Por Canuto  

La red Scattered Spider vuelve al centro del foco judicial tras la declaración de culpabilidad de dos de sus presuntos miembros en Reino Unido, en un caso que conecta ransomware, phishing por SMS, SIM swapping y robos millonarios, incluyendo el hurto de criptoactivos y ataques contra grandes empresas de EE. UU. y Reino Unido.
***

  • Thalha Jubair, de 20 años, y Owen Flowers, de 18, admitieron cargos por el ciberataque de agosto de 2024 contra Transport for London.
  • Fiscales de Nueva Jersey vinculan a Jubair y otros miembros de Scattered Spider con 120 intrusiones, 47 entidades afectadas y al menos USD $115 millones en rescates pagados.
  • El caso enlaza ataques de ransomware, phishing por SMS, SIM swapping y el robo de al menos USD $8 millones en criptomonedas.

 

Dos hombres se declararon culpables esta semana en Reino Unido por cargos criminales relacionados con un ciberataque de agosto de 2024 que paralizó a Transport for London. La entidad administra la red de transporte público del área metropolitana de Londres.

Los acusados son Thalha Jubair, de 20 años y residente del este de Londres, y Owen Flowers, de 18 años y procedente de Walsall. Ambos fueron descritos como miembros clave de la prolífica banda de cibercrimen Scattered Spider, indican reportes publicados el día de hoy.

Sus declaraciones de culpabilidad se produjeron el primer día de un juicio que se esperaba durara seis semanas. Con ello, el proceso dio un giro temprano en uno de los casos más visibles vinculados al grupo.

Según la acusación, ambos admitieron haber conspirado para cometer actos no autorizados contra sistemas informáticos de Transport for London. También reconocieron haber causado un riesgo de daño grave al bienestar humano.

El caso vuelve a poner atención sobre una organización asociada con ransomware, phishing y fraudes de identidad. Para el ecosistema cripto, el nombre Scattered Spider también resuena por su presunta participación en robos de activos digitales.

Un caso en Londres con ramificaciones internacionales

De acuerdo con un informe citado de la BBC, Flowers también admitió haber formado parte de una conspiración para hackear a los proveedores de salud estadounidenses SSM Health Care Corporation y Sutter Health en septiembre de 2024.

La dimensión internacional del expediente no termina allí. Jubair además es buscado por agencias de seguridad de Estados Unidos.

En septiembre de 2025, fiscales de Nueva Jersey hicieron pública una acusación contra Jubair y otros presuntos integrantes de Scattered Spider. El documento alega fraude informático, fraude electrónico y lavado de dinero.

Según esa acusación, el grupo cometió 120 intrusiones en redes informáticas que involucraron a 47 entidades de Estados Unidos entre mayo de 2022 y septiembre de 2025. Las víctimas habrían pagado al menos USD $115 millones en rescates.

Esos datos ayudan a dimensionar el alcance económico de la red. También muestran por qué la persecución penal del grupo ya no se limita a incidentes aislados.

En julio de 2025, KrebsOnSecurity reportó que Flowers y Jubair fueron arrestados en Reino Unido por los ataques de ransomware contra Marks & Spencer, Harrods y la cadena minorista de alimentos Co-op Group.

Esos episodios reforzaron la imagen de Scattered Spider como una amenaza flexible, capaz de moverse entre extorsión digital, intrusión corporativa y fraude de identidad. La capacidad del grupo para afectar compañías de alto perfil elevó la presión pública y regulatoria.

La conexión con casinos, telecomunicaciones y fraude de identidad

Múltiples fuentes familiarizadas con esas investigaciones dijeron que Flowers era el miembro de Scattered Spider que concedió entrevistas anónimas a medios tras los ataques de ransomware de septiembre de 2023. Esos ataques interrumpieron operaciones en casinos de Las Vegas operados por MGM Resorts y Caesars Entertainment.

El expediente también dibuja el perfil operativo de Jubair. Fiscales estadounidenses sostienen que fue copropietario de un activo canal de Telegram llamado Star Chat.

Ese espacio habría reunido a un grupo dedicado al SIM swapping. El método combina engaños por voz y SMS para robar credenciales de empleados de grandes operadoras inalámbricas en Estados Unidos y Reino Unido.

Con ese acceso, el grupo supuestamente vendía un servicio para redirigir el número telefónico de una víctima a un dispositivo controlado por atacantes. Eso les permitía interceptar llamadas, mensajes de texto y códigos de autenticación multifactor.

En términos prácticos, esa técnica puede abrir la puerta a cuentas bancarias, correos electrónicos, plataformas corporativas y billeteras vinculadas a números móviles. En el mundo cripto, ese riesgo es especialmente delicado cuando los usuarios dependen de SMS para recuperar accesos.

Los fiscales identifican a “Rocket Ace” como uno de los alias de hacker utilizados por Jubair. El uso de múltiples seudónimos ha sido una constante dentro del ecosistema delictivo que rodea a Scattered Spider.

KrebsOnSecurity también recordó que, cuando tenía 15 años, uno de los alter egos de Jubair era “Everlynn”. Bajo ese nombre, habría vendido solicitudes de datos de emergencia fraudulentas usando correos comprometidos de policías y entidades gubernamentales.

Esas solicitudes buscaban obligar a empresas tecnológicas a entregar datos de suscriptores, como nombres de usuario y direcciones IP o correo electrónico. El pretexto era que se trataba de casos urgentes de vida o muerte que no podían esperar una orden judicial.

Phishing por SMS y robos de criptomonedas

Los fiscales de Nueva Jersey también afirman que Jubair participó en una campaña masiva de phishing por SMS durante el verano de 2022. La operación robó credenciales de inicio de sesión único de empleados de cientos de empresas.

Según el caso, esa campaña se extendió por varias semanas. Luego derivó en intrusiones y robo de datos en más de 130 organizaciones.

Entre las compañías afectadas figuran LastPass, DoorDash, Mailchimp, Plex y Signal. La lista ilustra el amplio radio de acción del grupo y su capacidad para aprovechar credenciales corporativas comprometidas.

En abril de 2026, Tyler “Tylerb” Buchanan, británico de 24 años y también miembro de Scattered Spider, se declaró culpable de conspiración para cometer fraude electrónico y robo de identidad agravado. Su caso está ligado a la misma oleada de phishing por SMS de 2022.

El gobierno estadounidense sostiene que Buchanan, Jubair y otros usaron las credenciales obtenidas en esa campaña para robar al menos USD $8 millones en criptomonedas de víctimas en todo Estados Unidos. Ese punto conecta directamente la operación de phishing con pérdidas concretas de activos digitales.

Buchanan tiene programada su sentencia para el 2 de octubre. El desarrollo de ese proceso podría aportar más detalles sobre la infraestructura criminal y la ruta de los fondos.

Para lectores menos familiarizados con estos esquemas, conviene recordar que muchas intrusiones corporativas no comienzan con malware sofisticado. A menudo arrancan con engaños simples dirigidos a empleados, soporte técnico o proveedores externos.

Cuando esas credenciales luego se reutilizan para entrar a exchanges, custodios o servicios de autenticación, el daño se expande rápido. Por eso los casos de phishing y SIM swapping importan mucho más allá del sector de ciberseguridad.

Más procesados y próximas sentencias

Otro integrante de Scattered Spider ya recibió sentencia en Estados Unidos. En agosto de 2025, Noah Michael Urban, de 20 años y residente de Florida, fue condenado a 10 años de prisión federal.

Además de la pena de cárcel, Urban fue obligado a pagar USD $13 millones en restitución. Se había declarado culpable de cargos de fraude electrónico y conspiración.

El Departamento de Justicia de Estados Unidos dice que tres acusados incluidos junto a Buchanan todavía enfrentan cargos. Entre ellos aparece Ahmed Hossam Eldin Elbadawy, de 24 años, apodado “AD”, de College Station, Texas.

La lista también incluye a Evans Onyeaka Osiebo, de 21 años, de Dallas, Texas. Asimismo, figura Joel Martin Evans, de 26 años, apodado “joeleoli”, de Jacksonville, Carolina del Norte.

En cuanto al proceso británico, Flowers y Jubair serán sentenciados el 15 de julio de 2026 en un tribunal de Londres. Esa fecha marcará otro hito dentro de una ofensiva judicial que se ha venido ampliando en ambos lados del Atlántico.

El caso refleja cómo los grupos criminales modernos combinan ransomware, manipulación de identidades, ingeniería social y robo de criptoactivos dentro de una misma cadena operativa. También evidencia que la respuesta legal empieza a ensamblar piezas que durante años parecían dispersas.

Para empresas, usuarios e inversionistas en el entorno digital, la lección es clara. La seguridad de credenciales, la autenticación robusta y los controles internos ya no son asuntos secundarios, sino barreras esenciales frente a redes capaces de convertir un mensaje de texto en pérdidas multimillonarias.

Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público.

Este artículo fue escrito por un redactor de contenido de IA y revisado por un editor humano para garantizar calidad y precisión.


ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.

Suscríbete a nuestro boletín

Artículos Relacionados