Dos adolescentes del Reino Unido acusados ​​de hackeo a TfL vinculado a una araña dispersa

El ciberataque que interrumpió los sitios web y servicios de Transport for London (TFL) en septiembre de 2024 dio lugar a cargos contra dos adolescentes acusados ​​de trabajar con el grupo de piratería Scattered Spider.

Thalha Jubair, de 19 años y residente del este de Londres, y Owen Flowers, de 18 años y residente de Walsall, fueron arrestados por la Agencia Nacional contra el Crimen el 16 de septiembre de 2025 y llevados ante el Tribunal de Magistrados de Westminster. La fiscalía alega que ambos conspiraron para violar los sistemas de TfL amparándose en la Ley de Uso Indebido de Computadoras, causando daños millonarios y afectando a partes de la infraestructura crítica de Londres.

El incidente no interrumpió el funcionamiento del metro, pero sí interrumpió importantes servicios a su alrededor. Los clientes tuvieron dificultades para acceder a sus cuentas de Oyster y de pago sin contacto, y las aplicaciones de transporte público de terceros que dependen de las API de TfL quedaron fuera de servicio. Los investigadores estiman que los costes han superado los 30 millones de libras hasta la fecha, incluyendo la reparación, la pérdida de ingresos y las mejoras de seguridad.

Aproximadamente 5.000 usuarios de Oyster también vieron expuesta su información personal, incluyendo datos bancarios y registros de contacto. TfL confirmó la filtración de datos en sus propias declaraciones, lo que refuerza aún más los cargos contra los acusados.

En su comunicado de prensa publicado hoy, la NCA describió la investigación como una "larga y compleja" en los últimos años. Paul Foster, subdirector de la Unidad Nacional de Delitos Cibernéticos de la agencia, afirmó que el ataque "causó importantes perturbaciones y pérdidas millonarias a TfL, parte de la infraestructura nacional crítica del Reino Unido".

Según un comunicado de prensa del Departamento de Justicia de EE. UU., Jubair enfrenta cargos de conspiración para cometer fraude informático, fraude electrónico y lavado de dinero, vinculados a más de 120 violaciones de red y planes de extorsión contra 47 organizaciones estadounidenses. La fiscalía afirma que las víctimas entregaron al menos 115 millones de dólares en pagos de rescate.

También enfrenta un cargo adicional por negarse a proporcionar contraseñas o PIN de los dispositivos incautados por los investigadores. Esto se enmarca en la Ley de Regulación de las Facultades de Investigación , que obliga a los sospechosos a revelar las claves de cifrado o a ser procesados.

Flowers se enfrenta a más cargos que los de Londres. Documentos judiciales también lo vinculan con ciberataques contra las empresas de atención médica estadounidenses SSM Health Care Corporation y Sutter Health. Estos casos ponen de relieve el carácter transfronterizo de Scattered Spider , un grupo ya asociado con campañas de ransomware y extorsión de gran repercusión tanto en Norteamérica como en Europa.

Este no es el primer arresto relacionado con el ciberataque a TfL de septiembre de 2024. El 12 de septiembre de 2024, la NCA anunció el arresto de un adolescente en Walsall, Inglaterra, en relación con el incidente. Sin embargo, no se reveló el nombre del sospechoso.

En cuanto a los últimos arrestos, el Servicio de Fiscalía de la Corona dijo que la evidencia era lo suficientemente sólida como para llevar a ambos hombres a los tribunales, enfatizando que es de interés público continuar con el caso, dado el daño a TfL y el riesgo para servicios críticos más amplios.

Scattered Spider se ha ganado una reputación en los últimos dos años por sus sofisticados ataques de ingeniería social, a menudo dirigidos al personal de TI corporativo mediante phishing y llamadas de voz. Los analistas de seguridad creen que el grupo está compuesto principalmente por jóvenes hackers que colaboran libremente en línea, a veces coincidiendo con otros grupos de cibercriminales.

Sin embargo, estos arrestos y la edad de los presuntos hackers coinciden con las conclusiones de la NCA de febrero de 2024 , que revelaron que uno de cada cinco jóvenes en el Reino Unido participa en ciberdelitos. La agencia reveló que uno de cada cinco niños de entre 10 y 16 años en el Reino Unido ha participado en actividades en línea que violan la Ley de Uso Indebido de Computadoras.