@icloud.com@privaterelay.appleid.com'Ocultar mi correo' es una función estrella de la suscripción iCloud+ que promete permitir a los usuarios crear direcciones de correo electrónico desechables y anónimas que reenvían los mensajes a su bandeja de entrada real sin exponer nunca la dirección real . Este error rompe completamente esa promesa: cualquier parte con acceso a un alias generado (un sitio web, un corredor de datos o un actor malicioso) puede potencialmente descubrir el correo real del usuario, frustrando el propósito de la función para la privacidad, la lucha contra el rastreo y la prevención del spam
.
@private.icloud.com, reemplazando la división anterior entre @icloud.com y @privaterelay.appleid.com Este cambio no soluciona la vulnerabilidad subyacente. En cambio, empeora la privacidad de otra manera . Anteriormente, un alias de 'Ocultar mi correo' (por ejemplo,
abc123@icloud.com) era indistinguible de una dirección de correo personal normal de iCloud, por lo que los sitios web no podían saber si un usuario era anónimo . El nuevo dominio
@private.icloud.com marca sin ambigüedad cada dirección como un alias de privacidad, lo que hace trivial para cualquier sitio web o servicio bloquear, marcar o rechazar los registros anónimos . Los defensores de la privacidad han descrito esto como un movimiento que "elimina esa ambigüedad por completo" y hace que la función sea menos útil para su propósito principal
.
A 1 de julio de 2026, la vulnerabilidad principal sigue sin parchear, más de un año después de la divulgación inicial .
El hecho de que Apple no haya solucionado realmente la vulnerabilidad de rastreo inverso durante más de un año, a pesar de afirmar que estaba parcheada en marzo de 2026, ha planteado preguntas sobre el proceso de respuesta de seguridad de Apple y si las funciones de privacidad de iCloud+ reciben la atención de ingeniería adecuada .
En marzo de 2026, varios medios informaron que Apple entregó al FBI la dirección de correo real de iCloud vinculada a un alias de 'Ocultar mi correo' durante una investigación por amenazas . Los documentos judiciales mostraron que Apple entregó la identidad de al menos dos suscriptores de iCloud+ que usaron la función
. Si bien los términos de servicio de Apple siempre han permitido esto para solicitudes legales, el episodio reveló cuánta información Apple puede y entregará, incluido el mapeo entre alias y cuentas reales
. Esto contradice la impresión de marketing de "anonimato" del enmascaramiento de correo electrónico y ha erosionado aún más la confianza en las afirmaciones de privacidad de la función
.
@private.icloud.com— no soluciona la vulnerabilidad y, en cambio, facilita que los servicios bloqueen a los usuarios anónimos