Desde junio de 2025, cuando el investigador de seguridad Tyler Murphy avisó del problema, Apple sigue sin cerrar de forma definitiva una vulnerabilidad en Hide My Email, la función de iCloud+ creada para esconder la dirección real del usuario. El fallo hace justo lo contrario de lo que promete la herramienta: un atacante podría descubrir el correo verdadero que hay detrás de un alias. Y ahí es donde se resiente la idea principal con la que Apple vende esta capa extra de privacidad.
Murphy, cofundador de EasyOptOuts, reportó el fallo a Apple ese mismo mes. Ha pasado más de un año y la corrección completa sigue sin llegar. Apple admitió la existencia del problema y, en un momento dado, incluso señaló que ya lo había resuelto. No era así. La vulnerabilidad sigue activa.
Hide My EMail sirve para generar direcciones aleatorias que reenvían los mensajes a la bandeja de entrada real del usuario. La lógica de la función es simple: usar un alias al registrarse en webs, tiendas y otros serviciOS para que el correo principal no quede expuesto, y con ello reducir rastreo, spam y circulación innecesaria de datos personales. Si alguien puede tirar del hilo y averiguar la dirección auténtica a partir de ese alias, la función pierde buena parte de su valor.
Murphy no ha publicado los detalles técnicos de la explotación. Prefirió guardárselos mientras el fallo siga abierto, una práctica bastante habitual en seguridad cuando divulgar demasiado pronto puede facilitar abusos. Eso no hace pequeño el problema. Según datos de 2023, alrededor del 55 % de los usuarios de Mail en iOS tenía Hide My Email activado, así que un agujero de privacidad en este sistema podría alcanzar a un volumen nada menor de personas.
Y exponer una dirección de correo real no es cualquier cosa.
Ese dato puede cruzarse con otra información usando buscadores de personas, bases de datos públicas o filtraciones anteriores. A partir de ahí, el riesgo crece rápido: más spam, campañas de phishing más convincentes o incluso la identificación de alguien que precisamente intentaba mantenerse fuera del radar en ciertos servicios online.
Para periodistas, activistas, víctimas de acoso y usuarios que intentan recortar su huella digital, las consecuencias pueden ser todavía más delicadas.
Mientras tanto, Apple tiene en marcha otro cambio que ya viene levantando críticas. Los nuevos alias de Hide My Email pasarán a usar el dominio @private.icloud.com en vez de @icloud.com. Quienes cuestionan la medida creen que eso pondrá más fácil a las webs reconocer esas cuentas como alias de privacidad y, a partir de ahí, bloquearlas o exigir un correo “real”.
También conviene recordar que Hide My Email nunca se planteó como una garantía de anonimato absoluto. Apple ya ha entregado datos de usuarios a las autoridades cuando la ley se lo exige. Por ahora no hay fecha clara para una solución definitiva al problema de Hide My Email.