Una vulnerabilidad en la función Hide My Email de Apple, diseñada para ocultar la dirección de correo electrónico real de los usuarios, ha puesto en entredicho una de las principales promesas de privacidad de la compañía. Investigadores de ciberseguridad han descubierto que esta herramienta podría permitir a terceros identificar el correo electrónico original asociado a las cuentas de iCloud+, lo que representa un riesgo significativo para el anonimato digital de los usuarios.
El hallazgo de la vulnerabilidad
Tyler Murphy, cofundador de EasyOptOuts, un servicio de eliminación de datos en línea, reportó e investigó el fallo. Según declaró a TechCrunch, "se le reportó a Apple el problema hace un año y no se tenía claro por qué la empresa no lo había podido resolver". En una entrevista con 404 Media, Murphy explicó que los sitios públicos de búsqueda de personas facilitan vincular una dirección de correo con otros datos personales, "por lo que las personas que dependen de Hide My Email para proteger su seguridad podrían estar en riesgo".
Antecedentes de fallos de privacidad en Apple
No es la primera vez que se cuestionan las medidas de privacidad de Apple. En noviembre de 2022, el usuario Elliot Libman presentó una demanda colectiva acusando a la compañía de seguir recopilando datos de uso de aplicaciones como App Store, Apple Music y Apple TV, incluso cuando los ajustes de privacidad estaban activados. Además, en 2023, investigadores de ciberseguridad encontraron fallas en la implementación de la aleatorización de direcciones MAC, una función diseñada para dificultar el rastreo de dispositivos por WiFi.
La respuesta de Apple y la postura de los investigadores
La línea de tiempo elaborada por los cofundadores de EasyOptOuts revela que en 2025 reportaron el problema a Apple. La empresa respondió que Hide My Email no está diseñado para que se descubran los correos, pero los investigadores subieron un informe detallado. Un mes después, Apple indicó que ya estaban revisando las vulnerabilidades, aunque nunca reconocieron que se tratara de un riesgo real. El 30 de junio de 2026, Apple informó que el problema estaba resuelto y pidió a los investigadores verificar la solución. Sin embargo, tras repetir las pruebas, estos aseguraron que la vulnerabilidad seguía presente.
Impacto en la privacidad y la confianza
Victor Ruíz, fundador de la startup mexicana de ciberseguridad Silikn, señaló a Expansión que "esto no implica que otros datos personales o la cuenta de Apple hayan sido comprometidos, pero sí la privacidad del correo electrónico; el principal riesgo es la pérdida del anonimato digital". Ruíz añadió que "si un tercero logra conocer la dirección de correo real de un usuario, puede incrementar las campañas de spam y ataques de ingeniería social dirigidos, especialmente si ese correo está asociado con redes sociales, cuentas bancarias o servicios de trabajo".
Los investigadores de EasyOptOuts descubrieron que atacantes podrían descubrir el correo original detrás de las direcciones de Hide My Email. Murphy afirmó: "Aún no conocemos el alcance total de la vulnerabilidad, pero en las pruebas que realizamos con un grupo limitado de voluntarios, todas las direcciones de Hide My Email pudieron ser explotadas". Los especialistas decidieron no revelar el funcionamiento del fallo para evitar que actores maliciosos lo aprovechen antes de que Apple publique una solución definitiva.
Consecuencias para la marca Apple
Ruíz destacó que "desde el punto de la confianza, el impacto para la empresa puede ser importante, ya que Hide My Email es una función que Apple promociona precisamente como una herramienta de protección de la privacidad". Agregó que "cuando una vulnerabilidad que afecta esa promesa permanece abierta por periodos prolongados, los usuarios pueden cuestionar no solo la seguridad de esa función, sino la rapidez con que la empresa responde".
Recomendaciones de los especialistas
Mientras Apple publica una actualización definitiva, los expertos recomiendan reforzar otras medidas de seguridad. Ruíz aconsejó "no solo depender de Hide My Email como única medida de privacidad". También sugirió mantener activada la autenticación de dos factores en la cuenta de Apple, utilizar contraseñas únicas para cada servicio, revisar periódicamente los alias creados y desactivar aquellos que ya no se utilicen. "También es recomendable evitar usar el mismo correo principal para servicios especialmente sensibles cuando existan alternativas, permanecer atentos a intentos de phishing dirigidos y desconfiar de mensajes que soliciten credenciales o información personal", concluyó.



