Dos miembros del grupo de ciberdelincuencia Scattered Spider han sido condenados a cinco años y medio de prisión por llevar a cabo el ciberataque de 2024 contra Transport for London (TfL), una intrusión que interrumpió los servicios, expuso datos de clientes y resultó en unos costes estimados de recuperación de 29 millones de libras (39 millones de dólares). Thalha Jubair, de 20 años, y Owen Flowers, de 18, fueron sentenciados en el Tribunal de la Corte de Woolwich tras haberse declarado culpables previamente de delitos bajo la Ley de Uso Indebido de Ordenadores del Reino Unido.
Según los fiscales, ambos comprometieron los sistemas de TfL entre el 31 de agosto y el 3 de septiembre de 2024, utilizando técnicas de ingeniería social para acceder a la red interna de la organización. Los investigadores afirmaron que los hackers obtuvieron amplios privilegios dentro del entorno, lo que les permitió acceder a sistemas sensibles antes de que TfL cerrara partes de su infraestructura para detener el ataque.
La brecha interrumpió varios servicios digitales utilizados por la red de transporte público de Londres. Los clientes experimentaron problemas con los servicios de tarjetas Oyster, cuentas online y reservas de Llamada a Paseo, mientras que miles de empleados se vieron obligados a restablecer sus credenciales. Las autoridades también confirmaron que la información personal perteneciente a miles de clientes fue comprometida durante el incidente.
Las pruebas presentadas en el tribunal mostraron que Jubair retransmitió en directo partes del ataque mientras Flowers observaba de forma remota, con grabaciones recuperadas posteriormente por los investigadores. Los fiscales dijeron que los dos hackers pasaron largas horas realizando la intrusión desde sus hogares familiares y que podrían haber causado una perturbación aún mayor si TfL no hubiera desconectado los sistemas afectados de su red.
Flowers también admitió haber realizado ciberataques separados dirigidos a organizaciones sanitarias estadounidenses SSM Health y Sutter Health. Los fiscales dijeron que los investigadores recuperaron pruebas adicionales que lo vinculan con esas intrusiones, incluyendo grabaciones y datos encontrados en dispositivos electrónicos incautados.
La Agencia Nacional contra el Crimen describió el caso como una de las investigaciones de ciberdelitos más complejas realizadas en el Reino Unido. Las autoridades dijeron que la fiscalía demuestra que las personas implicadas en ciberataques de alto perfil pueden ser identificadas y llevadas ante los tribunales, incluso cuando operan como parte de grupos de hackers poco organizados como Scattered Spider.
