TL;DR:

• Thalha Jubair (20) y Owen Flowers (18) se declararon culpables por el ciberataque de 2024 contra Transport for London.
• El ataque costó unos £29 millones (cerca de 38 millones de dólares) y obligó al reinicio presencial de contraseñas de 28,000 empleados.
• Jubair, pieza de Scattered Spider, también enfrenta cargos en Estados Unidos por una ola de intrusiones que extorsionó al menos 115 millones de dólares.

Dos jóvenes británicos se declararon culpables esta semana en el Reino Unido por el ciberataque que en 2024 dejó fuera de combate a buena parte de los sistemas de Transport for London (TfL), el organismo que opera el transporte público de Londres. Thalha Jubair, de 20 años, y Owen Flowers, de 18, admitieron haber conspirado para comprometer la red informática de TfL y haber generado riesgo de daño grave al bienestar humano. Ambos eran piezas del colectivo cibercriminal Scattered Spider. El cambio de declaración llegó el 22 de junio, el primer día de un juicio que se esperaba durara unas seis semanas. El ataque costó alrededor de £29 millones (unos 38 millones de dólares) en pérdidas y costos de recuperación, y forzó a los 28,000 empleados del organismo a restablecer sus contraseñas de forma presencial.

Los dos debían sentarse en el banquillo del Tribunal de la Corona de Woolwich, en Londres, el 22 de junio. En lugar de pelear el caso, cambiaron su declaración apenas arrancó el proceso. La sentencia quedó fijada para el 16 de julio.

Jubair, de East London, y Flowers, de Walsall, reconocieron haber ejecutado accesos no autorizados contra la infraestructura de TfL. Flowers fue más lejos: admitió también su papel en una conspiración para hackear a dos proveedores de salud estadounidenses, SSM Health Care Corporation y Sutter Health, en septiembre de 2024. Ese detalle pesa, porque vincular un ataque con servicios sanitarios es lo que eleva los cargos al terreno del "riesgo para el bienestar humano".

El golpe paralizó un servicio del que dependen millones

La infiltración ocurrió entre el 31 de agosto y el 3 de septiembre de 2024 y se sintió durante días. Esto fue lo que dejó a su paso:

• Reinicio presencial de contraseñas para los 28,000 empleados de TfL.
• Acceso a datos del sistema de reembolsos de Oyster, la tarjeta de transporte londinense.
• Retrasos en los reembolsos a clientes, que se quedaron sin su dinero más tiempo del habitual.
• Cierre del sistema de solicitudes de tarjetas Oyster para niños y jóvenes.
• Robo confirmado de datos de clientes, admitido por la propia TfL.

Entre las pruebas que sostuvieron el caso, los investigadores hallaron en el domicilio de Flowers una laptop Acer con una captura que mostraba conexión a la infraestructura de TfL, rastros de acceso a un mercado de credenciales robadas y videos en los que se ve a Jubair entrando a los sistemas durante el ataque. Los dos se coordinaban por Telegram y por una plataforma de trabajo compartido mientras operaban.

"El cibercrimen puede parecer sin rostro y distante frente a otros tipos de delito, pero la infiltración de los sistemas de TfL demuestra que tiene consecuencias en el mundo real e impacta enormemente al público", dijo Paul Foster, subdirector y jefe de la Unidad Nacional contra el Cibercrimen de la NCA.

Foster subrayó otro punto que las autoridades repiten como consejo: el resultado fue posible porque TfL acudió temprano a la policía. La agencia describió la pesquisa como larga, compleja y minuciosa, e insistió en que cualquier organización golpeada debería hacer lo mismo en lugar de gestionar la crisis en silencio.

Jubair también está en la mira de Estados Unidos

Scattered Spider no es una banda cualquiera. El colectivo —jóvenes de habla inglesa repartidos entre Reino Unido y Estados Unidos— se hizo un nombre con ataques a las cadenas británicas Marks & Spencer, Harrods y Co-op, y antes con el asalto de 2023 a los casinos de MGM Resorts y Caesars Entertainment en Las Vegas. Su sello no es el malware sofisticado, sino el engaño: llamadas falsas al soporte técnico, robo de credenciales y secuestro de números telefónicos.

Jubair carga, además, con un expediente abierto al otro lado del Atlántico. En septiembre de 2025, fiscales de Nueva Jersey revelaron una acusación que lo liga —junto a otros integrantes del grupo— con cerca de 120 intrusiones a redes de 47 entidades estadounidenses entre 2022 y 2025. Según ese expediente, las víctimas pagaron al menos 115 millones de dólares en rescates. Los cargos en su contra: fraude informático, fraude electrónico y lavado de dinero, una combinación que en territorio estadounidense puede sumar décadas de cárcel.

No fue el único que cayó. En abril de 2026, el británico Tyler Buchanan se declaró culpable de conspiración para fraude electrónico y robo de identidad agravado. Y en agosto de 2025, el estadounidense Noah Michael Urban recibió 10 años de prisión federal y la orden de pagar 13 millones de dólares en restitución. La cacería contra el grupo avanza pieza por pieza.

Por qué esto le importa a cualquier empresa, también en español

El caso de TfL deja una moraleja que se exporta sin fricción. Scattered Spider casi nunca rompe un firewall: convence a alguien de abrir la puerta. Llaman al help desk haciéndose pasar por un empleado bloqueado, saturan al usuario con notificaciones de doble factor hasta que aprueba una por agotamiento, o transfieren un número de celular a una SIM propia para interceptar los códigos de un solo uso.

Para las empresas de México, España y América Latina, el mensaje es directo: la defensa más cara del mundo no sirve de nada si el área de soporte restablece una contraseña sin verificar a quién tiene del otro lado de la línea. La identidad —no el antivirus— se volvió el verdadero perímetro, y la capacitación del personal pesa tanto como cualquier software de seguridad.

Jubair y Flowers conocerán su condena el 16 de julio. Pero el rastro que dejaron dibuja el perfil que las autoridades vienen señalando como advertencia: atacantes jóvenes, angloparlantes y caseros, capaces de frenar un sistema de transporte entero con poco más que una llamada bien actuada.

Fuentes: 1, 2, 3