Por Canuto  

Dos jóvenes hackers fueron condenados a cinco años y seis meses de prisión por atacar al Transporte de Londres en 2024. La policía británica sostiene que sus encarcelamientos afectaron severamente las operaciones de Scattered Spider, un grupo vinculado con ataques contra empresas de alto perfil.
***

  • Owen Flowers, de 18 años, y Thalha Jubair, de 20, se declararon culpables y recibieron condenas de cinco años y seis meses.
  • El ataque de 2024 dejó fuera de servicio sistemas de boletos e información en tiempo real durante semanas.
  • Las autoridades estiman que el incidente causó pérdidas cercanas a GBP £29 millones y pudo haber paralizado por completo al organismo.

 


Owen Flowers, de 18 años, y Thalha Jubair, de 20, fueron sentenciados a cinco años y seis meses de prisión por atacar al Transporte de Londres en 2024. El caso muestra cómo grupos de ciberdelincuencia pueden causar daños graves sin contar necesariamente con grandes presupuestos ni herramientas asociadas con agencias gubernamentales.

La Agencia Nacional del Crimen del Reino Unido sostiene que el encarcelamiento de ambos jóvenes interrumpió severamente las operaciones de Scattered Spider, un colectivo relacionado con varios ataques de alto perfil, indica TechCrunch.

El ataque contra el Transporte de Londres

Flowers y Jubair se declararon culpables a principios de 2026 por participar en el ataque contra el Transporte de Londres, conocido como TfL, durante el verano de 2024. Este es el organismo gubernamental encargado de supervisar el sistema de transporte público de la capital británica. Sus servicios incluyen infraestructura vinculada con boletos y datos operativos para los pasajeros.

El ataque dejó fuera de línea parte de esa infraestructura tecnológica. Entre los sistemas afectados estuvieron el mecanismo de venta de boletos y la información sobre llegadas de trenes en tiempo real. Las interrupciones se prolongaron durante semanas y afectaron la experiencia de miles de clientes. El incidente también generó pérdidas económicas para la organización.

Las autoridades calcularon el costo del ataque en aproximadamente GBP £29 millones, una cifra equivalente a cerca de USD $47 millones según la información difundida sobre el caso.

La profundidad del acceso obtenido por los hackers elevó la gravedad del incidente. De acuerdo con The Guardian, ambos tenían capacidad potencial para cerrar por completo TfL y controlaban elementos descritos como las llaves del reino de los sistemas de la empresa.

La respuesta de las autoridades británicas

Las autoridades identificaron a Flowers y Jubair después de una investigación conjunta de la Agencia Nacional del Crimen y la Policía de la Ciudad de Londres. Los arrestos ocurrieron un año después del ataque.

La sentencia del jueves 16 de julio de 2026 puso fin a una etapa central del proceso judicial. Cada uno de los acusados recibió una condena de cinco años y seis meses de prisión.

Paul Foster, jefe de la Unidad Nacional de Cibercrimen de la Agencia Nacional del Crimen, describió a Scattered Spider como la amenaza de ciberdelito más significativa para el Reino Unido en los últimos años.

Foster afirmó que la investigación permitió interrumpir severamente esa amenaza y llevar a infractores clave ante la justicia. Sus declaraciones reflejan la importancia que las autoridades atribuyen al caso más allá del daño específico contra TfL.

La Agencia Nacional del Crimen también señaló que el ataque provocó decenas de millones de libras en pérdidas y generó inconvenientes para miles de clientes del sistema de transporte público.

La respuesta británica parte de una premisa relevante para la seguridad digital: detener a integrantes concretos puede afectar temporalmente a una red criminal, aunque los grupos descentralizados suelen adaptarse después de perder miembros.

El alcance de Scattered Spider

Scattered Spider no funciona como una organización rígida con una estructura pública y permanente. Sus integrantes pueden aparecer y desaparecer, mientras el grupo conserva la posibilidad de renovarse con nuevos participantes.

El colectivo ha sido vinculado con ataques contra MGM, uno de los mayores operadores de casinos, la aerolínea WestJet y la firma de ciberseguridad Okta.

En varios de esos incidentes, los atacantes consiguieron acceso a clientes de las empresas afectadas. Esa capacidad amplía el alcance de una intrusión inicial y multiplica las posibles víctimas.

El grupo comparte algunas características con ShinyHunters, otro colectivo de ciberdelincuencia mencionado en el caso. Ambos suelen concentrarse en empleados y personas, en lugar de atacar únicamente sistemas informáticos mediante vulnerabilidades técnicas.

Esta estrategia se conoce como ingeniería social. Consiste en manipular a personas para obtener credenciales, acceso o información, y puede resultar efectiva incluso cuando una empresa cuenta con defensas tecnológicas avanzadas.

La ingeniería social también plantea dificultades para las organizaciones porque explota decisiones humanas, rutinas laborales y confianza. Por eso, una plataforma técnicamente protegida puede seguir expuesta si sus usuarios reciben instrucciones engañosas.

Dos perfiles jóvenes en el centro del caso

El proceso judicial vuelve a destacar el papel de jóvenes hackers dentro de algunas de las operaciones de ciberdelincuencia más eficaces. La motivación puede combinar dinero, reconocimiento y prestigio entre pares.

La edad de Flowers y Jubair contrasta con la imagen tradicional de un atacante respaldado por una agencia sofisticada y con recursos millonarios. El caso sugiere que la capacidad técnica y la audacia pueden producir consecuencias importantes con medios más limitados.

Jubair fue acusado por el FBI de participar en ataques contra más de 120 empresas. Las autoridades relacionaron esas operaciones con tácticas de ingeniería social.

El dato amplía la dimensión del proceso británico, aunque la sentencia divulgada se refiere al ataque contra el Transporte de Londres. La información disponible no atribuye a los dos jóvenes todos los incidentes vinculados con Scattered Spider.

El caso también ilustra la diferencia entre un grupo y sus integrantes. La detención de personas clave puede dificultar una operación, pero no garantiza que desaparezca una red amorfa con capacidad para incorporar nuevos miembros.

Para las empresas y organismos públicos, la lección principal está en proteger tanto los sistemas como a quienes los utilizan. Los controles de acceso, la capacitación y la verificación de solicitudes pueden ser tan importantes como las herramientas de ciberseguridad.

Implicaciones para empresas y usuarios

El incidente de TfL demuestra que un ataque digital puede afectar servicios cotidianos, incluso cuando el objetivo no pertenece al sector financiero o tecnológico. Los sistemas de transporte dependen cada vez más de plataformas conectadas para operar y atender al público.

La interrupción de los boletos y de la información sobre trenes muestra que una intrusión puede combinar pérdidas económicas con una alteración directa de la movilidad urbana.

También existe un riesgo de efecto dominó cuando los atacantes acceden a clientes o proveedores de una organización. Una brecha inicial puede convertirse en una vía hacia otras empresas conectadas.

El caso recomienda prestar atención a los procesos internos, especialmente a las solicitudes de cambio de credenciales, restablecimiento de cuentas y acceso remoto. La verificación independiente puede reducir el impacto de intentos de manipulación.

La condena de Flowers y Jubair representa una victoria concreta para las autoridades británicas. Sin embargo, el propio carácter renovable de Scattered Spider impide considerar el problema resuelto.

La investigación evidencia que la cooperación entre organismos nacionales y fuerzas policiales puede ayudar a identificar a los responsables. También confirma que perseguir a los individuos debe acompañarse de medidas para reducir las oportunidades de nuevos ataques.

Según TechCrunch, las autoridades británicas consideran que la encarcelación de ambos hackers afectó severamente la amenaza de Scattered Spider. El caso queda como una advertencia sobre el alcance que puede alcanzar la ingeniería social contra infraestructuras esenciales.

La noticia fue reportada por TechCrunch, que detalló la condena, el impacto económico del ataque y los vínculos atribuidos al colectivo de ciberdelincuencia.


Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público.

Este artículo fue escrito por un redactor de contenido de IA y revisado por un editor humano para garantizar calidad y precisión.


ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.

Suscríbete a nuestro boletín