Jue, 2 Jul 2026 16:28
Volver a la portada

El error Ocultar mi correo electrónico de Apple expone direcciones reales

El error Ocultar mi correo electrónico de Apple expone direcciones reales


Una característica de privacidad que puede no permanecer privada

Ocultar mi correo electrónico de Apple Puede que no esté escondiendo mucho. La función iCloud+ permite a los suscriptores entregar una dirección de retransmisión aleatoria en lugar de la real, una forma común de esquivar el spam y los rastreadores y limitar el daño de futuras infracciones. Un investigador ahora dice que una falla permite a un atacante vincular esas direcciones de retransmisión a la bandeja de entrada real de un usuario, y el problema sigue sin solucionarse.

El error Ocultar mi correo electrónico de Apple expone direcciones realesEl error Ocultar mi correo electrónico de Apple expone direcciones reales
Función Ocultar mi correo electrónico: impresión artística. Crédito de la imagen: Alius Noreika / AI

Conclusiones clave

  • El investigador de seguridad Tyler Murphy, cofundador de EasyOptOuts, informó la vulnerabilidad a Apple en junio de 2025 con pasos para reproducirla.
  • En pruebas limitadas con voluntarios, se descubrió que cada dirección de Hide My Email era explotable, y los periodistas del medio que publicó la historia verificaron la falla con una de sus propias direcciones.
  • El método exacto se mantiene oculto porque todavía funciona, y Apple ha informado dos veces que el problema se solucionó cuando no fue así.

Hide My Email genera direcciones que reenvían a la bandeja de entrada principal de un usuario mientras mantienen la verdadera fuera de la vista. Ese límite de confianza es el punto. Cuando falla, un alias anónimo se convierte en un seudónimo débil que se identifica con la persona detrás de él.

Un año de idas y venidas

Murphy dijo que señaló el problema a Apple en junio de 2025 y compartió instrucciones para replicarlo. Apple reconoció el informe aproximadamente un mes después y dijo que estaba investigando. En marzo de 2026, la empresa dijo que se había abordado el problema. Murphy comprobó y descubrió que no. En mayo advirtió que el alcance de la falla parecía mayor de lo que se pensaba inicialmente. El 30 de junio, Apple volvió a decir que estaba solucionado y le pidió que lo verificara. Lo comprobó nuevamente y nuevamente no era así.

La gravedad proviene de lo fácil que es explotarlo. Un periodista generó una nueva dirección de retransmisión, la entregó y obtuvo la dirección real en cuestión de minutos. No se necesita acceso elevado, lo que pone a los atacantes comunes dentro del alcance.

«No sabemos por qué no se ha solucionado, pero no nos sentimos cómodos esperando más. Los usuarios de Hide My Email merecen saber que es posible que los atacantes descubran sus direcciones de correo electrónico ocultas», dijo Murphy. Añadió: «No conocemos el alcance total del problema, pero en nuestras pruebas limitadas con voluntarios, el 100 por ciento de las direcciones de Ocultar mi correo electrónico eran explotables».

Por qué es importante la exposición

El peligro no es sólo la dirección filtrada. Es lo que desbloquea una dirección. Los sitios de búsqueda de personas simplifican la vinculación de un correo electrónico a un nombre, una ubicación y más, de modo que un alias resuelto puede alimentar phishing dirigido o desanonimizar cuentas vinculadas a actividades confidenciales. Cualquiera que establezca un alias separado para cada proveedor para contener las infracciones pierde gran parte de esa protección si se pueden rastrear los alias.

El episodio es un recordatorio útil de que la privacidad es una pila, no un solo interruptor, un punto que también surge en discusiones sobre lo que cubre y no cubre el cifrado de extremo a extremo. Una dirección enmascarada protege una capa mientras que otras permanecen expuestas. Para los lectores que quieran ordenar configuraciones relacionadas, se aplica la misma lógica a administrar contactos y remitentes bloqueados en las aplicaciones de Appledonde una revisión rápida cierra las brechas que se acumulan con el tiempo.

La cobertura de la divulgación señala que el investigador ejecuta un servicio pago de eliminación de datos y advirtió que los sitios de búsqueda de personas hacen que sea fácil abusar de los datos vinculados. Un informe independiente añade que Apple había reclamado una solución de marzo de 2026 que no se cumplióy que Apple está moviendo por separado las direcciones de retransmisión a un nuevo dominio privado. Hasta que se envíe una solución real, los usuarios cautelosos pueden posponer la creación de nuevas direcciones de retransmisión y recurrir a un segundo servicio de enmascaramiento para cualquier cosa sensible.

Esta historia se está desarrollando y Apple no ha emitido orientación específica sobre la falla al momento de escribir este artículo.

Escrito por Vytautas Valinskas






Source link

Alius

Periodista especializado en noticias europeas y política internacional.