TL;DR:
- El Tribunal de la Corona de Woolwich sentenció a Owen Flowers (18) y Thalha Jubair (20) a cinco años y seis meses de prisión cada uno; ambos se declararon culpables el 22 de junio, el día en que iba a arrancar su juicio.
- El ataque dejó 148 sistemas inoperables y costó 29 millones de libras (unos 39 millones de dólares) en reparación, más otros 10 millones que TfL reclama en ingresos perdidos. Ningún tren ni autobús dejó de circular.
- La NCA lo llama la mayor causa penal por cibercrimen de la historia británica y sostiene que los arrestos frenaron la actividad de Scattered Spider, con el respaldo de una evaluación de Microsoft. Jubair todavía enfrenta cargos en Estados Unidos.
Dos jóvenes británicos que entraron a la red de Transport for London cuando tenían 17 y 18 años pasarán cinco años y seis meses en prisión. El juez Mark Turner dictó la sentencia este 16 de julio de 2026 en el Tribunal de la Corona de Woolwich contra Owen Flowers, hoy de 18 años, y Thalha Jubair, de 20, que se declararon culpables el 22 de junio, el día en que iba a arrancar su juicio. La National Crime Agency (NCA) la describe como la mayor causa penal por delitos informáticos jamás llevada ante los tribunales del Reino Unido. Ningún tren dejó de circular por el ataque de 2024, pero costó 29 millones de libras (unos 39 millones de dólares) en reparación y dejó 148 sistemas inoperables.
Flowers, de Walsall, y Jubair, del este de Londres, mantuvieron el acceso a la red de TfL del 31 de agosto al 3 de septiembre de 2024. Trabajaron hasta 16 horas seguidas: Jubair desde el departamento de sus padres, Flowers desde la casa de su abuela, según reportó Reuters desde el tribunal.
Y se grabaron haciéndolo. Jubair transmitió en vivo su propio ataque mientras Flowers lo miraba; la NCA encontró esos videos en la laptop de Flowers cuando lo detuvieron, junto con una captura de pantalla que mostraba la conexión con la infraestructura de TfL. La prueba central del caso se la entregaron ellos mismos.
"Estoy convencido de que sus acciones estuvieron motivadas principalmente por una bravuconería egoísta", dijo el juez Mark Turner al dictar sentencia, en una audiencia que se transmitió por televisión.
Turner añadió que actuaron sin importarles las consecuencias para terceros. El tribunal pesó como atenuantes la juventud de ambos y un diagnóstico de neurodivergencia, y como agravante su alto nivel de pericia técnica: sabían perfectamente lo que estaban tocando, según reportó Infosecurity Magazine.
Un help desk convencido por teléfono abrió la puerta
Aquí está la parte que debería incomodar a cualquier CTO. La entrada no vino de una vulnerabilidad de día cero ni de malware exótico. La fiscalía explicó ante el tribunal que la pareja consiguió credenciales parciales de empleados de TfL en mercados y foros criminales conocidos, y desde ahí trabajó al teléfono hasta convencer al soporte técnico de resetear una contraseña. Un alto mando de la NCA le detalló a Infosecurity Magazine que hicieron falta varios intentos hasta lograr también el reseteo del doble factor de autenticación, y que después escalaron privilegios dentro de la red.
Una vez adentro se conectaron a Microsoft Azure y, según le describió la fiscalía al tribunal, empezaron a usar los propios sistemas de TfL para hackear a TfL. Terminaron con el nivel de acceso más privilegiado de la organización, lo que el fiscal Mark Fenhalls KC llamó tener las llaves del reino.
Esto es lo que quedó tocado, según la NCA y la Fiscalía de la Corona británica (CPS):
- El sistema de reembolsos de la Oyster card, del que se extrajeron datos.
- Las solicitudes de Oyster photocard para niños y jóvenes, que se cerraron por completo.
- Dial-a-Ride, el servicio de transporte que TfL reserva a personas con discapacidad.
- Las tarjetas de viaje con descuento y el canal de pagos digitales.
- Los tiempos de llegada en vivo que alimentan apps como TfL Go y Citymapper.
- El calendario de expansión del ticketing contactless, que se retrasó.
Los 27,000 empleados de TfL tuvieron que presentarse físicamente en una oficina para cambiar su contraseña. Y cuando la organización entendió el tamaño del acceso que tenían los intrusos, hizo lo único que le quedaba.
"TfL efectivamente le sacó el enchufe a sus propios sistemas", dijo el fiscal Mark Fenhalls KC ante el tribunal. Desconectar toda la conectividad a internet, explicó, era lo único que podían hacer en ese momento para eliminar la amenaza y evitar una catástrofe.

29 millones de libras reales contra 56,000 millones que no ocurrieron
La cifra oficial de la NCA es de 29 millones de libras en pérdidas y costos de recuperación. TfL reclama además 10 millones en ingresos que dejó de percibir, según Infosecurity Magazine, y reparar el daño tomó seis meses, de acuerdo con Reuters.
Pero la agencia quiere que se lea otro número. Si el ataque hubiera logrado tumbar la red de transporte, el costo para la economía británica podía haber llegado a 56,000 millones de libras. Ese escenario estuvo sobre la mesa: la CPS reveló que en los chats entre los dos se planteó destruir el acceso a los servidores antes de salir. El fiscal jefe Lionel Idan lo puso en perspectiva al recordar que TfL gestiona un promedio de 9 millones de viajes diarios y que la reacción de la propia organización fue lo que evitó el desastre.
Se estima que el incidente afectó a entre siete y 10 millones de personas en el Reino Unido.
"Scattered Spider" es más un patrón de conducta que un grupo
En el juicio salió una precisión que casi no llegó a los titulares. La fiscalía dijo el miércoles que el nombre Scattered Spider lo acuñó una firma de ciberseguridad y que, para los fiscales, describe más un patrón de conducta que un grupo con estructura definida, aunque Jubair y Flowers sí afirmaron tener vínculos con él, según reportó Reuters. La CPS señala que a ese nombre se le atribuyen cientos de ciberataques entre 2022 y 2025.
La NCA sí lo trata como un colectivo, y sostiene que su acción contra los dos frenó de hecho su actividad criminal. No lo dice sola: Microsoft confirmó, según la agencia, que los arrestos degradaron de forma material la capacidad del grupo para seguir operando. La misma NCA admite el matiz que importa: otros criminales pueden seguir usando la marca ya dañada.
"Los cibercriminales no son anónimos, no están fuera del alcance de la ley", dijo Paul Foster, subdirector y jefe de la Unidad Nacional de Cibercrimen de la NCA.
Los expedientes que esta sentencia no cierra
Jubair no termina aquí. El Departamento de Justicia de Estados Unidos lo acusó en septiembre de 2025 de conspiración para cometer fraude informático, lavado de dinero y fraude electrónico por al menos 120 intrusiones de red entre mayo de 2022 y septiembre de 2025. Documentos judiciales citados por BleepingComputer señalan que él y sus cómplices extorsionaron más de 115 millones de dólares a víctimas de todo el mundo entre agosto de 2024 y julio de 2025.
Tampoco era su primera vez ante un juez británico. Fue condenado en 2023 por hackear y extorsionar a Nvidia como parte del grupo Lapsus$, según Reuters, y acumula 22 delitos previos que incluyen hackeos a particulares, a empresas de telecomunicaciones y al sistema de la Policía de la City de Londres, escuchó el tribunal.
Flowers siguió intentándolo incluso encerrado. Fenhalls dijo que sus dispositivos mostraban búsquedas e intentos de acceso a dominios ligados a la CPS y a la propia prisión donde estaba detenido. Y tres días después de salir de TfL, el 6 de septiembre de 2024, la policía lo agarró en el acto mientras atacaba a dos proveedores de salud estadounidenses sin fines de lucro, SSM Health Care Corporation y Sutter Health. La CPS reveló el detalle más frío del expediente: Flowers amenazó con bloquear esos sistemas aunque reconoció en sus chats que eso "podría matar a algún anciano de 90 años conectado a un respirador".
Los dos se declararon culpables bajo la Sección 3ZA de la Computer Misuse Act de 1990, el apartado más grave de la ley británica de delitos informáticos: aplica cuando el acto no autorizado causa, o crea un riesgo significativo de causar, daños serios, y el autor lo pretende o actúa con imprudencia temeraria. La CPS cree que son los primeros hackers procesados con éxito bajo ese artículo.
Preguntas rápidas sobre el ciberataque a TfL
¿Cuánto costó el ciberataque a Transport for London?
La National Crime Agency cifra en 29 millones de libras (unos 39 millones de dólares) las pérdidas y costos de recuperación, y TfL reclama otros 10 millones en ingresos perdidos, según Infosecurity Magazine. Reparar el daño tomó seis meses. La NCA calcula que tumbar la red habría costado hasta 56,000 millones de libras a la economía británica.
¿Qué es Scattered Spider?
Es el nombre que una firma de ciberseguridad le puso a un colectivo criminal en línea formado sobre todo por jóvenes angloparlantes, ligado a ataques contra MGM, Okta, Marks & Spencer y Co-op. La fiscalía británica dijo en el juicio que describe más un patrón de conducta que un grupo con estructura definida, según Reuters.
¿Se interrumpió el servicio del metro de Londres durante el ataque?
No. Trenes, autobuses y tranvías siguieron circulando: el incidente no tocó directamente el sistema de transporte, según Infosecurity Magazine. El daño se concentró en los sistemas internos y de cara al cliente de TfL, como los reembolsos de Oyster, Dial-a-Ride y los tiempos de llegada en vivo, que tardaron meses en normalizarse.
Flowers tenía 17 años y operaba desde la casa de su abuela cuando ayudó a dejar inservibles 148 sistemas de la autoridad de transporte de una capital europea. Las dos cosas que lo hicieron posible, un soporte técnico que aceptó resetear un factor de autenticación y un adolescente captado en línea, no se resuelven comprando más software. Tras la sentencia, Foster lo planteó como un problema compartido entre padres, educadores, empresas tecnológicas y policías.