Una vulnerabilidad en la función de Hide My Email Apple podría permitir a los atacantes descubrir la dirección de correo electrónico real detrás de un alias anónimo, minando una de las herramientas emblemáticas de privacidad de la compañía, según investigadores de seguridad y pruebas independientes realizadas por 404 Media .
Hide My Email , disponible como parte de la suscripción iCloud+ de Apple, permite a los usuarios generar alias de correo electrónico aleatorios que reenvían mensajes a su bandeja de entrada principal. La función está diseñada para evitar que sitios web, aplicaciones y otros servicios aprendan la dirección de correo real de un usuario, al tiempo que reduce el spam y protege la privacidad en línea.
El problema fue descubierto por Tyler Murphy, cofundador de la empresa de privacidad EasyOptOuts, quien informó de la vulnerabilidad a Apple en junio de 2025. Murphy dijo que Apple reconoció el informe e indicó que se abordaría, pero más de un año después, el fallo sigue siendo explotable.
Para evitar poner a los usuarios en mayor riesgo, 404 Media no publicó detalles técnicos de la vulnerabilidad. Sin embargo, el medio verificó los hallazgos de forma independiente generando un nuevo Hide My Email alias y proporcionándolo a Murphy, quien pudo identificar la dirección de correo electrónico real vinculada a la cuenta de Apple en aproximadamente cinco minutos.
“No conocemos el alcance completo del problema, pero en nuestras limitadas pruebas con voluntarios, el 100% de las Hide My Email direcciones eran explotables”, dijo Murphy a 404 Media. Añadió que los servicios públicos de búsqueda de personas podrían hacer que la vulnerabilidad fuera aún más peligrosa al permitir que los atacantes asocien una dirección de correo electrónico expuesta a otra información personal.
Según Murphy, Apple le informó inicialmente en marzo de 2026 de que el problema se había resuelto. Sin embargo, tras volver a hacer pruebas, descubrió que la vulnerabilidad seguía funcionando y proporcionó a Apple pruebas adicionales. En comunicaciones posteriores, Apple dijo que seguía investigando y esperaba lanzar una corrección en una futura actualización de seguridad. Hasta esta semana, no se ha publicado ningún parche.
La revelación llega mientras Apple prepara otro cambio para Hide My Email . La empresa planea migrar todos los alias generados al dominio @private.icloud.com, reemplazando la mezcla actual de direcciones @icloud.com y @privaterelay.appleid.com. Algunos defensores de la privacidad han advertido que los sitios web podrían simplemente bloquear el nuevo dominio, reduciendo la utilidad de la función incluso si la vulnerabilidad se soluciona finalmente.
Para los usuarios que dependen de Hide My Email separar su identidad de las cuentas online, el fallo podría tener importantes implicaciones para la privacidad. Exponer una dirección de correo electrónico real puede permitir a los atacantes correlacionar cuentas entre múltiples servicios, facilitar campañas de phishing o descubrir información personal adicional a través de bases de datos públicas.
Apple no ha hecho públicos detalles técnicos del problema ni ha anunciado cuándo estará disponible una solución. Hasta que se parchee la vulnerabilidad, los investigadores de seguridad recomiendan tratarla Hide My Email como una capa adicional de privacidad en lugar de una garantía de anonimato, especialmente al proteger identidades sensibles.
