La vulnerabilidad de Hide My Email de Apple: riesgos, demora y lo que implica para la privacidad


Un fallo en la función Hide My Email de Apple permite a personas con conocimiento de la vulnerabilidad identificar la dirección de correo real oculta detrás de la dirección anonima. Expertos advierten que el bug podría exponer a usuarios a la identificación y a una mayor exposición en búsquedas públicas de datos.

El fallo fue descubierto por Tyler Murphy, cofundador de EasyOptOuts, quien compartió el exploit con 404 Media después de notificar a Apple en varias ocasiones que la función podría ser explotada de forma activa. Murphy declaró: “Informamos del problema y las instrucciones de replicación a Apple hace más de un año. No sabemos por qué no se ha solucionado, pero ya no nos sentimos cómodos esperando”.

Hide My Email puede ser explotado activamente

Como el fallo aún no se ha parcheado, los detalles de cómo funciona la explotación no han sido difundidos. La función Hide My Email está diseñada para anonimizar las direcciones de correo, evitando que la dirección real del usuario se filtre en una brecha de datos o que su identidad se vincule de forma directa a través de su correo.

La esencia del problema radica en que, si se identifica la dirección real mediante la explotación del fallo, un actor malicioso podría descubrir la identidad real de la dirección anonima. Murphy señala: “Los sitios de búsqueda de personas, gratuitos y de acceso público, facilitan vincular una dirección de correo con otros datos personales, por lo que quienes dependen de Hide My Email para su seguridad podrían estar en riesgo”. En pruebas limitadas con voluntarios, Murphy indica que el 100% de las direcciones de Hide My Email eran explotables.

Para quienes deseen reducir el riesgo de ser identificados a través de sitios de búsqueda de datos, existe la opción de utilizar un servicio de eliminación de datos para borrar la información personal de estos sitios, aunque el proceso puede tardar varios días.

El problema fue informado por primera vez a Apple en junio de 2025. Apple respondió un mes después indicando que estaba investigando la causa. A principios de este año, en marzo, Apple afirmó haber “abordado el problema informado en un cambio reciente del sistema”, pero Murphy descubrió que la vulnerabilidad aún podía ser explotada. Murphy notificó nuevamente a Apple, quien en mayo de 2026 dijo: “Seguimos investigando este asunto. Para evitar poner en riesgo a nuestros clientes, agradeceríamos no divulgar esta información hasta completar nuestra investigación”. Más adelante, Apple afirmó que la solución se esperaba en las próximas semanas.

from Latest from TechRadar https://ift.tt/YAFsdZR
via IFTTT IA