una conexión estable — especialmente para equipos en Asia, América Latina y África, donde la conexión directa a los servidores suizos de Threema puede ser inestable.

Es importante entender:

Un proxy no reemplaza el cifrado de Threema — funciona en un nivel diferente. Juntos proporcionan una doble capa de protección: el contenido está cifrado y la fuente del tráfico está oculta.

Threema Work vs Threema normal: ¿cuál es la diferencia para los negocios?

Antes de pasar a la configuración, es importante entender con qué versión está trabajando. Esto determina cómo se configura el proxy.

Parámetro Threema (personal) Threema Work (corporativa)
Gestión Usuario Administrador de TI a través de MDM
Configuración del proxy A través de la configuración del dispositivo A través de un perfil MDM o archivo de configuración
Soporte SOCKS5 Depende de la configuración del sistema Soportado a través de la configuración
Políticas de seguridad No Políticas centralizadas
Audiencia objetivo Particulares Empresas de 10 personas o más

Para la mayoría de los escenarios corporativos se utiliza Threema Work — permite al administrador de TI gestionar centralmente la configuración, incluido el proxy, a través del sistema MDM (Mobile Device Management) — por ejemplo, Jamf, Microsoft Intune o VMware Workspace ONE.

Si utiliza Threema normal, el proxy se configura a través de la configuración del dispositivo (proxy Wi-Fi en iOS o proxy global en Android). Esto es menos flexible, pero es una opción viable para equipos pequeños.

Qué tipo de proxy elegir para Threema

No todos los proxies son igualmente adecuados para un mensajero corporativo. Analicemos los tipos principales y su aplicabilidad a Threema.

Proxies residenciales

Los proxies residenciales utilizan direcciones IP de usuarios domésticos reales. Este es el tipo más discreto: el tráfico de tal IP se ve como el de un usuario de internet normal, no como el de un servidor corporativo. Para Threema, esto es importante en casos donde se necesita eludir bloqueos por tipo de dirección IP — muchos firewalls bloquean precisamente las IP de los centros de datos, mientras que las direcciones residenciales son permitidas.

La desventaja de los proxies residenciales para un mensajero corporativo es la rotación de IP. Si el proxy cambia de dirección cada pocos minutos, esto puede crear problemas con la autorización en Threema. Por lo tanto, para esta tarea, se deben elegir proxies residenciales con sesiones fijas — IP fija durante un tiempo prolongado (de 10 minutos a 24 horas).

Proxies móviles

Los proxies móviles funcionan a través de direcciones IP de operadores móviles (3G/4G/5G). Este es el tipo de tráfico más confiable desde el punto de vista de cualquier sistema de filtrado — las IP móviles rara vez entran en listas de bloqueo. Para Threema, los proxies móviles son especialmente buenos si los empleados utilizan la aplicación en smartphones: el tráfico se integra orgánicamente en el patrón móvil.

Los proxies móviles son más caros que los residenciales, pero para la seguridad corporativa, estos gastos están justificados — especialmente para la alta dirección y los departamentos legales, donde el anonimato en las negociaciones es crítico.

Proxies de centros de datos

Los proxies de centros de datos son la opción más rápida y económica. Son adecuados para eludir firewalls corporativos dentro de la empresa, cuando el administrador de TI configura el servidor proxy para enrutar el tráfico de Threema. Sin embargo, si la tarea es ocultar el tráfico corporativo de observadores externos, las IP de centros de datos son más fáciles de identificar como "no residenciales".

Tipo de proxy Velocidad Anonimato Mejor escenario para Threema
Residenciales Media Alta Eludir bloqueos regionales
Móviles Media Máxima Anonimato de la alta dirección
Centro de datos Alta Media Servidor proxy corporativo

Configuración del proxy en Threema en Android

En Android hay dos formas de conectar un proxy a Threema: a través de la configuración de Wi-Fi o mediante una aplicación proxy (por ejemplo, ProxyDroid o Shadowsocks). La primera opción es más sencilla, la segunda es más flexible.

Método 1: A través de la configuración de Wi-Fi (proxy HTTP)

Este método funciona si su proxy soporta el protocolo HTTP/HTTPS. Pasos:

  1. Abra Ajustes → Wi-Fi en su dispositivo.
  2. Presione y mantenga la red conectada — seleccione “Modificar red”.
  3. Despliegue “Opciones avanzadas”.
  4. En el campo “Proxy” seleccione “Manual”.
  5. Ingrese Host del proxy (dirección IP de su servidor proxy) y Puerto.
  6. Si el proxy requiere autorización — indique el nombre de usuario y la contraseña en los campos correspondientes (disponible en Android 10+).
  7. Presione “Guardar” y reinicie Threema.

Verifique la conexión: en Threema, vaya a Ajustes → Acerca de Threema y presione la versión para enviar un diagnóstico — si la conexión está establecida, la aplicación mostrará un estado verde.

Método 2: A través de SOCKS5 (para usuarios avanzados)

Android no soporta SOCKS5 a nivel del sistema directamente. Para hacer funcionar SOCKS5 con Threema, use la aplicación ProxyDroid (requiere root) o configure un túnel a través de SSH. Para los usuarios corporativos, es más fácil usar un VPN corporativo junto con el proxy — es una solución más manejable.

Consejo para la implementación corporativa:

Si gestiona los dispositivos de los empleados a través de MDM (por ejemplo, Microsoft Intune), la configuración del proxy se puede aplicar de manera centralizada a todos los dispositivos Android corporativos a través de un perfil de configuración. Esto elimina la necesidad de configurar cada dispositivo manualmente.

Configuración del proxy en Threema en iPhone (iOS)

En iOS, Threema utiliza la configuración del sistema para el proxy — no hay una configuración separada dentro de la aplicación. El proxy debe configurarse a nivel de la red Wi-Fi o a través de un perfil MDM.

Configuración a través de Wi-Fi

  1. Abra Ajustes → Wi-Fi.
  2. Presione el ícono (i) junto a la red conectada.
  3. Desplácese hacia abajo hasta la sección “Proxy HTTP”.
  4. Seleccione “Manual”.
  5. Ingrese Servidor (dirección IP del proxy) y Puerto.
  6. Si se requiere autorización — active el interruptor “Autenticación” e ingrese el nombre de usuario y la contraseña.
  7. Presione “Listo” — iOS aplicará automáticamente la configuración a todas las aplicaciones, incluida Threema.

Configuración a través de un archivo PAC

Para uso corporativo, es más conveniente utilizar un archivo PAC (Proxy Auto-Configuration) — permite establecer reglas: qué tráfico pasa a través del proxy y cuál va directamente. Por ejemplo, se puede dirigir solo el tráfico de Threema a través del proxy, dejando el resto del tráfico sin cambios.

  1. En la sección “Proxy HTTP”, seleccione “Automáticamente”.
  2. Ingrese la URL del archivo PAC proporcionado por su departamento de TI.
  3. iOS descargará la configuración y la aplicará automáticamente.

Configuración a través de MDM (Jamf, Intune)

La forma corporativa es desplegar un perfil de configuración a través de MDM. En Jamf Pro, esto se hace a través de Configuration Profiles → Network → Proxy. El perfil se aplica automáticamente a todos los iPhone corporativos de los empleados sin su participación. Este es el enfoque más correcto para empresas con un parque de dispositivos de 20 o más.

Configuración del proxy en Threema en la computadora (Windows/Mac)

Threema Desktop (versión para computadoras) también utiliza la configuración del sistema para el proxy del sistema operativo. No hay una configuración separada del proxy dentro de la aplicación — esta es una decisión arquitectónica intencionada de los desarrolladores para simplificar la gestión.

Windows 10/11

  1. Abra Ajustes → Red e Internet → Proxy.
  2. En la sección “Configuración manual del proxy”, active el interruptor “Usar un servidor proxy”.
  3. Ingrese Dirección (IP del proxy) y Puerto.
  4. Si necesita excluir direcciones locales — marque la casilla “No usar un servidor proxy para direcciones locales”.
  5. Presione “Guardar” y reinicie Threema Desktop.

macOS

  1. Abra Ajustes del sistema → Red.
  2. Seleccione la conexión de red activa (Wi-Fi o Ethernet) y presione “Avanzado”.
  3. Vaya a la pestaña “Proxy”.
  4. Active el tipo de proxy necesario: “Proxy web (HTTP)” o “Proxy web seguro (HTTPS)”.
  5. Ingrese la dirección y el puerto del servidor proxy. Si es necesario — el nombre de usuario y la contraseña.
  6. Presione “OK” y “Aplicar”. Reinicie Threema Desktop.

Verificación del funcionamiento del proxy:

Después de la configuración, abra un navegador y vaya a whatismyip.com — si se muestra la IP de su proxy, y no la IP real de la oficina, la configuración se ha realizado correctamente. Luego, inicie Threema Desktop y verifique el estado de la conexión.

Seguridad corporativa: qué considerar al implementar

Usar un proxy con Threema en un entorno corporativo no es solo una tarea técnica, sino también organizativa. Aquí están los aspectos clave que deben trabajarse antes de comenzar la implementación.

1. Elección de la jurisdicción del servidor proxy

Los servidores de Threema están en Suiza. Para una latencia mínima, elija proxies con servidores en Europa Occidental. Si los empleados trabajan desde Asia, busque proxies con puntos de presencia en Singapur o Hong Kong. Importante: asegúrese de que la jurisdicción del proveedor de proxy no lo obligue a almacenar y transmitir registros de tráfico — esto es crítico para la confidencialidad corporativa.

2. Política de registro del proveedor de proxy

Solicite al proveedor de proxy la política de registro (No-logs policy). Para las comunicaciones corporativas a través de Threema, es crítico que el proveedor no almacene metadatos: quién, cuándo y desde qué IP se conectó. Aunque el contenido de la correspondencia está cifrado a nivel de Threema, los metadatos de las conexiones pueden ser sensibles.

3. Protocolo: HTTP vs SOCKS5

Para Threema, se recomienda utilizar SOCKS5, si es técnicamente posible. SOCKS5 opera a un nivel más bajo y no modifica los encabezados de las solicitudes — esto es importante para el correcto funcionamiento de las notificaciones push y la sincronización de mensajes. El proxy HTTP también funciona, pero puede crear retrasos al transmitir datos binarios (archivos, mensajes de voz).

4. Autenticación del proxy: IP-whitelist vs nombre de usuario/contraseña

Para uso corporativo, se prefiere la autenticación mediante lista blanca de IP (IP-whitelist) — no requiere almacenar contraseñas en los dispositivos de los empleados y es más fácil de gestionar. Si los empleados trabajan con IP dinámicas (por ejemplo, desde casa), utilice autenticación por nombre de usuario y contraseña con rotación de credenciales cada trimestre.

5. Monitoreo y proxy de respaldo

Para comunicaciones corporativas críticas, configure el monitoreo de la disponibilidad del servidor proxy. Utilice al menos dos proxies en diferentes centros de datos — uno principal y uno de respaldo. Si el proxy principal no está disponible, los empleados deben saber cómo cambiar al de respaldo sin perder acceso a Threema Work.

Errores comunes al usar proxies con Threema

En la práctica, la mayoría de los problemas con el funcionamiento de Threema a través de un proxy surgen de varios errores típicos. Analicemos estos errores en detalle para que no tropiece con las mismas piedras.

Error 1: Uso de proxies gratuitos

Los proxies gratuitos son una amenaza directa a la seguridad corporativa. A menudo registran todo el tráfico que pasa, pueden inyectar código malicioso y a menudo ya están bloqueados a nivel de los servidores de Threema. Para un mensajero corporativo que utiliza precisamente por razones de seguridad, un proxy gratuito anula completamente las ventajas de Threema.

Error 2: Proxies con rotación de IP sin sesiones fijas

Si su proxy cambia de IP cada 1-5 minutos, Threema perderá constantemente la conexión y requerirá re-autorización. Para el mensajero se necesitan sesiones fijas — IP fija durante al menos 30 minutos. Al elegir un proveedor de proxy, asegúrese de preguntar por el tiempo máximo de sesión fija.

Error 3: Proxy solo para algunos dispositivos

Una situación común: el proxy está configurado en las computadoras portátiles corporativas, pero no en los smartphones de los empleados. Como resultado, la misma cuenta de Threema Work se conecta a través del proxy o directamente — desde diferentes IP. Esto puede generar sospechas en los sistemas de seguridad y llevar al bloqueo de la cuenta. Configure el proxy de manera uniforme en todos los dispositivos de un empleado específico.

Error 4: Ignorar las filtraciones de DNS

Incluso con un proxy configurado, las consultas DNS pueden eludirlo — yendo directamente al servidor DNS del proveedor. Esto se llama filtración de DNS. Como resultado, a pesar del proxy, la ubicación real de la oficina puede ser revelada. Verifique si hay filtraciones de DNS en el sitio dnsleaktest.com después de configurar el proxy. Para solucionarlo, utilice DNS-over-HTTPS (DoH) o configure un proxy que soporte el enrutamiento de DNS (SOCKS5 con DNS remoto).

Error 5: Proxy sin soporte para WebSocket

Threema utiliza WebSocket para mantener una conexión constante con el servidor (notificaciones push, entrega rápida de mensajes). Algunos proxies HTTP no soportan WebSocket o bloquean conexiones de larga duración. Antes de elegir un proveedor, verifique el soporte para WebSocket — de lo contrario, las notificaciones llegarán con retraso o no llegarán en absoluto.

Error 6: Falta de pruebas antes de la implementación

Antes de desplegar el proxy en todos los dispositivos corporativos, pruebe la configuración en 2-3 dispositivos durante una semana. Verifique: estabilidad de la conexión, velocidad de entrega de mensajes, funcionamiento de llamadas de voz y transferencia de archivos. Solo después de pruebas exitosas, pase a la implementación masiva.

Conclusión y recomendaciones

Threema es una herramienta poderosa para las comunicaciones corporativas, pero su seguridad se puede fortalecer significativamente al agregar un proxy a nivel de red. El proxy aborda problemas que el cifrado por sí solo no cubre: eludir bloqueos regionales, ocultar la IP corporativa, enrutar el tráfico a través del firewall corporativo y asegurar una conexión estable para empleados remotos.

Conclusiones clave del artículo:

  • Para eludir bloqueos regionales, utilice proxies residenciales con sesiones fijas.
  • Para la máxima anonimato de la alta dirección — proxies móviles.
  • Para la implementación corporativa, configure el proxy a través de MDM (Jamf, Intune), no manualmente.
  • Siempre verifique las filtraciones de DNS después de la configuración.
  • Exija al proveedor soporte para WebSocket y sesiones fijas de al menos 30 minutos.
  • Nunca utilice proxies gratuitos para comunicaciones corporativas.

Si está buscando una solución confiable para proteger las comunicaciones corporativas a través de Threema, le recomendamos considerar proxies residenciales — ofrecen un alto nivel de anonimato, mínimo riesgo de bloqueos y soporte para sesiones fijas, necesarios para el funcionamiento estable del mensajero. Para tareas donde el anonimato máximo en las negociaciones es crítico, la mejor opción son proxies móviles — su tráfico se ve más orgánico para cualquier sistema de filtrado.

```