Publicado 02/07/2026 09:37

Apple sigue sin corregir la vulnerabilidad de 'Ocultar mi correo' que expone la dirección de correo real del usuario

Archivo - 30 October 2024, US, New York: The Apple store is pictured on Fifth Avenue in Manhattan. Photo: Jimin Kim/SOPA Images via ZUMA Press Wire/dpa
Archivo - 30 October 2024, US, New York: The Apple store is pictured on Fifth Avenue in Manhattan. Photo: Jimin Kim/SOPA Images via ZUMA Press Wire/dpa - Jimin Kim/SOPA Images via ZUMA P / DPA - Archivo

   MADRID, 2 Jul. (Portaltic/EP) -

   Apple sigue sin corregir una vulnerabilidad de la función 'Ocultar mi correo electrónico' que permite a cualquiera averiguar la dirección de correo electrónico de un usuario de Apple y que fue descubierta por un investigador inicialmente en 2025.

   La tecnológica permite a los usuarios de iCloud+ crear una dirección de correo electrónico anonimizada para no desvelar el correo principal cuando se registran en aplicaciones o páginas web que soportan 'Iniciar sesión con Apple'.

    Esta dirección se crea con la función 'Ocultar mi correo electrónico' en los Ajustes, que genera una dirección de correo única y aleatoria que reenvía los mensajes de manera automática a la bandeja de entrada de la cuenta personal que se haya configurado.

   De esta forma, se ofrece más seguridad para el correo electrónico real del usuario, evitando que pueda acabar en manos de empresas, anunciantes o actores maliciosos o que vinculen el anonimato de la persona con una identidad real.

   A pesar de que es una función diseñada específicamente para ocultar la dirección de 'mail', se ha identificado una vulnerabilidad que facilita justamente lo contrario. Permite que cualquier persona pueda descubrir la dirección de correo real de los usuarios, detrás las direcciones generadas aleatoriamente.

Se trata de un fallo que sigue estando disponible actualmente, a pesar de haber sido hallado inicialmente hace más de un año por el cofundador del servicio de eliminación de datos EasyOptOuts, Tyler Murphy, quien ya dio con ella en junio de 2025, cuando la reportó directamente a Apple.

   En ese momento, Apple respondió que estaba investigando el problema y, en marzo de este año, fue cuando comunicó a Murphy que la vulnerabilidad finalmente se había resuelto con un cambio en el sistema.

   Tras llevar a cabo nuevas pruebas, Murphy ha reportado que el fallo sigue estando activo, a lo que la tecnológica admitió el pasado mes de mayo que el problema seguía bajo investigación. De hecho, pidió a Murphy que mantuviera los detalles en secreto.

   El medio estadounidense 404 Media ha corroborado ahora con el investigador que la vulnerabilidad sigue existiendo con una serie de pruebas en las que, en cuestión de minutos, se pudo devolver la dirección de correo electrónico real de iCloud vinculada a la cuenta que utilizaron de prueba.

   No obstante, el fallo que activa la vulnerabilidad no ha sido compartido por el medio para que no sea explotado de forma masiva y por las implicaciones que puede conllevar, ya que al descubrir el correo electrónico real de un usuario, se puede utilizar en herramientas de búsquedas de personas o en bases de datos.

   Esto significa que, entre otros datos, se podría llegar a revelar desde el nombre o número de teléfono hasta la dirección física del usuario, a través de este tipo de servicios.

   "Desconocemos la amplitud total del problema, pero en nuestras pruebas limitadas con voluntarios, todas las direcciones de 'Ocultar mi correo electrónico' eran vulnerables", afirma Murphy en unas declaraciones hechas a 404 Media.

Contador

Contenido patrocinado