Resumen de seguridad: el servicio Hide My Email de Apple no logra ocultar su correo electrónico

Un político en El Comité PEGA del Parlamento Europeo, creado para investigar los abusos de software espía, incluido el notorio malware Pegasus, fue atacado por el propio Pegasus, según nuevos hallazgos de una investigación publicados esta semana. Mientras tanto, el personal superior de seguridad de Google advirtió esta semana que las propuestas de normas favorables a la competencia en la UE podrían hacer que la Búsqueda de Google y los sistemas Android sean vulnerables a la piratería y otros abusos.

Una investigación de WIRED reveló esta semana que los contratistas de Meta se hicieron pasar por niños y adolescentes para ver cómo los chatbots como Gemini y ChatGPT respondían a indicaciones sobre temas de alto riesgo, incluidos el suicidio, el sexo y las drogas.

Y un investigador se dio cuenta de que podía utilizar Claude Opus 4.7 de Anthropic para entrar en el sitio web de Front Gate y emitir entradas para casi cualquier festival de música de Estados Unidos, incluidos Lollapalooza y Bonnaroo.

¡Pero espera, hay más! Cada semana, reunimos las noticias sobre seguridad y privacidad que no cubrimos en profundidad. Haga clic en los titulares para leer las historias completas. Y mantente a salvo ahí fuera.

En 2021, Apple lanzó su herramienta Ocultar mi correo electrónico, que, como su nombre indica, permite a las personas registrarse en servicios en línea utilizando una dirección de correo electrónico que no está vinculada directamente a ellos. La función de privacidad genera «direcciones de correo electrónico aleatorias únicas» que reenviarán los mensajes entrantes a la dirección de correo electrónico personal de un usuario, lo que reduce la cantidad de información que necesita entregar a las empresas.

Un informe de 404 Media esta semana reveló que una vulnerabilidad en el sistema ha hecho posible, durante al menos un año, que se descubran las direcciones de correo electrónico reales de las personas cuando utilizan el servicio de privacidad de Apple. “Apple Hide My Email está filtrando direcciones de correo electrónico que se supone que están ocultas”, dijo a la publicación el investigador de seguridad Tyler Murphy, quien descubrió la falla en junio de 2025. «En nuestras pruebas limitadas con voluntarios, el 100% de las direcciones de Hide My Email eran explotables», dijo.

Los detalles exactos de la vulnerabilidad y cómo funciona no se han revelado ya que el problema no se ha solucionado. En las pruebas realizadas por 404 Media y Murphy, fue posible vincular una dirección Hide My Email recién creada, que utiliza el dominio @icloud.com, a la dirección de correo electrónico real de su creador. Murphy dijo que originalmente informó del problema a Apple el verano pasado y le dijeron que se había «solucionado» en marzo de este año. Sin embargo, cuando el investigador continuó probando el problema, siguió siendo explotable, y Apple le dijo a Murphy hace un par de meses que todavía estaba investigando el problema. Apple no respondió a las solicitudes de comentarios de la publicación.

Un joven de diecinueve años ha sido arrestado y extraditado a los Estados Unidos para enfrentar cargos por su presunta participación en el famoso grupo de piratería informática Scattered Spider, anunció esta semana el Departamento de Justicia (DoJ). Peter Stokes, ciudadano estonio-estadounidense, fue arrestado en Finlandia en abril y acusado de intrusión informática, conspiración y fraude, vinculados con la banda criminal.

Se alega que Stokes, junto con otros miembros del colectivo de piratería flexible, piratearon un “minorista de joyería de lujo” anónimo y exigieron un rescate de 8 millones de dólares en criptomonedas en mayo de 2025. La empresa no pagó, pero aun así gastó 2 millones de dólares en el incidente, según un comunicado de prensa del Departamento de Justicia. En los últimos años, el grupo Scattered Spider, que se cree que está compuesto en gran medida por jóvenes adolescentes de habla inglesa, ha causado estragos en todo el mundo al piratear y perturbar docenas de empresas. El arresto de Stokes se produce después de que dos miembros británicos de Scattered Spider, Thalha Jubair y Owen Flowers, se declararan recientemente culpables de piratear Transport for London en 2024 y causar daños millonarios.

Tras un movimiento de la aplicación de mensajería cifrada Signal el año pasado, WhatsApp anunció que pronto implementará nombres de usuario para miles de millones de personas. La opción significa que las personas pueden conectarse y enviarse mensajes entre sí sin tener que compartir números de teléfono, lo que aumenta la protección de la privacidad. Sin embargo, los funcionarios de India, uno de los mercados más grandes de WhatsApp, que anteriormente intentaron implementar protecciones de cifrado en la aplicación propiedad de Meta, se han opuesto a la introducción de nombres de usuario. Una carta del gobierno indio, vista por Reuters, pedía a WhatsApp que pausara la implementación de nombres de usuario en el país. La carta afirmaba que la medida podría aumentar el fraude y el cibercrimen, citando preocupaciones sobre permitir el anonimato en línea. La carta fue seguida por mensajes separados a Signal y Telegram sobre el uso de nombres de usuario.

En los últimos años han aparecido en todo Estados Unidos miles de cámaras lectoras automáticas de matrículas, conocidas como ALPR. Las cámaras, que pueden ser utilizadas por policías, ciudades y empresas, fotografían los coches que pasan y registran detalles sobre sus movimientos. Además de los números de matrícula, los sistemas pueden registrar la hora y la ubicación de las fotografías, la marca y el modelo de un vehículo, así como las pegatinas en los parachoques. Se han capturado miles de millones de imágenes y detalles de los movimientos de los automóviles en vastas bases de datos ALPR.

Sin embargo, cada vez hay más pruebas que demuestran que cuando los sistemas de cámaras cometen errores, las autoridades policiales pueden detener a personas inocentes y acusarlas de delitos. Una revisión de registros judiciales e informes de los medios, que probablemente sean la punta del iceberg, realizada esta semana por la organización sin fines de lucro Instituto de Justicia encontró al menos 24 casos de identificación errónea en los últimos ocho años. Según se informa, entre ellos se incluyen una pareja con un bebé en su coche que fue detenida a punta de pistola; una cámara malinterpretó una “O” como un “0”, lo que provocó la detención de los abuelos; y alguien detenido después de que su matrícula no fue eliminada de una lista de personas buscadas. Los hallazgos se suman a una lista cada vez mayor de errores de las cámaras habilitadas para IA.

We use cookies in order to give you the best possible experience on our website. By continuing to use this site, you agree to our use of cookies.
Accept