Hide My Email de Apple filtra el correo real que debía ocultar y lleva más de un año sin corregirse
Una falla en Hide My Email de Apple expone el correo real de los usuarios y lleva más de un año sin corregirse.
TL;DR:
- El investigador Tyler Murphy, cofundador de EasyOptOuts, reveló una falla en Hide My Email que permite descubrir el correo real detrás de un alias de Apple.
- En pruebas con voluntarios, el 100% de las direcciones resultaron explotables; 404 Media lo confirmó con una de sus propias direcciones.
- Apple recibió el reporte en junio de 2025 y, más de un año después, sigue sin corregirlo; no respondió a solicitudes de comentario.
Una vulnerabilidad en Hide My Email, la función de privacidad de pago de Apple, permite que casi cualquiera descubra la dirección de correo real que se supone debe quedar oculta detrás de un alias. Lo hizo público el investigador Tyler Murphy, cofundador de la empresa de privacidad EasyOptOuts, que reportó el problema a Apple en junio de 2025 junto con las instrucciones para replicarlo. Más de un año después, la falla sigue abierta. El medio 404 Media, que publicó la historia el 1 de julio de 2026, la verificó esta semana con una de sus propias direcciones de Hide My Email. En pruebas con voluntarios, el 100% de las direcciones resultaron vulnerables. El riesgo es concreto: quien usa esta herramienta para proteger su identidad —evitar spam, filtraciones o rastreo— podría estar más expuesto de lo que cree.
Para dimensionarlo conviene recordar qué promete la herramienta. Hide My Email es una función del servicio de pago iCloud+ que genera direcciones de correo alias —normalmente dos palabras al azar y un número terminado en @icloud.com— para registrarse en sitios o escribir correos sin dar la dirección personal. Toda la idea es cortar el vínculo entre esa cuenta y la identidad real del usuario. Eso es justo lo que el fallo rompe.
Hide My Email de Apple está filtrando direcciones de correo que se supone deberían estar ocultas. Reportamos el problema y las instrucciones para replicarlo a Apple hace más de un año. No sabemos por qué no se ha corregido, pero ya no nos sentimos cómodos esperando más. Los usuarios de Hide My Email merecen saber que podría ser posible que atacantes descubran sus direcciones ocultas. — Tyler Murphy, cofundador de EasyOptOuts
404 Media puso el fallo a prueba de la forma más directa: uno de sus periodistas generó un alias nuevo, se lo pasó a Murphy y, unos cinco minutos después, recibió de vuelta la dirección real ligada a esa cuenta de Apple. El medio decidió no publicar los detalles técnicos porque el problema todavía se puede explotar.
Apple recibió el reporte hace más de un año y dijo dos veces que lo había resuelto
La cronología pesa tanto como el fallo. Murphy avisó a Apple en junio de 2025. Un mes después, la compañía respondió que estaba investigando. En marzo de 2026, Apple le dijo que había "resuelto el problema reportado en un cambio reciente del sistema", pero Murphy comprobó que no era cierto: la falla seguía ahí. Entregó más información y Apple volvió a responder que continuaba investigando. En mayo repitió el mensaje y le pidió, de nuevo, que no lo hiciera público.
Seguimos investigando este problema. Para no poner en riesgo a nuestros clientes, agradeceríamos que no divulgara esta información hasta que nuestra investigación esté completa. Apreciamos su ayuda para mantener y mejorar la seguridad de nuestros productos. — respuesta de Apple, en mayo de 2026
Ante la falta de solución, Murphy le propuso a Apple algo poco habitual: suspender la creación de nuevas direcciones de Hide My Email mientras no hubiera parche, para limitar el número de clientes expuestos. No hay indicios de que la compañía tomara esa vía. A finales de mayo, Apple dijo que planeaba corregir el problema en una actualización de seguridad "prevista para las próximas semanas". Esas semanas pasaron sin arreglo, y Murphy contactó a 404 Media. Apple no respondió a las múltiples solicitudes de comentario del medio.
Qué significa para quien usa Hide My Email para protegerse
El punto que más debería preocupar al usuario común es para qué sirve realmente esta función. Mucha gente la activa por razones muy concretas:
- Reducir el spam al no exponer su correo principal.
- Crear cuentas sin que queden vinculadas a su dirección e identidad personal.
- Evitar que su información personal quede en manos de un sitio que después sufra una filtración de datos.
Ahí está el problema de fondo, y Murphy lo puso sobre la mesa sin rodeos: una dirección de correo filtrada rara vez se queda sola.
Los sitios de búsqueda de personas, gratuitos y de acceso público, facilitan enlazar una dirección de correo con otros datos personales, así que quienes dependen de Hide My Email para su seguridad podrían estar en riesgo. — Tyler Murphy
Traducido: existen bases de datos abiertas que, a partir de un correo, permiten llegar al nombre, la ubicación u otros datos de una persona. Para alguien que usa el alias precisamente para no ser identificado —por seguridad personal, no solo por comodidad—, ese salto es exactamente lo que quería evitar. Y no es una función gratuita: Hide My Email forma parte de iCloud+, es decir, es algo por lo que el usuario paga.
El cambio de dominio ya venía debilitando la función
Este golpe llega sobre otro que ya tenía inquietos a los usuarios. En junio de 2026, Apple anunció que trasladará los alias de Hide My Email del dominio @icloud.com a uno nuevo, private.icloud.com. El cambio tiene un efecto secundario incómodo: al quedar todas las direcciones bajo un dominio identificable, es más fácil que sitios y servicios bloqueen los registros hechos con esos alias. TechCrunch reportó que la modificación volverá la función bastante menos efectiva. Sumado a la vulnerabilidad que Apple no corrige, el resultado es una herramienta de privacidad presionada por dos frentes al mismo tiempo.
Por ahora, la carga recae en quienes pagaron por una promesa de privacidad que Apple no ha cumplido. Hasta que llegue el parche, lo más prudente es asumir que un alias de Hide My Email ya no garantiza el anonimato que ofrece en la etiqueta.