Lo que debía ocultar al usuario terminó exponiéndolo.

Un servicio para enmascarar el correo debe romper la conexión entre la persona y su dirección real, pero en Hide My Email de Apple se descubrió una vulnerabilidad que permite revelar la dirección real del usuario.
El problema lo encontraron especialistas de EasyOptOuts y lo comunicaron a Apple ya en junio de 2025. Según 404 Media, la vulnerabilidad seguía activa en el momento de la publicación de la noticia, cuando la redacción comprobó el mecanismo con su propia dirección oculta. El medio no revela detalles técnicos porque el método aún puede utilizarse.
Hide My Email forma parte de la suscripción de pago iCloud+ y crea direcciones aleatorias en el dominio @icloud.com. El usuario indica esa dirección al registrarse en sitios o en la correspondencia, y los mensajes se reenvían luego al correo real. El servicio ayuda a reducir el spam, a no revelar la dirección personal y a disminuir las consecuencias de una posible filtración en un servicio externo.
En la prueba de 404 Media, un periodista creó una nueva dirección oculta y se la entregó a Tyler Murphy, cofundador de EasyOptOuts. Aproximadamente cinco minutos después, Murphy nombró la dirección real del Apple ID, que debía permanecer oculta. Según Murphy, en pruebas limitadas con voluntarios se logró vincular absolutamente todas las direcciones de Hide My Email probadas con el correo real.
Apple respondió varias veces al informe sobre el problema. La compañía primero dijo que estaba investigando la vulnerabilidad; luego, en marzo de 2026, informó que la había corregido mediante un cambio de sistema. Tras una nueva comprobación, Murphy informó que la divulgación de direcciones aun funcionaba. En mayo, Apple escribió que continúa la investigación y, más tarde, declaró que planea cerrar el problema en una de las próximas actualizaciones de seguridad.
En respuesta a las consultas de 404 Media la compañía no respondió. Anteriormente informamos que Apple planea cambiar el formato de las direcciones Hide My Email de @icloud.com a @private.icloud.com. Ese paso podría facilitar que los sitios bloqueen los registros realizados con direcciones ocultas, pero la fuente no vincula el cambio directamente con la vulnerabilidad revelada.
Mientras el problema no esté resuelto, a los usuarios de Hide My Email les conviene no considerar la dirección oculta como una protección total de su identidad al registrarse en servicios sensibles.