flores owen18, y Thalha Jubairde 20 años, fueron condenados cada uno a cinco años y medio en el Tribunal de la Corona de Woolwich el jueves 16 de julio de 2026 por el hackeo de 2024 a Transport for London.
El ataque dejó inoperables 148 sistemas TfL y obligó a los 27.000 empleados de la autoridad de transporte a ir a una oficina para restablecer sus contraseñas en persona. Tanto la NCA como la CPS cifran las pérdidas y los costes de recuperación de TfL en 29 millones de libras esterlinas.
Ambos se declararon culpables el 22 de junio de 2026, día en que debía comenzar su juicio. El cargo era el artículo 3ZA de la Ley de uso indebido de computadoras de 1990, el más grave de la ley, y lo admitieron basándose en que fueron imprudentes en cuanto a si causaron o crearon un riesgo significativo de daño grave al bienestar humano.
El CPS dice que se cree que Flowers y Jubair son los primeros piratas informáticos procesados con éxito en virtud de la Sección 3ZA. La NCA considera que el caso es apenas el segundo procesamiento de este tipo. Las dos lecturas pueden ir juntas, una contando los procesamientos iniciados bajo la sección y la otra contando aquellos que terminaron en condena, pero ninguna agencia explica la brecha.
La NCA lo considera el mayor procesamiento por delitos cibernéticos que jamás hayan visto los tribunales del Reino Unido.
La intrusión se produjo del 31 de agosto al 3 de septiembre de 2024. TfL supervisa una media de 9 millones de viajes al día. Dial-a-Ride, el servicio de reservas que lleva a los londinenses vulnerables a recorrer la ciudad, cayó, junto con el canal de pagos digitales y la emisión de tarjetas de viaje en condiciones favorables.
Se cerraron las solicitudes para las tarjetas fotográficas Oyster, las tarjetas de tarifa reducida para niños y jóvenes de Londres. La extensión de la venta de boletos sin contacto disminuyó y los reembolsos aumentaron.
TfL dijo a los clientes que se había accedido a nombres y direcciones de correo electrónico, junto con las direcciones particulares donde los guardaba. Es posible que los datos de reembolso de Oyster también hayan desaparecido, incluidos los números de cuentas bancarias y los códigos de clasificación de unas 5.000 personas.
Sólo ellos dos sabían lo que querían hacer con el acceso, dice el CPS, aunque sus conversaciones sugirieron que borrarían el acceso al salir. De ahí proviene la mayor cifra del caso: la NCA dice que un cierre exitoso de la red podría haber costado a la economía del Reino Unido hasta £56 mil millones, y el CPS sitúa la misma hipótesis en miles de millones. Se mantuvo hipotético, dice el CPS, porque TfL desmanteló su propia red para contenerlos.
Flowers fue arrestado en su casa el 6 de septiembre de 2024, tres días después de que terminara la intrusión de TfL, y la NCA dice que los agentes lo encontraron en medio de un ataque a dos organizaciones de atención médica estadounidenses, SSM Health Care Corporation y Sutter Health.
Los investigadores confiscaron computadoras portátiles, computadoras de torre, discos duros y memorias USB. Una computadora portátil contenía una captura de pantalla de la conectividad de red a la infraestructura de TfL, además de videos que Flowers había grabado de Jubair moviéndose a través de los sistemas de TfL durante el ataque. La pareja estaba enviando mensajes en Telegram mientras sucedía y compartiendo un espacio de trabajo en línea.
Los fiscales demostraron que Flowers había estado conectado al servidor remoto utilizado para lanzar las tres intrusiones, y sus propios dispositivos lo vincularon a las tres. La información que vincula a Jubair con TfL fue descubierta en el extranjero y obtenida con la ayuda de los fiscales allí.
Flowers admitió dos cargos más sobre ataques a la atención médica, una conspiración contra SSM Health y un atentado contra Sutter Health. El CPS dice que amenazó con bloquear esos sistemas, aunque reconoció en chats que “podría matar a una persona de 90 años con soporte vital”. El arresto es lo que lo detuvo.
La NCA describe a ambos hombres como miembros destacados de Scattered Spider, el equipo de extorsión también rastreado como Octo Tempest, UNC3944 y 0ktapus. El CPS es más cuidadoso y dice que los acusados afirmaron en varios momentos ser miembros de un grupo que, según los fiscales, llevó a cabo cientos de ataques entre 2022 y 2025.
El FBI, citado en el anuncio de la NCA, vincula al grupo con extorsión de datos, intercambio de SIM e ingeniería social.
El otro caso de Jubair sigue abierto
Una denuncia revelada en Nueva Jersey en septiembre de 2025 acusa a Jubair de fraude informático, fraude electrónico y conspiraciones de lavado de dinero. La denuncia sitúa el plan en aproximadamente 120 intrusiones en la red y al menos 47 víctimas en Estados Unidos entre mayo de 2022 y septiembre de 2025, con más de 115 millones de dólares pagados en rescates.
Los fiscales también lo ubican en intrusiones en una empresa de infraestructura crítica de EE. UU. y en los tribunales de EE. UU., y alegan que sacó alrededor de $ 8,4 millones en criptomonedas de una billetera de servidor mientras los agentes las confiscaban. Esas son acusaciones que no han sido probadas en los tribunales. El máximo en todos los aspectos es 95 años. Ni el anuncio del Departamento de Justicia ni los comunicados del jueves en el Reino Unido abordan la extradición.
¿Está terminada la Araña Dispersa?
La NCA dice que su acción contra los dos hombres detuvo efectivamente al grupo y cita la evaluación de Microsoft de que los arrestos degradaron materialmente la capacidad del grupo para operar. Al mismo tiempo, permite que otros delincuentes puedan seguir usando la marca.
Scattered Spider no es la única marca a la que le queda vida. En enero, Mandiant rastreó una expansión de la extorsión de la marca ShinyHunters ejecutando el mismo tipo de ingeniería social: llamadas vishing a los empleados, páginas de recolección de credenciales de la marca de la víctima para capturar inicios de sesión SSO y códigos MFA, y luego el propio dispositivo del atacante se inscribió en MFA.
Ni los comunicados escritos de la NCA ni del CPS establecen cómo Flowers y Jubair llegaron por primera vez a TfL. La guía de refuerzo de Google de la misma investigación coloca la solución en un solo lugar: verificar la identidad en el restablecimiento de contraseñas, el registro de dispositivos y los cambios de MFA, los flujos de trabajo manuales a los que estos equipos llaman y hablan.
Paul Foster, que dirige la Unidad Nacional de Delitos Cibernéticos de la NCA, quiere una cosa de todos los demás: llamar a las autoridades lo antes posible. Dice que estas condenas probablemente no se habrían producido si TfL no lo hubiera hecho.
La policía de la ciudad de Londres utilizó la sentencia para ejercer presión en favor de un poder que no tiene. Las Órdenes de Riesgo de Delitos Cibernéticos permitirían a un tribunal restringir los dispositivos, servicios en línea y tecnologías de un individuo en proporción al riesgo que representan.
El comandante Ollie Shaw los describió como una “prisión digital” para los delincuentes. Así que el conjunto de herramientas es lo que era: una pena de prisión, esta vez entregada a dos personas que tenían 17 y 18 años cuando lo hicieron.