Una falla de seguridad en el servicio Ocultar mi correo electrónico de Apple ha dejado potencialmente expuestos a millones de suscriptores de iCloud Plus: sus direcciones de correo reales quedan silenciosamente visibles para cualquiera dispuesto a usar una herramienta básica de búsqueda de identidad. No se trata de un riesgo teórico. Según Tyler Murphy, cofundador de Easy Opt Out, absolutamente todas las direcciones de Ocultar mi correo electrónico que se probaron eran explotables.
Summary
Puntos clave
- Una vulnerabilidad en el servicio Ocultar mi correo electrónico de Apple permite que cualquiera descubra la dirección de correo real de un usuario utilizando herramientas de búsqueda de identidad de acceso público.
- Tyler Murphy, de Easy Opt Out, notificó a Apple sobre el error en junio de 2025; Apple afirmó haberlo corregido en marzo de 2026, pero la vulnerabilidad persistió.
- Las pruebas con voluntarios mostraron una tasa de explotación del 100% en todas las direcciones de Ocultar mi correo electrónico analizadas.
- Apple planeó actualizaciones que incluyen un cambio de dominio de icloud.com a private.icloud.com, aunque el calendario para una solución completa sigue sin estar claro.
- Los expertos aconsejan a los suscriptores de iCloud Plus dejar de usar temporalmente Ocultar mi correo electrónico hasta que el problema se resuelva.
Falla de seguridad expone correos reales en Ocultar mi correo electrónico de Apple
Ocultar mi correo electrónico se basa en una promesa sencilla: te registras en un sitio web usando un alias desechable bajo el dominio icloud.com, y tu bandeja de entrada real permanece invisible. El alias absorbe el spam, caduca según lo programado y mantiene tu identidad limpia. Por aproximadamente un dólar al mes que cuesta iCloud Plus en su nivel de entrada, parece una higiene de privacidad sólida.
Esa promesa tiene una grieta seria. Murphy dijo a 404 Media, que fue el primer medio en informar y verificar la vulnerabilidad, que los sitios de búsqueda de personas de acceso público facilitan vincular una dirección de Ocultar mi correo electrónico con otros datos personales, lo que significa que cualquiera con suficiente motivación —un corredor de datos, un acosador, un estafador— no necesita habilidades de hacking sofisticadas para trabajar hacia atrás desde un alias hasta una bandeja de entrada real.
Easy Opt Out realizó pruebas controladas con voluntarios, y los resultados fueron contundentes: el 100% de las direcciones de Ocultar mi correo electrónico analizadas podían utilizarse para descubrir la dirección de correo real del usuario mediante herramientas de búsqueda de identidad disponibles para el público en general. Murphy se negó a describir públicamente la mecánica exacta del exploit, y 404 Media retuvo los detalles técnicos en el momento de la publicación para evitar una explotación masiva inmediata.
Las implicaciones son más difíciles de ignorar dada la naturaleza de la función. Ocultar mi correo electrónico existe precisamente para situaciones en las que la exposición conlleva consecuencias reales: registrarse en servicios que podrían sufrir filtraciones más adelante, limitar la visibilidad para los corredores de datos, proteger a los usuarios en circunstancias sensibles. Murphy advirtió específicamente que «las personas que dependen de Ocultar mi correo electrónico para su seguridad pueden estar en riesgo», una afirmación que eleva esto más allá de un problema técnico de nicho.
Descubrimiento, reporte y cronología de la respuesta de Apple
Descubrimiento temprano y reporte en junio de 2025
Murphy alertó por primera vez a Apple sobre la vulnerabilidad en junio de 2025, más de un año antes de la divulgación pública. Solo esa cronología ya merece una pausa. Una función de privacidad en uso comercial activo, con una falla de seguridad conocida y verificada, permaneció sin parchear durante todo un año de exposición para los usuarios.
Afirmación de corrección de Apple en marzo de 2026 y persistencia del error
En marzo de 2026, Apple le dijo a Murphy que el problema había sido resuelto. Murphy comprobó. No lo estaba. La vulnerabilidad seguía siendo totalmente explotable después de la supuesta remediación de Apple, lo que plantea dudas sobre el rigor de las pruebas internas que precedieron a esa garantía.
Desacuerdo sobre la divulgación pública
Para mayo de 2026, Apple reconoció que aún estaba investigando y pidió a Murphy que retrasara la divulgación pública. El mensaje de Apple fue directo: «Para evitar poner a nuestros clientes en riesgo, agradeceríamos que no divulgara esta información hasta que nuestra investigación esté completa». Murphy no estuvo de acuerdo. Hizo pública la información de todos modos, argumentando que los usuarios merecían conocer un riesgo que ya había persistido durante más de un año sin resolución.
Ese desacuerdo refleja una tensión real en la investigación de seguridad. La divulgación coordinada —en la que los investigadores dan tiempo a las empresas para parchear antes de publicar— es una práctica estándar y generalmente protectora. Pero cuando una empresa no cumple su propio plazo de corrección, sigue retrasando y aún no ofrece una fecha de resolución confirmada, los investigadores se enfrentan a una decisión difícil. La postura de Murphy: el silencio continuo significaba una exposición continua para los usuarios que no tenían idea de que su herramienta de privacidad estaba comprometida.
Apple no respondió a las solicitudes de comentarios de 404 Media ni de CNET tras la divulgación pública.
Implicaciones para los usuarios y actualizaciones previstas por Apple
Para cualquiera que esté usando actualmente Ocultar mi correo electrónico, el consejo práctico de los expertos en seguridad es sencillo: deja de usar la función temporalmente hasta que Apple confirme una corrección funcional. El riesgo no es abstracto: cada alias que hayas usado puede potencialmente rastrearse hasta tu bandeja de entrada real por alguien con acceso a herramientas estándar de corredores de datos.
Apple ha indicado que está trabajando en varias actualizaciones de la función para este verano. El cambio más concreto divulgado es un cambio de dominio de icloud.com a private.icloud.com. El razonamiento detrás de ese cambio específico no se ha explicado públicamente, y la nueva estructura de subdominio conlleva sus propias complicaciones.
Si los sitios web y servicios comienzan a reconocer y bloquear direcciones que terminan en private.icloud.com —lo cual es un resultado realista, ya que muchas plataformas ya marcan o rechazan dominios de alias conocidos—, los usuarios de Ocultar mi correo electrónico podrían verse obligados a volver a compartir sus direcciones reales. Eso derrotaría efectivamente el propósito central de la función. Sigue siendo una incógnita si Apple ha tenido en cuenta ese efecto posterior en su planificación de actualizaciones.
Este no es el primer choque de Apple entre su marca de privacidad y el rendimiento real de sus herramientas de privacidad. En 2022, se descubrió que las apps de iPhone enviaban datos de analíticas a Apple incluso con el ajuste de Analíticas del iPhone desactivado. En 2023, se descubrió que la función de aleatorización de direcciones MAC, destinada a anonimizar las conexiones Wi‑Fi, estaba exponiendo en su lugar las direcciones MAC reales de los usuarios. Cada incidente erosionó el mismo fundamento: la reputación largamente cultivada de Apple como una empresa que se toma en serio la privacidad del usuario por defecto.
La vulnerabilidad de Ocultar mi correo electrónico es diferente en un aspecto clave: afecta a una función que los usuarios activan explícitamente porque quieren protegerse. La brecha entre la expectativa y la realidad es más amplia precisamente donde las apuestas son más altas.
Preguntas frecuentes
¿Cuál es la vulnerabilidad descubierta en el servicio Ocultar mi correo electrónico de Apple?
Una falla de seguridad permite a los atacantes descubrir las direcciones de correo reales de los usuarios vinculadas a sus alias de Ocultar mi correo electrónico, utilizando herramientas básicas y de acceso público de búsqueda de identidad. Las pruebas de Easy Opt Out mostraron una tasa de explotación del 100% en todas las direcciones analizadas.
¿Cuándo se enteró Apple por primera vez del error en Ocultar mi correo electrónico?
Apple fue notificada sobre la vulnerabilidad en junio de 2025 por Tyler Murphy, cofundador de Easy Opt Out.
¿Ha corregido Apple el error en Ocultar mi correo electrónico?
Apple afirmó haber solucionado el problema en marzo de 2026, pero Murphy confirmó que la vulnerabilidad seguía existiendo después de esa fecha. A partir de la divulgación pública en julio de 2026, Apple no había confirmado una solución funcional.
¿Qué medidas planea Apple para mejorar la seguridad de Ocultar mi correo electrónico?
Apple planea actualizar Ocultar mi correo electrónico cambiando el dominio de correo de icloud.com a private.icloud.com, entre otras actualizaciones previstas para finales del verano de 2026. No se ha confirmado si esto cierra completamente la vulnerabilidad.
{«@context»:»https://schema.org»,»@type»:»FAQPage»,»mainEntity»:[{«@type»:»Question»,»name»:»¿Cuál es la vulnerabilidad descubierta en el servicio Ocultar mi correo electrónico de Apple?»,»acceptedAnswer»:{«@type»:»Answer»,»text»:»Una falla de seguridad permite a los atacantes descubrir las direcciones de correo reales de los usuarios vinculadas a sus alias de Ocultar mi correo electrónico, utilizando herramientas básicas y de acceso público de búsqueda de identidad. Las pruebas de Easy Opt Out mostraron una tasa de explotación del 100% en todas las direcciones analizadas.»}},{«@type»:»Question»,»name»:»¿Cuándo se enteró Apple por primera vez del error en Ocultar mi correo electrónico?»,»acceptedAnswer»:{«@type»:»Answer»,»text»:»Apple fue notificada sobre la vulnerabilidad en junio de 2025 por Tyler Murphy, cofundador de Easy Opt Out.»}},{«@type»:»Question»,»name»:»¿Ha corregido Apple el error en Ocultar mi correo electrónico?»,»acceptedAnswer»:{«@type»:»Answer»,»text»:»Apple afirmó haber solucionado el problema en marzo de 2026, pero Murphy confirmó que la vulnerabilidad seguía existiendo después de esa fecha. A partir de la divulgación pública en julio de 2026, Apple no había confirmado una solución funcional.»}},{«@type»:»Question»,»name»:»¿Qué medidas planea Apple para mejorar la seguridad de Ocultar mi correo electrónico?»,»acceptedAnswer»:{«@type»:»Answer»,»text»:»Apple planea actualizar Ocultar mi correo electrónico cambiando el dominio de correo de icloud.com a private.icloud.com, entre otras actualizaciones previstas para finales del verano de 2026. No se ha confirmado si esto cierra completamente la vulnerabilidad.»}}]}
Artículo producido con la asistencia de inteligencia artificial y revisado por el equipo editorial.

