Condenados a 5,5 años dos hackers por el ataque de 29 millones a TfL
Publicado el
Condena a hackers por el ciberataque a TfL
Owen Flowers, de 18 años, y Thalha Jubair, de 20, han sido condenados a 5,5 años de prisión en el Tribunal de Woolwich por su participación en un ataque cibernético contra Transport for London (TfL) en 2024. Este ataque causó la inoperatividad de 148 sistemas de TfL y obligó a más de 27,000 empleados a restablecer sus contraseñas de manera presencial.
La National Crime Agency (NCA) y la Crown Prosecution Service (CPS) estiman que los daños y los costes de recuperación ascendieron a 29 millones de libras. Ambos acusados se declararon culpables el 22 de junio de 2026, justo antes del inicio de su juicio, bajo la sección 3ZA de la Computer Misuse Act 1990, la cual es considerada la más grave en este ámbito. Aceptaron haber actuado de manera imprudente, con un riesgo significativo de causar daños a la seguridad pública.
Impacto del ataque
El ataque tuvo lugar entre el 31 de agosto y el 3 de septiembre de 2024, afectando a un sistema que gestiona un promedio de 9 millones de trayectos diarios. Servicios críticos como Dial-a-Ride, que ayuda a los ciudadanos vulnerables de Londres, se vieron interrumpidos, así como los canales de pago digitales y la emisión de tarjetas de viaje con descuento. Además, se cerraron las solicitudes para las Oyster photocards, que benefician a niños y jóvenes de la ciudad.
TfL notificó que se habían accedido a nombres y direcciones de correo electrónico, así como a domicilios, y advirtió que datos de reembolsos de Oyster, incluyendo detalles bancarios de aproximadamente 5,000 personas, podrían estar comprometidos. Se estima que un cierre exitoso de la red podría haber costado a la economía del Reino Unido hasta 56 mil millones de libras.
Detenciones y pruebas
Flowers fue arrestado en su domicilio el 6 de septiembre de 2024, tres días después de la finalización del ataque. Durante su detención, la NCA halló que estaba atacando a dos organizaciones de salud en Estados Unidos, SSM Health Care Corporation y Sutter Health. Las fuerzas del orden confiscaron una serie de dispositivos, incluyendo ordenadores portátiles y discos duros, que contenían pruebas del ataque a TfL, así como grabaciones de Flowers y Jubair interactuando con los sistemas durante la intrusión.
Los mensajes intercambiados a través de Telegram durante el ataque y su uso de un espacio de trabajo en línea fueron claves para establecer su culpabilidad. También se descubrió que Flowers había amenazado con cerrar los sistemas de salud, reconociendo el riesgo que esto implicaba para pacientes vulnerables.
Scattered Spider y futuros riesgos
Ambos acusados son descritos como miembros destacados de Scattered Spider, un grupo de extorsión conocido también como Octo Tempest y 0ktapus. La CPS señaló que este caso es considerado una de las principales acciones judiciales contra el cibercrimen en el Reino Unido. Aunque se ha detenido a Flowers y Jubair, la NCA advierte que otros criminales pueden seguir operando bajo el mismo nombre.
Por otro lado, Jubair enfrenta cargos adicionales en Estados Unidos relacionados con fraudes informáticos, que implican múltiples intrusiones y un esquema de lavado de dinero que podría haber generado más de 115 millones de dólares en rescates.
La NCA ha declarado que las detenciones de estos dos hackers han debilitado significativamente la capacidad operativa de Scattered Spider, aunque la amenaza de ciberataques sigue latente, con otros grupos adoptando tácticas similares en el panorama del cibercrimen.