El escándalo en torno a la aplicación Tea —diseñada para que mujeres verifiquen antecedentes de los hombres con los que salen— ha escalado drásticamente tras confirmarse que decenas de miles de identificaciones oficiales fueron filtradas en foros cibercriminales. La brecha, causada por una configuración negligente en su almacenamiento de datos, expuso tanto documentos sensibles como fotos personales.

Qué ocurrió

Según confirmó la empresa a medios como 404Media y Recorded Future News, un actor no autorizado accedió a un sistema de almacenamiento antiguo (previo a febrero de 2024) que contenía datos utilizados en procesos de verificación de usuarios. La compañía informó que aproximadamente 72,000 imágenes fueron comprometidas, incluyendo:

• 13,000 fotografías tipo selfie, muchas de ellas junto a licencias de conducir.
• 59,000 imágenes públicas extraídas de publicaciones, comentarios y mensajes directos dentro de la app.

Los usuarios afectados son únicamente aquellos registrados antes de febrero de 2024, aseguró la empresa.

Un usuario de 4chan compartió su hallazgo de 55GB, según el usuario los datos se almacenaron en un servidor de almacenamiento publico de Firebase y no requería autentificación.

Una promesa rota

Uno de los aspectos más polémicos es que la plataforma había prometido eliminar las fotos tras finalizar el proceso de verificación. Sin embargo, las imágenes fueron archivadas, según la compañía, por supuestos requerimientos legales relacionados con la prevención del ciberacoso. Este argumento no ha sido bien recibido, y la empresa evitó responder si hubo intento de extorsión, ni detalló el tipo exacto de sistema usado.

Vulnerabilidad crítica: Firebase sin autenticación

La situación se agravó cuando varios investigadores y usuarios de 4chan señalaron que los datos robados estaban almacenados en un bucket público de Firebase, la plataforma de backend de Google. Este bucket no tenía ningún tipo de autenticación habilitada, permitiendo el acceso libre a los archivos. La falta de controles de acceso en una plataforma con datos sensibles es una violación grave de los principios básicos de seguridad en la nube.

Ciberacoso y doxing en escalada

Durante el fin de semana, usuarios de foros hostiles comenzaron a correlacionar las fotos de licencias con ubicaciones reales, incluyendo bases militares estadounidenses, lo que agrava el riesgo de doxing y acoso físico. El contenido ya está circulando en foros de ciberdelincuentes, donde se ha reportado un archivo de 55 GB con imágenes y documentos de identidad.

Reacción de la empresa

Tea ha contratado expertos en ciberseguridad para investigar y reforzar su infraestructura, aunque no ha proporcionado detalles técnicos sobre qué medidas correctivas están tomando ni si han notificado formalmente a los usuarios afectados.

Reflexión crítica

Este caso pone de manifiesto varios errores fundamentales:

1. Almacenamiento inseguro en la nube, sin autenticación ni cifrado.
2. Falta de cumplimiento de sus propias políticas de privacidad.
3. Ausencia de transparencia frente a las víctimas y a la opinión pública.

Además, se trata de un ejemplo claro de cómo una aplicación que promueve el empoderamiento de las mujeres puede convertirse en una herramienta de revictimización si no se protege adecuadamente la información sensible.

Recomendaciones para desarrolladores de apps

• Nunca almacenar documentos sensibles en buckets públicos.
• Aplicar controles de acceso estrictos y monitoreo continuo.
• Eliminar datos conforme a las políticas de privacidad prometidas.
• Establecer un plan de respuesta a incidentes y comunicación clara.