Apple lleva más de un año sin corregir un bug que expone el email real de los usuarios de «Ocultar mi correo electrónico»

Wait 5 sec.

Si eres usuario de iCloud+ y usas la función Ocultar mi correo electrónico para proteger tu email real cuando te registras en apps o páginas web, hay algo que deberías saber: un investigador de seguridad lleva más de doce meses intentando que Apple corrija un fallo que permite a cualquier atacante descubrir tu dirección real a partir de cualquier alias que hayas generado.Lo reporta 404 Media el 1 de julio de 2026. Tyler Murphy, cofundador de la firma de privacidad EasyOptOuts, descubrió el fallo, lo reportó a Apple en junio de 2025 con instrucciones detalladas para reproducirlo, y ha publicado el caso porque «no nos sentimos cómodos esperando más».La estadística más impactante: en los tests realizados con voluntarios, el 100% de los alias generados con Hide My Email resultaron explotables. Sin excepción.Qué es Ocultar mi correo electrónico y por qué importaHide My Email (Ocultar mi correo electrónico) es una función disponible para suscriptores de iCloud+, disponible desde 0,99 €/mes. Genera direcciones de correo aleatorias —habitualmente combinaciones de dos palabras más un número, terminadas en @privaterelay.appleid.com o @icloud.com— que reenvían los mensajes a tu buzón real sin que el destinatario o el servicio web sepa cuál es tu dirección real.El caso de uso clásico es registrarte en una tienda online, un foro, o cualquier servicio sin entregar tu email verdadero. Si el servicio tiene una brecha de datos, lo que se filtra es el alias, no tu dirección real. Si empieza a mandarte spam, simplemente eliminas el alias.El fallo descubierto por Murphy rompe esa premisa de forma total. La mecánica exacta del exploit no ha sido publicada para evitar que se use masivamente antes de que Apple lo parchee. Lo que sabemos es que 404 Media verificó el bug de forma independiente: generó un alias nuevo y se lo entregó a Murphy, quien recuperó el email real en cuestión de minutos.El daño potencial no es solo técnico. Los brokers de datos y las páginas de búsqueda de personas (people-search sites) accesibles públicamente cruzan rutinariamente emails con nombres, direcciones postales y números de teléfono. Si tu email real queda expuesto desde un alias que creíste seguro, no pierdes solo la dirección: pierdes la protección de privacidad que la función prometía construir.En nuestra comparativa de Google Drive, OneDrive, Dropbox e iCloud, uno de los puntos fuertes que destacábamos de iCloud+ era exactamente esta función —Relay Privado y Hide My Email— como ventaja de privacidad diferencial. Este bug hace esa ventaja ficticia para los usuarios afectados.La línea del tiempo: cómo Apple prometió arreglar el bug dos veces sin hacerloLa cronología que describe Murphy es llamativa:Junio de 2025: Murphy y su colega Ben reportan el fallo a Apple con instrucciones completas de reproducción. Apple acusa recibo aproximadamente un mes después e indica que está investigando.Marzo de 2026: Apple comunica a Murphy que ha «resuelto el problema reportado en un cambio reciente del sistema». Murphy verifica que el bug sigue activo. Alerta a Apple de nuevo.Abril-mayo de 2026: Apple dice que está revisando el problema de nuevo. A finales de mayo comunica que investigarán la corrección «en las próximas semanas» y pide a Murphy que no publique los detalles.1 de julio de 2026: Murphy publica el caso. «No sabemos por qué no se ha corregido, pero no nos sentimos cómodos esperando más. Los usuarios de Hide My Email merecen saber que puede ser posible que atacantes descubran sus direcciones de email ocultas».Apple no respondió a los últimas consultas de 404 Media sobre el estado del bug.Este no es el primer fallo de privacidad de Apple que tarda demasiado en resolverse. En 2023, investigadores documentaron que la función de aleatorización de direcciones MAC de Wi-Fi —diseñada para que los routers no puedan rastrear tu dispositivo— en realidad exponía la dirección MAC real del dispositivo, haciendo la función inútil.Para quien quiera entender qué hacer si sospecha que sus datos han sido expuestos, la guía completa sobre cómo saber si te han hackeado y qué hacer paso a paso da el proceso exacto de contención y recuperación.El riesgo específico para usuarios en situaciones de seguridad personalMurphy lo menciona explícitamente en su declaración, y merece atención específica: hay un subconjunto de usuarios de Hide My Email que eligió la función precisamente porque está evitando a alguien. Personas que escapan de una relación abusiva, que han cambiado de domicilio para alejarse de un acosador, o que simplemente quieren que ciertas personas de su pasado no puedan encontrarlas usando el email como punto de partida.Para esos usuarios, la exposición de su email real a través de un alias no es un inconveniente de privacidad: es un riesgo de seguridad personal. El alias es exactamente la capa de protección que querían entre ellos y quien no deben encontrarles.Una alternativa que no depende de la infraestructura de Apple para correo privado es Proton Mail y servicios similares con cifrado de extremo a extremo, aunque el escenario de uso es diferente: allí controlas el alias completamente, fuera del ecosistema de cualquier empresa que pueda tener bugs sin parchear durante doce meses.Mi valoraciónLo que más me indigna de este caso no es el bug en sí. Los fallos de seguridad existen en cualquier software complejo, incluyendo el de Apple. Lo que resulta difícil de entender es la combinación de dos afirmaciones contradictorias: Apple diciéndole a Murphy en marzo de 2026 que el bug «estaba resuelto», y el bug siguiendo activo. Si fue un error de comunicación, es preocupante. Si fue una respuesta deliberada para disuadir a Murphy de publicar mientras se trabajaba en el parche, es un problema de gestión de vulnerabilidades que merece revisión interna.La marca de privacidad de Apple es una ventaja competitiva real y uno de sus argumentos principales de venta, especialmente en el mercado europeo donde el RGPD ha sensibilizado a los consumidores. Que un bug de doce meses afecte a una función llamada explícitamente de privacidad daña esa narrativa.Mi predicción: Apple publicará un parche en la próxima actualización de seguridad (probablemente iOS/macOS en los próximos 30 días) y reconocerá el bug sin especificar si el exploit fue utilizado por atacantes antes de la publicación de Murphy.Preguntas frecuentes¿Qué debo hacer si uso Ocultar mi correo electrónico de iCloud+?Por el momento, lo más prudente es no usar nuevos alias de Hide My Email para cuentas donde la privacidad sea crítica hasta que Apple publique el parche. Para cuentas de bajo riesgo (suscripciones a newsletters, foros), el impacto es menor. Mantente atento a las actualizaciones de seguridad de iOS y macOS y aplícalas en cuanto estén disponibles.¿Puede Apple ver mis emails que pasan por los alias de Hide My Email?Apple opera el servicio de relay de correo. Los mensajes pasan por la infraestructura de Apple para ser redirigidos a tu buzón real. Apple no leerá el contenido de tus emails de forma activa, pero técnicamente los emails transitan por sus sistemas. Si la privacidad del contenido es crítica, un servicio con cifrado de extremo a extremo como ProtonMail es más adecuado.¿Es iCloud+ todavía una buena opción de privacidad a pesar de este bug?Sí, con matices. Las funciones de Relay Privado, Hide My Email y el cifrado avanzado de datos de iCloud siguen siendo herramientas de privacidad útiles en comparación con alternativas sin esas características. Este bug específico reduce la eficacia de Hide My Email temporalmente. Cuando se corrija, la valoración global de iCloud+ como servicio de privacidad sigue siendo positiva para el ecosistema Apple.La noticia Apple lleva más de un año sin corregir un bug que expone el email real de los usuarios de «Ocultar mi correo electrónico» fue publicada originalmente en Wwwhatsnew.com por Natalia Polo.