Apple continúa bajo el foco por una vulnerabilidad relacionada con la función "Ocultar mi correo electrónico", una herramienta diseñada para proteger la identidad digital de los usuarios. Sin embargo, nuevas pruebas muestran que el problema permanece activo y permitiría descubrir la dirección real de correo electrónico vinculada a una cuenta.
El inconveniente salió a la luz tras una investigación realizada por Tyler Murphy, cofundador del servicio de eliminación de datos EasyOptOuts. El especialista detectó la vulnerabilidad en junio de 2025 y notificó directamente a Apple para que analizara el incidente.
Apple mantiene bajo investigación la vulnerabilidad
La función "Ocultar mi correo electrónico" forma parte de iCloud+ y genera direcciones de correo aleatorias para que los usuarios puedan registrarse en aplicaciones y sitios web compatibles con "Iniciar sesión con Apple", sin compartir su dirección principal.
Cada dirección creada redirige automáticamente los mensajes hacia la bandeja de entrada del correo personal configurado por el usuario. Así, la herramienta busca impedir que empresas, anunciantes o actores maliciosos accedan al correo electrónico real.
No obstante, la vulnerabilidad identificada permite justamente lo contrario. Según las pruebas realizadas, cualquier persona podría descubrir la dirección de correo auténtica que permanece detrás de la dirección aleatoria creada por el sistema.
Investigador asegura que el problema sigue presente en Apple
Tras recibir el reporte inicial, Apple informó que investigaba el caso. Posteriormente, durante marzo de 2026, la compañía comunicó a Murphy que había resuelto el inconveniente mediante un cambio en su infraestructura.
Sin embargo, el investigador realizó nuevas verificaciones y comprobó que la vulnerabilidad seguía activa. Después de recibir esa información, Apple admitió en mayo que el incidente continuaba bajo investigación y solicitó al especialista mantener los detalles técnicos en reserva.
El medio estadounidense 404 Media confirmó posteriormente la existencia del fallo mediante pruebas realizadas junto con Murphy. En cuestión de minutos, lograron obtener la dirección real de correo electrónico de iCloud asociada a una cuenta utilizada para las verificaciones.
Qué riesgos representa la vulnerabilidad
El medio decidió no publicar el mecanismo técnico que activa el fallo para evitar una explotación masiva. De acuerdo con la información disponible, revelar el correo electrónico real permitiría utilizar herramientas de búsqueda de personas o consultar bases de datos públicas y privadas.
Como consecuencia, un atacante podría acceder a información adicional relacionada con la identidad del usuario. Entre los datos que podrían aparecer figuran el nombre, el número telefónico e incluso la dirección física, dependiendo de la información disponible en esos servicios.
"Desconocemos la amplitud total del problema, pero en nuestras pruebas limitadas con voluntarios, todas las direcciones de 'Ocultar mi correo electrónico' eran vulnerables", afirmó Murphy en unas declaraciones hechas a 404 Media.
