Un investigador de seguridad comunicó a Apple en junio de 2025 una vulnerabilidad en Hide My Email que, en determinadas circunstancias, permite descubrir la dirección de correo electrónico real del usuario, justo lo que la función promete ocultar. Más de un año después, la compañía no ha distribuido ninguna actualización que la corrija, según ha revelado 404 Media, que asegura haber verificado el fallo de forma independiente, aunque los detalles técnicos no se han hecho públicos por seguridad. Apple ha confirmado que sigue investigando el problema y que la solución llegará en una futura actualización de seguridad.
La función permite generar direcciones de correo aleatorias que actúan como intermediarias para evitar que los servicios conozcan la cuenta real del usuario. Por eso, el caso preocupa especialmente: afecta a una herramienta cuyo único propósito es proteger la privacidad, uno de los argumentos centrales con los que Apple diferencia su ecosistema frente a la competencia.
La situación coincide además con el anuncio reciente de que las direcciones de Hide My Email pasarán a usar el dominio @private.icloud.com, un cambio que facilitará a aplicaciones y webs identificarlas y que podría provocar que algunos servicios las rechacen en el registro. No es la primera vez que Apple tarda en reaccionar ante fallos de privacidad notificados: antes ocurrió con fugas de tráfico en conexiones VPN de iOS, con la exposición parcial de direcciones MAC o con la vulnerabilidad descubierta en AirDrop.
