

Una vulnerabilidad en la herramienta "Ocultar mi correo" de Apple permite desenmascarar las direcciones de correo electrónico reales de los usuarios, según reveló el investigador Tyler Murphy. El fallo, reportado a la compañía hace más de un año, ha sido verificado por medios especializados y afecta al 100% de las direcciones probadas en pruebas limitadas, poniendo en riesgo a usuarios que dependen de esta función para proteger su anonimato en línea.
La función "Ocultar mi correo" de Apple, diseñada para proteger la privacidad de los usuarios mediante direcciones de correo desechables que ocultan su identidad real, contiene un error que permite revelar las direcciones auténticas, según informó el investigador de seguridad Tyler Murphy.
El fallo fue reportado por el medio 404 Media, que afirmó haber probado y verificado que la vulnerabilidad existe. Murphy, quien descubrió el problema, declaró que advirtió a Apple sobre esta falla hace más de un año y que no está claro por qué la compañía aún no ha solucionado el problema, según 404 Media. Todos los intentos de explotar el error han sido exitosos, añadió Murphy.
"No conocemos el alcance completo del problema, pero en nuestras pruebas limitadas con voluntarios, el 100% de las direcciones de Ocultar mi correo fueron explotables", dijo Murphy al medio. Los detalles técnicos de la vulnerabilidad no han sido divulgados públicamente por temor a que sea explotada de manera masiva.
Murphy es cofundador de EasyOptOuts, un servicio de pago que elimina información personal de sitios de intermediarios de datos. El investigador explicó a 404 Media que "los sitios de búsqueda de personas de acceso público facilitan vincular una dirección de correo electrónico con otros detalles personales, por lo que las personas que dependen de Ocultar mi correo para su seguridad pueden estar en riesgo".
TechCrunch contactó a Apple para obtener más información, pero la compañía no había respondido al momento de la publicación del reporte.
Este incidente se suma a una serie de problemas previos con las herramientas de privacidad de Apple. En 2022, la compañía fue demandada después de que se reportara que las aplicaciones de iPhone continuaban enviando datos analíticos a Apple incluso cuando la configuración de privacidad de Análisis de iPhone estaba activada, según TechCrunch.
De manera similar, en 2023, investigadores descubrieron que otra función de privacidad de Apple era efectivamente "inútil", según TechCrunch. La investigación afirmó que una herramienta diseñada para anonimizar las conexiones Wi-Fi de usuarios móviles mediante direcciones MAC aleatorias (un identificador fácilmente rastreable) simplemente estaba exponiendo la dirección MAC real del usuario.
Apple ha construido gran parte de su reputación y marca en torno a la privacidad del usuario, según TechCrunch. La compañía promociona activamente sus funciones de privacidad como un diferenciador clave frente a competidores, particularmente en su marketing y comunicaciones corporativas.
La función "Ocultar mi correo" forma parte del servicio iCloud+ de Apple y permite a los usuarios generar direcciones de correo electrónico únicas y aleatorias que reenvían mensajes a su bandeja de entrada real sin revelar su dirección auténtica. Esta herramienta está diseñada para proteger a los usuarios de spam, rastreo y posibles amenazas a la seguridad cuando se registran en sitios web o servicios en línea.
El hecho de que Apple haya sido informada del problema hace más de un año y no haya implementado una solución plantea interrogantes sobre los procesos internos de la compañía para abordar vulnerabilidades de seguridad reportadas por investigadores externos. La demora en corregir un fallo que afecta directamente a una función promocionada como herramienta de privacidad contrasta con la imagen que Apple proyecta públicamente.
Para los usuarios que dependen de "Ocultar mi correo" para proteger su identidad en situaciones sensibles, como víctimas de acoso, periodistas, activistas o simplemente personas que buscan mayor privacidad en línea, esta vulnerabilidad representa un riesgo significativo. La capacidad de vincular direcciones de correo con información personal a través de sitios de búsqueda de personas amplifica el peligro potencial.
La situación subraya una realidad más amplia en la industria tecnológica: las herramientas de privacidad son escasas y, cuando existen, no siempre funcionan como se anuncia, según señaló TechCrunch. Esta brecha entre las promesas de privacidad y la realidad técnica erosiona la confianza del usuario en las protecciones digitales.
Hasta que Apple aborde y corrija esta vulnerabilidad, los usuarios de "Ocultar mi correo" permanecen potencialmente expuestos. La falta de transparencia sobre el cronograma de corrección o incluso el reconocimiento público del problema por parte de Apple deja a los usuarios sin información clara sobre cómo protegerse mientras tanto.