Una vulnerabilidad en la función "Ocultar mi correo" de Apple, utilizada por millones de suscriptores de iCloud+ para ocultar sus bandejas de entrada reales, ha permitido a atacantes descubrir esas direcciones ocultas — y la compañía no ha logrado corregirla en más de un año.
"Los usuarios de Ocultar mi correo merecen saber que es posible que los atacantes descubran sus direcciones de correo electrónico ocultas", declaró Tyler Murphy, cofundador del servicio de eliminación de datos EasyOptOuts, a 404 Media.
Murphy descubrió el error en junio de 2025 y lo reportó a Apple. La compañía respondió un mes después diciendo que lo estaba investigando. En marzo de 2026, Apple afirmó que el problema se había solucionado con un cambio en el sistema, pero Murphy descubrió que la vulnerabilidad seguía siendo explotable. En pruebas realizadas con voluntarios, el 100% de las direcciones de Ocultar mi correo resultaron vulnerables, según la propia verificación de 404 Media.
El error socava un argumento de venta central del servicio iCloud+ de Apple, que cobra a los suscriptores por funciones de privacidad como Ocultar mi correo, iCloud Private Relay y HomeKit Secure Video. Las acciones de Apple cotizan aproximadamente a 30 veces las ganancias futuras, y los ingresos por servicios — incluidas las suscripciones a iCloud — alcanzaron los 26.300 millones de dólares en el año fiscal 2025, lo que convierte al segmento en un motor clave de crecimiento a medida que las ventas de hardware se desaceleran.
La vulnerabilidad permite que cualquier persona con acceso a un alias de Ocultar mi correo pueda rastrearlo hasta la dirección de correo electrónico real del Apple ID del usuario en cuestión de minutos, según Murphy. Los sitios de búsqueda de personas de acceso público facilitan luego vincular ese correo electrónico con otros datos personales como números de teléfono y direcciones físicas, amplificando el riesgo de privacidad más allá del ecosistema de Apple.
Apple no ha revelado los detalles técnicos del exploit, y 404 Media omitió información específica para evitar una explotación activa. El medio confirmó que el error seguía activo al 1 de julio de 2026, cuando verificó el problema utilizando una de sus propias direcciones generadas.
No es la primera vez que las promesas de privacidad de Apple no se cumplen. En 2022, la compañía enfrentó una demanda colectiva después de que las aplicaciones de iPhone continuaran enviando datos de análisis a Apple incluso cuando la configuración de Análisis del iPhone estaba desactivada. En 2023, los investigadores descubrieron que la función de aleatorización de direcciones MAC de Apple — diseñada para anonimizar a los usuarios en redes Wi-Fi — estaba exponiendo efectivamente la dirección MAC real.
El momento agrava el daño. En junio de 2026, Apple informó a los desarrolladores que dejaría de generar direcciones de Ocultar mi correo con el dominio @icloud.com y cambiaría a @privaterelay.appleid.com, un cambio que, según informó TechCrunch, facilitaría que los sitios web bloqueen los registros anónimos. El cambio de dominio, combinado con la vulnerabilidad no resuelta, plantea interrogantes sobre el compromiso de Apple con la promesa central de privacidad de la función.
Para los inversores, el riesgo reputacional es material. Apple ha construido su prima de marca en torno a la privacidad, y el director ejecutivo Tim Cook la ha calificado repetidamente como un "derecho humano fundamental". Una erosión sostenida de esa confianza podría presionar el crecimiento de suscripciones a iCloud+, que contribuye al segmento de servicios que generó 26.300 millones de dólares en ingresos en el año fiscal 2025 — aproximadamente el 22% de los ingresos totales. Apple no respondió a una solicitud de comentarios.
Este artículo es solo para fines informativos y no constituye asesoramiento de inversión.