• 5 min de lectura
Hackers de TfL reciben 5,5 años cada uno en caso emblemático del Reino Unido
Dos miembros de Scattered Spider fueron sentenciados por el ciberataque a TfL de 2024, un caso que la NCA calificó como la mayor acusación por ciberdelito jamás presentada en el Reino Unido.

Imagen: The Register
Dos miembros británicos de Scattered Spider han sido sentenciados a cinco años y seis meses de prisión cada uno por el ciberataque a Transport for London (TfL) en 2024. Owen Flowers, 18, y Thalha Jubair, 20, se declararon culpables en junio, recibiendo una reducción del 15 % en sus sentencias, y fueron sentenciados el jueves en el Woolwich Crown Court.
El juez Turner dijo que la edad e inmadurez de los acusados eran relevantes, pero también lo eran la sofisticación del ataque, la magnitud del impacto en TfL y la planificación implicada. También señaló la neurodiversidad de los acusados y afirmó que la pena era la más indulgente que aún reflejaba la gravedad de los delitos.
El caso es solo la segunda condena en virtud de la Sección 3ZA de la Computer Misuse Act 1990, una disposición reservada para los delitos de uso indebido de ordenadores más graves. La National Crime Agency dijo que fue la mayor acusación por ciberdelito presentada ante los tribunales del Reino Unido.

Recomendado
La IA todavía no reemplazará a los pentesters
«Esta es la mayor acusación por ciberdelito jamás presentada ante los tribunales del Reino Unido y la culminación de casi dos años de trabajo minucioso por parte de la NCA, el CPS y nuestros socios policiales. Scattered Spider ha sido la amenaza de ciberdelito más significativa para el Reino Unido en los últimos años. A través de esta investigación, hemos interrumpido gravemente esa amenaza y hemos llevado a los principales delincuentes ante la justicia.»
Cómo ocurrió el ataque a TfL
Según el tribunal, Flowers y Jubair compraron credenciales parciales de TfL en foros criminales y luego las utilizaron para restablecer la autenticación de dos factores (2FA) en cuentas de empleados. También se hicieron pasar por un empleado e ingenieron socialmente a un operario de la mesa de ayuda de TfL para que restableciera una contraseña.
La pareja accedió a la red el 31 de agosto de 2024 y mantuvo ese acceso hasta el 3 de septiembre. Durante ese tiempo, trabajaron para elevar sus privilegios y alcanzar sistemas internos, incluidas bases de datos que inicialmente se pensó que exponían datos de unas 5.000 personas. Más tarde se supo que los atacantes habían accedido en realidad a los datos de alrededor de 7 millones de usuarios.
La red de transporte en sí sufrió una interrupción limitada en el mundo real, pero varios servicios digitales se vieron afectados. TfL no pudo emitir tarjetas de viaje con foto hasta el 4 de diciembre de 2024; algunas máquinas expendedoras de billetes funcionaron mal; los inicios de sesión de clientes, los portales y las aplicaciones de terceros se vieron afectados; y los usuarios sin contacto no pudieron ver sus historiales de viaje en línea. Los costes de remediación alcanzaron las £29 millones (39 millones de dólares).
«Damos la bienvenida a la noticia de que dos personas acusadas en relación con el incidente cibernético que afectó nuestras operaciones en 2024 han sido ahora sentenciadas. La seguridad de nuestros sistemas y de los datos de los clientes es extremadamente importante para nosotros, y vigilamos continuamente nuestros sistemas para garantizar que solo las personas autorizadas puedan acceder y seguimos tomando las medidas necesarias para proteger a TfL.»
Evidencia, delitos previos e implicaciones más amplias
Los investigadores dijeron que la mayor cantidad de pruebas se obtuvo tras el arresto de Flowers el 6 de septiembre de 2024 en su domicilio en Walsall. Los agentes incautaron portátiles, ordenadores de sobremesa y dispositivos de almacenamiento USB. El análisis forense de un portátil Acer lo vinculó con la infraestructura remota y las máquinas virtuales utilizadas en el ataque.
La policía también encontró vídeos y capturas de pantalla hechas por Flowers que mostraban el ataque en curso. El tribunal escuchó que la pareja retransmitió en directo el ataque de 16 horas en línea. Los investigadores relacionaron pagos por la infraestructura con una cuenta de criptomonedas hallada en el ordenador de Flowers, y luego vincularon esa misma cuenta con pedidos de comida enviados a su domicilio.
La misma máquina contenía credenciales parciales de empleados de TfL, pruebas relacionadas con ataques a SSM Health Care Corporation y Sutter Health, y artefactos que conectaban la actividad con Jubair. Los registros de chat y los detalles de reservas ayudaron a los investigadores a vincular un alias con Jubair, mientras que ambos hombres fueron vinculados a una cuenta de almacenamiento en la nube que contenía datos de TfL.
Flowers ya era conocido por las fuerzas de seguridad del Reino Unido y anteriormente había sido advertido, se le ofreció formación y se le dio orientación sobre los delitos previstos en la Computer Misuse Act. La NCA dijo que incumplió las condiciones de su libertad bajo fianza dos veces en octubre de 2024 y de nuevo en mayo de 2025.
Jubair también ya era conocido por la policía, incluido por una condena de 2023 vinculada al grupo Lapsus$. En el Reino Unido tiene 22 condenas anteriores, incluidas 13 por fraude y una por extorsión. También se enfrenta a cargos en EE. UU. que se hicieron públicos en septiembre de 2025, que le acusan de comprometer 120 redes en 47 entidades estadounidenses entre mayo de 2022 y septiembre de 2025, lo que condujo a más de 115 millones de dólares en pagos de rescate.
Los responsables de la NCA usaron el caso para defender la propuesta de Órdenes de Riesgo por Delitos Cibernéticos, afirmando que los poderes actuales dejan un vacío al tratar con delincuentes cibernéticos menores de 18 años. Foster dijo que tales órdenes podrían haber permitido a la policía arrestar a Flowers antes e imponer restricciones mientras seguían en curso las investigaciones.
Security Editor
Sophia unpacks the invisible wars happening on our networks. Covering cybersecurity, privacy legislation, and cryptography, she exposes how our data is weaponized and defended. Before joining for(geeks), she spent years as a penetration tester. She's the reason the rest of the team uses physical security keys.
vía The Register


