Apple promete ocultar tu correo, pero un fallo podría revelar tu dirección real
Una vulnerabilidad en Hide My Email permitiría descubrir la dirección de correo original de los usuarios.
El problema habría sido reportado a Apple hace más de un año y, según investigadores independientes, sigue sin resolverse.
Cuando Apple presentó Hide My Email como parte de iCloud+, la propuesta era sencilla: permitir que los usuarios se registraran en sitios y aplicaciones utilizando direcciones de correo aleatorias que reenviaran los mensajes a su cuenta real, evitando así compartir su identidad digital con terceros.
Sin embargo, una investigación publicada esta semana pone en duda esa promesa.
Según reveló 404 Media y confirmó el investigador Tyler Murphy, cofundador de EasyOptOuts, existe una vulnerabilidad que permitiría asociar esas direcciones anónimas con el correo electrónico real del usuario. Lo más preocupante es que el problema habría sido reportado a Apple hace más de un año y continuaría siendo explotable.
Una función de privacidad que dejaría de ser privada
Apple diseñó Hide My Email para reducir la exposición de la dirección principal de sus usuarios frente a filtraciones de datos, campañas de marketing y seguimiento entre distintos servicios.
En teoría, cada alias generado funciona como una capa de separación entre la identidad real del usuario y los servicios donde se registra. Si un sitio sufre una brecha de seguridad, el atacante solo obtendría la dirección aleatoria y no el correo verdadero.
El problema es que, de acuerdo con Murphy, esa separación puede romperse.
Por motivos de seguridad, los investigadores no publicaron los detalles técnicos del método utilizado, precisamente para evitar facilitar su explotación antes de que exista un parche definitivo. No obstante, afirman haber comprobado el fallo con múltiples voluntarios y sostienen que todos los alias analizados pudieron vincularse exitosamente con la dirección original.
Apple conocía el problema
El investigador asegura haber informado la vulnerabilidad a Apple en junio de 2025 mediante el proceso oficial de divulgación responsable.
Según su versión, la empresa indicó en marzo de 2026 que el problema había sido solucionado. Sin embargo, nuevas pruebas realizadas posteriormente demostrarían que la vulnerabilidad continúa presente.
Hasta el momento Apple no ha publicado una explicación técnica ni una corrección definitiva, lo que ha generado cuestionamientos sobre la gestión del incidente y sobre la confianza que los usuarios depositan en una de las funciones de privacidad más promocionadas del ecosistema iCloud+.
Más allá del fallo: el desafío de las promesas de privacidad
El caso también deja una enseñanza más amplia: las herramientas de privacidad no son garantías absolutas.
Funciones como Hide My Email aportan una capa adicional de protección frente al rastreo y las filtraciones masivas, pero siguen dependiendo de implementaciones técnicas que pueden contener errores, vulnerabilidades o comportamientos inesperados.
En un contexto donde las grandes plataformas utilizan la privacidad como uno de sus principales argumentos comerciales, incidentes como este recuerdan que la confianza no puede basarse únicamente en el marketing. La protección efectiva requiere auditorías continuas, respuesta rápida ante reportes de investigadores y una comunicación transparente cuando aparecen fallos.
Mientras Apple trabaja en una solución definitiva, los especialistas recomiendan no asumir que los alias de correo constituyen un anonimato absoluto y seguir aplicando buenas prácticas, como limitar la información personal compartida con servicios de terceros y utilizar autenticación multifactor siempre que sea posible.



