Hide My Email de Apple es una de las funciones de privacidad más discretamente populares de iCloud+. Escribes tu Apple ID en un formulario de registro, tocas Hide My Email en su lugar, y Apple genera un alias aleatorio, algo como [email protected], que reenvía a tu bandeja real sin revelarla jamás al sitio en el que te estás registrando. Millones de personas la usan precisamente para que una filtración en algún foro o tienda no entregue a los atacantes su dirección de correo real.
Según reportes de 404 Media, esa promesa no se ha sostenido. El investigador de seguridad Tyler Murphy, cofundador de la firma de privacidad de correo EasyOptOuts, reportó a Apple en junio de 2025 que las direcciones de Hide My Email podían revertirse para exponer la dirección real detrás de ellas. En pruebas realizadas con voluntarios, la técnica funcionó en el 100% de las direcciones probadas, y 404 Media lo confirmó contra uno de sus propios alias en cuestión de minutos. Más de un año después del reporte inicial, y tras varias rondas en las que Apple afirmó que el problema había sido “atendido en un cambio reciente del sistema” solo para que Murphy descubriera que no era así, el fallo seguía siendo explotable esta misma semana, según los reportes. 404 Media no publicó el mecanismo técnico exacto para evitar entregar un exploit funcional mientras siga activo.
La Función Funcionaba Exactamente Como Se Anunciaba, Hasta Que Dejó de Hacerlo
Hide My Email nunca fue diseñada para autenticar nada. Fue diseñada para ocultar un hecho específico: qué bandeja de entrada real hay detrás de un alias determinado. Es una promesa acotada y útil, y durante la mayor parte de la vida de la función parece haberse cumplido. Lo que muestra esta divulgación es cuánto puede depender de esa única promesa acotada una vez que se rompe. Una dirección de relay que se revierte silenciosamente hacia tu bandeja personal o laboral no solo filtra una dirección. Elimina la capa que se interponía entre un registro anónimo y una lista de objetivos que un atacante puede usar para spear phishing, credential stuffing o un intento de compromiso de correo empresarial construido específicamente en torno a saber a qué bandeja apuntar.
Esa distinción importa más de lo que parece. Cualquiera que confiara en Hide My Email, o en un servicio de alias similar, para mantener el anonimato estaba confiando en una capa de ofuscación, no en una capa de autenticación. La ofuscación puede fallar en silencio. Una dirección real expuesta a través de un alias revertido luce idéntica, desde el lado del destinatario, a una dirección real obtenida de cualquier otra forma. Nada en la falla es visible para la persona a la que le ocurre, que es precisamente por qué tomó más de un año y presión de reportes externos conseguir avances hacia una solución.
Por Qué Esto Es una Historia de Seguridad de Dominios, No Solo de Privacidad
Una vez que un atacante tiene una dirección real verificada, y conoce el dominio al que pertenece esa dirección, ya sea un Gmail personal o una cuenta corporativa vinculada al dominio de una empresa, el siguiente movimiento es predecible. Envían correo que parece venir de un colega, un banco o la propia empresa, dirigido exactamente a esa dirección. Que ese correo se vea como una suplantación convincente o rebote como una falsificación obvia depende por completo de algo que Hide My Email nunca fue construida para tocar: si el dominio que se está suplantando tiene aplicación de DMARC en su lugar.
Este es el patrón que vale la pena interiorizar. Las herramientas de privacidad de direcciones reducen la frecuencia con la que tu dirección termina en una lista de objetivos en primer lugar. La autenticación de dominio determina qué ocurre una vez que eso sucede. Ambas importan, y ninguna sustituye a la otra. Una empresa que nunca ha filtrado un correo puede igual ser suplantada por cualquiera que adivine su dominio a partir de una tarjeta de presentación, y una persona cuyo alias de Hide My Email acaba de revertirse está tan protegida como lo permita la política DMARC del dominio que el atacante intente suplantar para llegar a ella.
Qué Cambia Realmente para los Dueños de Dominios
Nada de este fallo específico se resuelve con un registro DMARC. Vive por completo del lado de Apple, en cómo iCloud+ genera y resuelve las direcciones de relay, y la única mitigación real por ahora es tener precaución al asumir que un alias de Hide My Email es imposible de vincular mientras siga sin corregirse. Pero el incidente es un buen motivo para revisar la otra mitad de la ecuación. Si el dominio de tu organización no aplica DMARC en p=reject o p=quarantine, cada dirección real que se filtre en cualquier parte, por este fallo, por un data broker, por un proveedor vulnerado, se convierte en una dirección que alguien puede usar para suplantar tu dominio y llegar a ella, sin ningún protocolo que lo impida.
Los incidentes de exposición de direcciones van a seguir ocurriendo. Los servicios de alias se revierten, las filtraciones se divulgan meses después de ocurridas, los data brokers siguen operando. La única parte de esa cadena que un dueño de dominio realmente controla es si el correo que dice provenir de su dominio, una vez que un atacante tiene un objetivo al cual enviarlo, se rechaza antes de llegar a una bandeja de entrada.
La Conclusión
Una función de privacidad que funcionó durante años falló en silencio, y hizo falta un investigador de seguridad, más de un año y presión de medios externos para que Apple se lo tomara en serio. Eso es un recordatorio de que cualquier capa construida sobre ocultar una dirección en lugar de autenticar un dominio es una capa que puede fallar sin que nadie se dé cuenta hasta que se reporta. Ocultar tu dirección es un buen hábito. No es una defensa. La defensa es asegurarte de que, sea cual sea el dominio que alguien intente suplantar una vez que encuentre esa dirección, el tuyo o el de tu empresa, sea uno que DMARC realmente proteja.
No puedes controlar cada forma en que tu dirección podría filtrarse. Sí puedes controlar si tu dominio puede ser suplantado una vez que eso ocurre. Regístrate gratis en Excello Mail e implementa la aplicación de DMARC y reportes continuos en tu dominio, para que una dirección filtrada nunca se convierta en una suplantación exitosa.