La reputación de Apple como guardián de la privacidad digital de sus usuarios se ve seriamente cuestionada por una falla de diseño en su función 'Hide My Email'. Este servicio, diseñado para crear direcciones de correo electrónico temporales y proteger la identidad real de los usuarios ante el spam y el rastreo, parece haber sido comprometido, reabriendo el debate sobre la efectividad de las promesas de la compañía.

La Promesa Rota de la Privacidad

Desde hace más de un año, investigadores y usuarios han señalado una vulnerabilidad en 'Hide My Email' que permitiría vincular las direcciones de correo falsas con las reales. Elliot Libman inició una demanda colectiva en noviembre de 2022, alegando que Apple continuaba recopilando datos de uso de aplicaciones clave como App Store y Apple Music, incluso con los ajustes de privacidad activados. Paralelamente, en 2023, expertos en ciberseguridad detectaron fallos en la implementación de la aleatorización de direcciones MAC, otra medida de seguridad destinada a dificultar el rastreo de dispositivos.

Investigación y Respuesta Lenta de Apple

Tyler Murphy, cofundador de EasyOptOuts, un servicio especializado en la eliminación de datos en línea, fue uno de los primeros en reportar y documentar la falla en 'Hide My Email'. Según declaraciones a Techcrunch, Murphy señaló que el problema se notificó a Apple hace aproximadamente un año, y la falta de una solución clara generó preocupación. En conversaciones con 404 Media, Murphy advirtió que la facilidad con la que los sitios públicos de búsqueda de personas pueden vincular correos electrónicos con otros datos personales pone en riesgo a quienes confían en 'Hide My Email' para su seguridad.

La línea de tiempo detallada por EasyOptOuts revela que en 2025 se presentó el reporte inicial a Apple. La respuesta inicial de la compañía fue que 'Hide My Email' no estaba diseñado para ser indetectable. Sin embargo, tras la publicación de un reporte con detalles técnicos, Apple indicó que estaba revisando las vulnerabilidades, aunque nunca reconoció explícitamente el riesgo que esto implicaba para la privacidad de los usuarios.

Implicaciones para la Seguridad Digital

Victor Ruiz, fundador de la startup mexicana de ciberseguridad Silikn, explicó a Expansión que, si bien esta vulnerabilidad no implica necesariamente un compromiso de otros datos personales o de la cuenta de Apple en sí, sí afecta directamente la privacidad del correo electrónico. El principal riesgo, según Ruiz, es la pérdida del anonimato digital. Si un atacante logra obtener la dirección de correo real de un usuario, las campañas de spam y los ataques de ingeniería social dirigidos podrían intensificarse, especialmente si dicho correo está vinculado a redes sociales, cuentas bancarias o servicios profesionales.

El Funcionamiento de 'Hide My Email'

'Hide My Email' opera creando un alias de correo electrónico único para cada servicio o aplicación. Esto permite a los usuarios mantener su dirección de correo personal privada, evitando así la recepción de spam, el rastreo de su actividad en línea o la venta de sus datos. Esta función es parte del servicio de suscripción a iCloud+.

Investigadores de EasyOptOuts han descubierto que es posible que atacantes logren identificar el correo electrónico real detrás de las direcciones generadas por 'Hide My Email'. Murphy afirmó que, en pruebas limitadas con voluntarios, todas las direcciones de 'Hide My Email' analizadas mostraron ser susceptibles de explotación. Por motivos de seguridad y para evitar que actores maliciosos se aprovechen antes de una solución definitiva, los especialistas han optado por no revelar los detalles técnicos del fallo.

Confianza y Respuesta Corporativa

La confianza es un pilar fundamental en la estrategia de Apple, y la persistencia de esta vulnerabilidad podría tener un impacto significativo. Victor Ruiz destacó que 'Hide My Email' es una de las funciones que Apple promociona activamente como una herramienta de protección de la privacidad. Cuando una falla que socava esta promesa permanece sin resolver durante periodos prolongados, los usuarios pueden empezar a cuestionar no solo la seguridad de esa función específica, sino también la agilidad y efectividad de la respuesta de la empresa ante incidentes de seguridad.

Recomendaciones de los Especialistas

Apple comunicó el 30 de junio de 2026 que el problema había sido resuelto y solicitó a los investigadores que verificaran la solución. Sin embargo, estos últimos aseguraron que, tras repetir sus pruebas, la vulnerabilidad seguía presente. Mientras la compañía trabaja en una actualización definitiva, los especialistas recomiendan a los usuarios reforzar sus medidas de seguridad.

Ruiz aconsejó no depender exclusivamente de 'Hide My Email' como única barrera de privacidad. Sugirió mantener activada la autenticación de dos factores en la cuenta de Apple, emplear contraseñas únicas y robustas para cada servicio, y revisar y desactivar periódicamente los alias de correo que ya no se utilicen. Además, recomendó precaución al usar el correo electrónico principal para servicios especialmente sensibles si existen alternativas, mantenerse alerta ante intentos de phishing y desconfiar de mensajes que soliciten credenciales o información personal.