Apple filtra el correo real de usuarios en Hide My Email

Apple filtra el correo real de usuarios en Hide My Email

Una grave falla en Hide My Email de Apple expone el correo real de sus usuarios tras más de un año sin corregirse.

Por Humberto Toledo el 1 de julio del 2026 a las 12:00 pm PDT

✨︎ Resumen (TL;DR):

  • Un fallo en Hide My Email permite rastrear la dirección de correo real detrás de cualquier alias de Apple.
  • El 100% de las cuentas analizadas en pruebas resultaron vulnerables a esta exposición de datos.
  • Apple conoce el problema desde junio de 2025 y todavía no ha implementado una solución definitiva.

El investigador de seguridad Tyler Murphy reveló una vulnerabilidad crítica en la herramienta de privacidad Hide My Email de Apple, la cual permite que un atacante descubra la dirección de correo electrónico real del usuario que está detrás de cualquier alias generado. A pesar de que la compañía recibió el reporte detallado en junio de 2025, la falla sigue expuesta más de un año después sin que se haya lanzado un parche de seguridad.

Hide My Email es una herramienta de privacidad que genera alias de correo electrónico aleatorios para ocultar la dirección real de un usuario.

La vulnerabilidad pone en duda la efectividad de una de las características de seguridad más importantes del ecosistema de Apple. El medio de comunicación 404 Media confirmó la existencia del fallo el 1 de julio de 2026 mediante pruebas reales. Un reportero del sitio creó un alias nuevo, se lo proporcionó a Murphy y, en menos de cinco minutos, el investigador devolvió el correo real del periodista. En pruebas adicionales con voluntarios, el 100% de las direcciones examinadas resultaron explotables.

“Hide My Email de Apple está filtrando direcciones de correo que se supone deberían estar ocultas. Reportamos el problema y las instrucciones para replicarlo a Apple hace más de un año. No sabemos por qué no se ha corregido, pero ya no nos sentimos cómodos esperando más. Los usuarios de Hide My Email merecen saber que podría ser posible que atacantes descubran sus direcciones ocultas”, declaró Tyler Murphy, cofundador de la firma de privacidad EasyOptOuts.

La red de 100,000 cámaras de IA que vigila EE. UU.
Te podría interesar:
La red de 100,000 cámaras de IA que vigila EE. UU.
Foto De Una Manzana
Foto: Ylanite Koppens / Pexels

Un año de promesas sin cumplir por parte de Apple

El historial de comunicación entre Murphy y Apple demuestra que la empresa estaba al tanto del riesgo desde hace meses. Tras recibir la notificación en junio de 2025, Apple aseguró un mes después que ya investigaba el problema.

En marzo de 2026, la firma de Cupertino notificó al investigador que la vulnerabilidad se había resuelto en una actualización del sistema. Sin embargo, Murphy verificó el sistema y demostró que la filtración seguía activa. En mayo de 2026, Apple envió otra comunicación pidiendo paciencia y solicitando confidencialidad.

“Seguimos investigando este problema. Para no poner en riesgo a nuestros clientes, agradeceríamos que no divulgara esta información hasta que nuestra investigación esté completa. Apreciamos su ayuda para mantener y mejorar la seguridad de nuestros productos”, respondió Apple al investigador.

A finales de mayo, la empresa prometió un parche definitivo para las próximas semanas. Al no ver resultados tras más de un mes de espera, Murphy decidió hacer pública la información. Cabe destacar que Apple no respondió a las solicitudes de comentarios realizadas por la prensa.

El peligro real para la privacidad de los usuarios

La gravedad de este fallo radica en el uso que las personas le dan a esta herramienta de pago. Al contratar iCloud+, muchos usuarios buscan protegerse de filtraciones de datos o evitar el spam continuo en sus cuentas de uso diario.

“Los sitios de búsqueda de personas, gratuitos y de acceso público, facilitan enlazar una dirección de correo con otros datos personales, así que quienes dependen de Hide My Email para su seguridad podrían estar en riesgo”, advirtió Murphy. Al descubrir la dirección real, actores maliciosos pueden triangular información para obtener nombres, ubicaciones y números telefónicos.

A este problema técnico se le suma una reciente decisión comercial. En junio de 2026, Apple anunció que migrará las direcciones de Hide My Email al dominio private.icloud.com. Este cambio facilitará que diversas plataformas en internet identifiquen y bloqueen los registros realizados bajo estos alias, lo que debilita aún más la utilidad del servicio por el que pagan millones de usuarios.

Fuentes: 1, 2, 3

+ Temas Relacionados

Más de Big Tech

Feed