
Owen Flowers, de 18 años, y Talha Joubea, de 20, fueron sentenciados cada uno a cinco años y medio de prisión por el hackeo de 2024 Transport for London en Woolwich Crown Court el jueves 16 de julio de 2026.
El ataque dejó inoperables 148 sistemas TfL y obligó a los 27.000 empleados de la Agencia de Transporte a acudir a sus oficinas y restablecer sus contraseñas en persona. Tanto la NCA como la CPS estiman las pérdidas y los costes de recuperación de TfL en 29 millones de libras esterlinas.
Ambos hombres se declararon culpables el 22 de junio de 2026, cuando estaba previsto que comenzara su juicio. El cargo se basaba en el artículo 3ZA de la Ley de uso indebido de ordenadores de 1990, la más grave de esas leyes, por considerar que habían sido imprudentes en cuanto a si habían causado o creado un riesgo significativo de daño grave al bienestar humano.
Según el CPS, se cree que Flowers y Joubert son los primeros piratas informáticos acusados en virtud de la sección 3ZA. La NCA considera que este caso es el segundo procesamiento de este tipo. Aparecen dos precedentes juntos, uno contando los cargos presentados bajo esta sección y el otro contando los que resultaron en condenas, pero ninguna autoridad explica la brecha.
La NCA considera que este es el mayor procesamiento por delitos cibernéticos jamás experimentado por los tribunales del Reino Unido.
La intrusión duró del 31 de agosto de 2024 al 3 de septiembre de 2024. TfL monitorea los movimientos de una media de nueve millones de personas al día. Dial-a-Ride, el servicio de reservas que atrae a londinenses vulnerables a la ciudad, ha cesado, junto con los canales de pago digitales y la emisión de tarjetas de viaje con descuento.
Las solicitudes para Oyster Photocard, la tarjeta de descuento de Londres para niños y jóvenes, ya están cerradas. Las extensiones a la emisión de boletos sin contacto han fracasado y los reembolsos se han desorganizado.
TfL informó a los clientes que se había accedido a sus nombres y direcciones de correo electrónico, así como a sus direcciones residenciales almacenadas. Es posible que también hayan desaparecido los datos de reembolso de Oyster, incluidos los números de cuentas bancarias y los códigos de clasificación de aproximadamente 5.000 personas.
CPS dijo que sólo dos personas sabían qué pretendían hacer con el acceso, pero los chats sugirieron que lo borrarían. De aquí provienen las mayores cifras en este caso. La NCA dijo que una interrupción exitosa de la red podría haberle costado a la economía del Reino Unido hasta £56 mil millones, mientras que la CPS planteó una hipótesis similar en miles de millones de libras. El CPS dijo que seguía siendo hipotético ya que TfL eliminó su propia red para contenerlos.
Flowers fue arrestado en su casa el 6 de septiembre de 2024, tres días después de que terminara la redada de TfL, y la NCA dijo que lo había descubierto durante los ataques a dos proveedores de atención médica estadounidenses, SSM Healthcare Corporation y Sutter Health.
Los investigadores confiscaron una computadora portátil, una computadora de torre, un disco duro y una memoria USB. Una computadora portátil contenía capturas de pantalla de conexiones de red a la infraestructura de TfL, así como videos grabados por Flowers of Jubea moviéndose a través del sistema de TfL durante el ataque. Durante el incidente, los dos intercambiaban mensajes en Telegram y compartían un espacio de trabajo en línea.
Los fiscales demostraron que Flowers se conectó a los servidores remotos utilizados en los tres robos y que los propios dispositivos de Flowers estaban vinculados a los tres. La información que vincula a Jubea con TfL se encontró en el extranjero y se obtuvo con la ayuda de fiscales locales.
Flowers admitió dos cargos adicionales relacionados con agresión médica, conspiración contra SSM Health e intento contra Sutter Health. En el chat, reconoció que «personas de hasta 90 años con soporte vital podrían morir», pero amenazó con bloquear esos sistemas, según CPS. El arresto lo detuvo.
La NCA describe a ambos individuos como miembros clave de Scattered Spider, y el equipo de extorsión también es rastreado como Octo Tempest, UNC3944 y 0ktapus. El CPS fue más cauteloso y dijo que los acusados habían afirmado en varios momentos ser miembros de un grupo que los fiscales creen que llevó a cabo cientos de ataques entre 2022 y 2025.
El FBI, citado en el anuncio de la NCA, dijo que vinculaba al grupo con la extorsión de datos, el intercambio de SIM y la ingeniería social.
Otro caso en Jubea sigue sin resolverse.
Una acusación formal revelada en Nueva Jersey en septiembre de 2025 acusa a Joubert de fraude informático, fraude electrónico y conspiración para lavado de dinero. El plan implicó aproximadamente 120 intrusiones en la red entre mayo de 2022 y septiembre de 2025, victimizando al menos a 47 estadounidenses y pagando más de 115 millones de dólares en rescate, según la denuncia.
Los fiscales también lo acusaron de infiltrarse en una empresa de infraestructura crítica de EE. UU. y en un juzgado de EE. UU., alegando que movió aproximadamente 8,4 millones de dólares en moneda virtual de la billetera del servidor mientras sus oficiales la confiscaban. Estas son acusaciones y no han sido probadas en los tribunales. El valor máximo para todos los cargos es 95 años. Ni el anuncio del Ministerio de Justicia ni el del Reino Unido del jueves mencionaron la extradición.
¿Se acabó Scattered Spider?
La NCA dijo que sus acciones contra los dos efectivamente cerraron el grupo, citando la evaluación de Microsoft de que los arrestos habían reducido significativamente la capacidad del grupo para operar. Al mismo tiempo, reconocemos que otros delincuentes pueden seguir utilizando la marca.
Scattered Spider no es la única marca que sobrevive. En enero, Mandiant siguió la expansión del tipo de extorsión ShinyHunters que llevó a cabo el mismo tipo de ingeniería social. Hicieron llamadas telefónicas sarcásticas a los empleados, obtuvieron inicios de sesión SSO y códigos MFA en páginas de captura de credenciales con la marca de la víctima e inscribieron sus propios dispositivos para MFA.
En sus comunicados escritos, ni la NCA ni el CPS revelaron cómo Flowers y Joubert llegaron a TfL. La guía de refuerzo de Google, basada en la misma investigación, reúne correcciones en un solo lugar, incluidos restablecimientos de contraseñas, inscripción de dispositivos, verificación de identidad para cambios de MFA y flujos de trabajo manuales para que el personal llame y discuta.
Paul Foster, jefe de la unidad nacional de delitos cibernéticos de la NCA, tiene una petición para todos los demás: la clave es notificar a las autoridades lo antes posible. Sin TfL, afirma, estas condenas probablemente no se habrían producido.
La policía de la ciudad de Londres utilizó el fallo para ejercer presión en favor de poderes que la policía no tenía. Las órdenes de riesgo de delitos cibernéticos permiten a los tribunales restringir los dispositivos personales, los servicios en línea y la tecnología en función de los riesgos que plantean.
El comandante Olly Shaw las promocionó como «prisiones digitales» para delincuentes. Así que eso era ese conjunto de herramientas. Esta vez, los dos hombres, que tenían 17 y 18 años en el momento del crimen, fueron condenados a prisión.
Source link
