Dos adolescentes británicos, de 18 y 19 años, se declararon no culpables en el Tribunal de la Corona de Southwark en Londres en relación con un ciberataque a Transport for London (TfL) el año pasado. Los acusados, Owen Flowers (18) de West Midlands y Thalha Jubair (19) de East London, enfrentan cargos bajo la Ley de Uso Indebido de Computadoras por conspirar para cometer actos no autorizados contra los sistemas informáticos de TfL. Los fiscales alegan que el ataque ocurrió en agosto de 2024 y que tuvo como objetivo la infraestructura digital de la organización, incluidos los sistemas que apoyan las redes de metro y autobuses de Londres. TfL informó previamente que el incidente provocó acceso a datos personales y pérdidas financieras.
Flowers también está acusado de otros delitos relacionados con intentos de vulnerar sistemas informáticos pertenecientes a dos empresas sanitarias estadounidenses: Sutter Health (California) y SSM Health Care Corporation (Missouri). Negó todas las acusaciones. Jebair igualmente negó los cargos al comparecer ante el tribunal el viernes. El juicio está previsto para comenzar en junio de 2026, con una vista preliminar prevista para el próximo febrero.
Los investigadores afirman que el ataque fue sofisticado y formaba parte de una tendencia que vincula a jóvenes hackers con base en el Reino Unido con redes criminales más amplias. Las autoridades nombraron al grupo Araña Dispersa en informes anteriores como sospechoso de operar múltiples campañas de intrusión. La Agencia Nacional contra el Crimen (NCA) describió la investigación como larga y compleja, que abarca meses de trabajo forense y cooperación transfronteriza.
TfL declaró que, aunque sus operaciones de transporte no se vieron directamente interrumpidas, se accedió a los datos de clientes y personal. Ha estimado pérdidas de decenas de millones de libras y afirmó haber incurrido en costes significativos por la investigación, la remediación y el trabajo legal. La exposición de datos históricos de viaje o de contacto puede aumentar riesgos para la privacidad y puede conducir a intentos de phishing o robo de identidad si la información se usa indebidamente.
Los analistas legales afirman que los cargos suponen uno de los casos más destacados de la participación juvenil en una intrusión de alto impacto que afecta a infraestructuras nacionales. Señalaron que el caso podría poner a prueba cómo se aplican las leyes británicas de ciberdelincuencia a menores y a ataques que involucran redes criminales complejas. La recuperación de las pérdidas y la rendición de cuentas dependerán de cómo avance el caso en el juicio y de si las pruebas demuestran que el acusado actuó como parte de la campaña más amplia.
Para los usuarios cotidianos de servicios como TfL, el caso sirve como recordatorio de los peligros de los sistemas digitales cuando son objetivo de la ciberdelincuencia organizada. Los sistemas de transporte dependen de redes interconectadas y proveedores externos, que pueden ofrecer vías para la intrusión. Los especialistas en seguridad insisten en que las organizaciones deben reforzar la segmentación de sistemas, monitorizar comportamientos de inicio de sesión anormales y alertar rápidamente a los usuarios cuando se hayan expuesto datos.
Dada la naturaleza continua del caso, TfL y sus socios siguen instando a la vigilancia entre los clientes. Los pasajeros que reciban comunicaciones no solicitadas que hacen referencia a viajes o datos de contacto deben tratarlos con recelo. El resultado de los procedimientos judiciales será seguido de cerca por expertos en ciberdelitos, actores del sector del transporte y organismos reguladores interesados en cómo los ataques digitales disruptivos pueden llegar a servicios públicos críticos.