✨︎ Resumen (TL;DR):
- Thalha Jubair y Owen Flowers admitieron su responsabilidad en el hackeo contra Transport for London.
- La intrusión costó 29 millones de libras y obligó a 28,000 empleados a cambiar contraseñas de forma presencial.
- Jubair también enfrenta un proceso judicial en Estados Unidos por extorsiones de 115 millones de dólares.
Dos integrantes de la banda cibernética Scattered Spider se declararon culpables en el Reino Unido por el ciberataque de 2024 contra Transport for London (TfL). El incidente paralizó los sistemas del transporte público de Londres y generó millonarios costos de recuperación.
Thalha Jubair, de 20 años, y Owen Flowers, de 18, aceptaron su culpabilidad en el Tribunal de la Corona de Woolwich. Los jóvenes reconocieron su participación en la conspiración para comprometer la red informática de la red de transporte.
La fiscalía confirmó que el ataque provocó pérdidas de 29 millones de libras (unos 38 millones de dólares). La intrusión afectó el sistema de reembolsos de la tarjeta de transporte Oyster y expuso datos confidenciales de miles de usuarios.
El impacto real y el método de ataque
Scattered Spider es un colectivo de cibercriminales de habla inglesa que se especializa en el robo de credenciales mediante ingeniería social. En lugar de desarrollar malware sofisticado, este grupo engaña a los empleados para obtener accesos.
Para infiltrar a TfL, los atacantes utilizaron tácticas de suplantación de identidad. El ataque forzó a la organización a exigir que sus 28,000 empleados restablecieran sus contraseñas en persona.
Las autoridades británicas localizaron en el domicilio de Flowers una computadora con capturas de pantalla de la red de TfL. El subdirector de la Unidad Nacional contra el Cibercrimen de la NCA, Paul Foster, señaló que “el cibercrimen tiene consecuencias en el mundo real e impacta enormemente al público”.
La cacería internacional de la banda
Flowers también admitió haber atacado a los proveedores de salud estadounidenses SSM Health Care Corporation y Sutter Health. Esta acción elevó la gravedad de los cargos debido al peligro que representa para los pacientes.
Por su parte, Jubair enfrenta acusaciones en Nueva Jersey por conspirar en cerca de 120 hackeos a empresas estadounidenses. Ese expediente registra extorsiones que superan los 115 millones de dólares en pagos de rescates.
Ambos jóvenes conocerán su sentencia definitiva el próximo 16 de julio de 2026.
