Jóvenes hackers que retransmitieron en directo un ciberataque contra TfL fueron encarcelados.

Dos hombres que llevaron a cabo un ciberataque que paralizó el servicio de transporte de Londres (TfL) cuando eran adolescentes han sido condenados a cinco años y seis meses de prisión cada uno.

Owen Flowers, de 18 años y natural de Walsall, y Thalha Jubair, de 20 años y natural del este de Londres, se declararon culpables en junio de haber perpetrado el ciberataque en 2024.

Se les describió como solitarios obsesionados con la informática que llevaron a cabo el ataque informático como parte del colectivo de ciberdelincuentes conocido como Scattered Spider.

El ciberataque interrumpió los servicios en línea de TfL durante meses, robó los datos personales de millones de personas y obligó a los 27.000 empleados de TfL a restablecer sus contraseñas en persona.

El Tribunal de la Corona de Woolwich escuchó que los delincuentes transmitieron en línea su ciberataque, que duró 16 horas.

La Agencia Nacional contra el Crimen (NCA, por sus siglas en inglés) afirmó que el auge de los jóvenes hackers en el Reino Unido constituye una de las mayores amenazas para la ciberseguridad del país.

Flowers tenía 17 años y Jubair 18 cuando piratearon el sistema de la autoridad de transporte de la capital a las 17:00 del 31 de agosto.

Los mensajes de Telegram intercambiados entre ambos mostraban cómo alardeaban de haber accedido a la base de datos de TfL de personas con tarjetas Oyster.

Los adolescentes buscaron entonces en la lista los datos personales de famosos londinenses, antes de intentar acceder a sus datos bancarios.

«Scattered Spider está creando telarañas en el metro de Londres», bromearía Flowers más tarde, refiriéndose al grupo poco coordinado de jóvenes hackers de habla inglesa.

El grupo ha sido vinculado a docenas de otros ciberataques, incluidos los dirigidos a las cadenas minoristas Marks and Spencer y Co-op.

En los últimos dos años, jóvenes y adolescentes han sido arrestados por ataques informáticos mediante el método Scattered Spider en el Reino Unido, Estados Unidos y Finlandia.

Suplantar la identidad de un empleado

El ciberataque a TfL supuso el robo de datos de millones de clientes en una oleada que comenzó un sábado por la noche para maximizar las posibilidades de que el personal no los descubriera.

Tal y como ha revelado la BBC , la base de datos sigue circulando entre grupos delictivos y contiene los datos de hasta 10 millones de clientes de TfL.

Jubair y Flowers, ambos con autismo, obtuvieron acceso a los datos engañando a un empleado del servicio de atención telefónica.

Convencieron a la persona para que restableciera la contraseña de un empleado al que estaban suplantando.

La NCA alertó a TfL sobre la brecha de seguridad y trabajó para expulsar a los piratas informáticos, pero no antes de que los delincuentes obtuvieran los datos de millones de personas.

La autoridad de transporte afirmó que el ciberataque podría haber causado una interrupción generalizada si su equipo informático no hubiera detenido a los piratas informáticos cerrando la sesión de todo el personal y, finalmente, desconectando los sistemas de TfL de Internet.

En total, 148 sistemas tecnológicos quedaron inoperativos y se interrumpieron gravemente servicios como el de transporte a demanda, utilizado por personas discapacitadas y vulnerables en Londres.

Transport for London (TfL) afirma que el ciberataque le costó 29 millones de libras (cifra revisada a la baja desde los 39 millones de libras anteriores).

El Tribunal de la Corona de Woolwich escuchó que ambos hombres eran solitarios, tenían pocos amigos fuera de internet y pasaban la mayor parte del tiempo conectados a internet sin supervisión.

Boceto judicial de Pensilvania de dos hombres con cabello largo y gafas. Uno lleva una camiseta blanca y el otro una chaqueta oscura.Pensilvania
Flowers (izquierda) y Thalha Jubair se declararon culpables ante el tribunal el lunes.

Según la policía, Flowers rara vez salía de su casa y pasaba la mayor parte del tiempo en su habitación usando su ordenador.

Tal y como ya reveló la BBC , en octubre de 2023, poco después de cumplir 16 años, recibió una orden de cese y desistimiento por delitos cibernéticos menores.

Unos meses más tarde, el adolescente, que vivía con su abuela y su tío, cometió una serie de delitos informáticos.

Flowers fue finalmente arrestado en septiembre de 2024 en relación con el ataque a TfL.

El vídeo de su detención muestra al adolescente riendo mientras lo ponen bajo custodia.

Durante la redada, los investigadores sorprendieron a Flowers en el acto de piratear los sistemas de dos proveedores de atención médica estadounidenses.

Los mensajes que envió mostraban que bromeaba sobre la posibilidad de que los hackers «mataran a un hombre de 90 años conectado a un respirador artificial».

Se declaró culpable de los delitos relacionados con esos ataques informáticos, así como del ciberataque contra TfL.

La policía también incautó criptomonedas por un valor aproximado de 1 millón de libras esterlinas.

Aunque se dice que Flowers y Jubair acumularon millones de libras en criptomonedas robadas o obtenidas mediante rescates, la policía afirma que sus motivos probablemente tenían más que ver con la notoriedad en línea que con el beneficio económico.

Al igual que Flowers, Jubair era conocido por la policía desde hacía años.

Joven británico-bangladesí sosteniendo el teléfono en alto, cubriéndose la cara.
Jubair tiene antecedentes de delitos cibernéticos.

El tribunal escuchó que el hijo único recibió su primer ordenador portátil a los 10 años de edad de sus padres, quienes eran sus cuidadores y se habían mudado a Londres desde Bangladesh.

Aprendió a programar y, a los 13 años, ya había empezado a interactuar con delincuentes en línea.

Fue arrestado por primera vez en febrero de 2021, a la edad de 14 años.

En 2023, siendo aún menor de edad, recibió una Orden de Rehabilitación Juvenil por piratear con el grupo de ciberdelincuencia Lapsus$, que tenía como objetivo a importantes empresas como Nvidia y BT.

Debido a que era menor de 18 años, su identidad no pudo ser revelada en ese momento.

Jubair tiene 22 condenas previas relacionadas con piratería informática, fraude y acoso.

Su equipo de defensa alegó ante el tribunal que el adolescente, solitario y con tendencias suicidas, había sido víctima de manipulación por parte de ciberdelincuentes mayores.

También se le busca en Estados Unidos en relación con delitos cibernéticos contra 47 víctimas residentes en ese país, que supuestamente resultaron en el pago de 115 millones de dólares en rescates a Jubair y sus asociados.

Jubair se convirtió en un hacker de alto perfil en la comunidad de ciberdelincuencia de habla inglesa conocida como The Com.

Pero un desacuerdo provocó que sus datos personales e imágenes fueran filtrados en línea por hackers rivales.

Algunos de los vídeos muestran a Jubair aparentemente retenido como rehén y golpeado, pero hay indicios de que todo fue un montaje orquestado por el adinerado criminal.

Muchos yacían en el suelo con una bolsa sobre la cabeza y otro hombre con el pie sobre la espalda.
En internet circularon vídeos e imágenes que mostraban a Jubair siendo aparentemente atacado físicamente por otros hackers.

El Tribunal de la Corona de Woolwich escuchó que, mientras estaban en prisión a la espera de juicio, tanto Jubair como Flowers fueron descubiertos en posesión de teléfonos móviles de contrabando.

Los mensajes recuperados muestran que los hombres seguían discutiendo y coordinando futuros ciberataques.

Tras la sentencia, el subdirector de la NCA, Paul Foster, jefe de su Unidad Nacional de Delitos Cibernéticos, afirmó que el caso ponía de manifiesto los retos que plantean los piratas informáticos nacionales.

«El mundo en línea puede exponer a los jóvenes a influencias nocivas y a comunidades criminales mucho más allá de su entorno inmediato», afirmó.

«Padres, tutores, educadores, empresas tecnológicas y fuerzas del orden, toda la sociedad, todos tenemos un papel que desempeñar para ayudar a mantener a los jóvenes seguros en Internet.»

Afirmó que Scattered Spider había quedado «gravemente perjudicada y desorganizada» como resultado de las detenciones, pero la analista de ciberseguridad Allison Nixon dijo que eso no disuadiría a los jóvenes de cometer delitos cibernéticos.

«Los responsables políticos deben abordar esto como un problema de pandillas juveniles violentas, con una cultura de pandillas que idolatra la destrucción de la sociedad y la maximización del daño a las víctimas», dijo.

Deja un comentario