El 16 de julio de 2026, el tribunal Woolwich Crown Court condenó a Owen Flowers (18 años) y Talha Jubair (20 años) a cinco años y medio de prisión cada uno por el hackeo de los sistemas de Transport for London (TfL) en septiembre de 2024. El ataque dejó fuera de servicio 148 sistemas del operador de transporte, que gestiona alrededor de 9 millones de viajes al día, y provocó la filtración de datos personales de pasajeros. Según la Crown Prosecution Service (CPS) y la Agencia Nacional contra el Crimen (NCA), los daños y costes de recuperación ascendieron a 29 millones de libras. Según la CPS, este caso se convirtió en la primera condena exitosa en virtud del artículo 3ZA de la Ley de Uso Indebido de Ordenadores de 1990, el tipo más grave previsto en dicha ley.
Cronología del ataque y magnitud del daño
La intrusión se prolongó del 31 de agosto al 3 de septiembre de 2024. En cuatro días, los atacantes alteraron el funcionamiento de servicios críticos del transporte londinense:
- Dial-a-Ride, el servicio de transporte para residentes de Londres con movilidad reducida, quedó fuera de servicio;
- El canal digital de pago del transporte y la emisión de tarjetas de viaje con tarifa reducida dejaron de funcionar;
- Se suspendió la recepción de solicitudes de fototarjetas Oyster para niños y jóvenes;
- La implantación del pago sin contacto se pospuso y la tramitación de reembolsos se ralentizó de forma significativa.
Como informó TfL a los pasajeros, los atacantes obtuvieron acceso a nombres, direcciones de correo electrónico y, en algunos casos, domicilios de los clientes. Para aproximadamente 5.000 personas, según las estimaciones de TfL, podrían haberse visto comprometidos los datos de reembolsos de tarjetas Oyster, incluidos números de cuentas bancarias y códigos de clasificación.
Las consecuencias para la infraestructura interna resultaron no menos graves: los 27.000 empleados de TfL se vieron obligados a acudir físicamente a la oficina para restablecer sus contraseñas. La NCA califica este caso como el mayor proceso penal por ciberdelitos en la historia de los tribunales británicos, si bien no revela la metodología empleada para dicha comparación.
Pruebas y detención
Flowers fue detenido en su domicilio el 6 de septiembre de 2024, tres días después de que concluyera la intrusión en TfL. Según la NCA, en el momento del arresto se encontraba en plena ofensiva contra dos organizaciones sanitarias estadounidenses: SSM Health Care Corporation y Sutter Health. Durante el registro se incautaron portátiles, ordenadores de sobremesa, discos duros y memorias USB. En uno de los portátiles se encontró una captura de pantalla con una conexión a la infraestructura de TfL, así como grabaciones de vídeo en las que Flowers documentaba las acciones de Jubair dentro de los sistemas del operador de transporte.
La pareja coordinaba sus acciones a través de Telegram y de un espacio de trabajo compartido en línea. Los fiscales demostraron que Flowers estaba conectado a un servidor remoto utilizado para lanzar las tres intrusiones. Las pruebas de la implicación de Jubair en el ataque a TfL se obtuvieron en el extranjero con la ayuda de fiscales de otros países.
Flowers admitió además dos acusaciones adicionales: conspiración para atacar a SSM Health e intento de ataque a Sutter Health. Según la CPS, en sus mensajes amenazó con bloquear los sistemas médicos, reconociendo al mismo tiempo que esto «podría matar a algún anciano de 90 años conectado a un aparato de soporte vital». Fue precisamente su detención lo que detuvo ese ataque.
Precedente jurídico: artículo 3ZA
Ambos acusados se declararon culpables el 22 de junio de 2026, el mismo día en que debía comenzar el juicio. La acusación se formuló en virtud del artículo 3ZA de la Ley de Uso Indebido de Ordenadores, el tipo más grave previsto en dicha norma. Los acusados admitieron haber actuado con indiferencia temeraria respecto a si creaban un riesgo significativo de causar graves daños al bienestar de las personas.
Cabe señalar aquí una divergencia en las formulaciones de los dos organismos: la CPS afirma que se trata de la primera condena exitosa en virtud de este artículo, mientras que la NCA califica el caso solo como el segundo proceso de este tipo. Es posible que ambas afirmaciones sean ciertas al mismo tiempo —una podría estar contando los casos iniciados y la otra los concluidos con sentencia—, pero ninguno de los organismos explica la diferencia.
La NCA estima que el daño hipotético derivado de un apagón total de la red de TfL podría haber alcanzado los 56.000 millones de libras para la economía del Reino Unido. Esta cifra se quedó en el terreno de lo hipotético: TfL desconectó por sí mismo su red para contener la amenaza, lo que, según la CPS, evitó el escenario catastrófico. La metodología de cálculo de los 56.000 millones de libras no se ha hecho pública.
Vínculos con Scattered Spider y causa abierta en Estados Unidos
La NCA describe a ambos condenados como miembros destacados del grupo Scattered Spider (también rastreado como Octo Tempest, UNC3944 y 0ktapus). La CPS se expresa con más cautela: los acusados declararon en distintos momentos pertenecer a un grupo que, según los fiscales, perpetró cientos de ataques entre 2022 y 2025. El FBI, citado en el comunicado de la NCA, vincula a la agrupación con extorsión de datos, suplantación de tarjetas SIM e ingeniería social.
Para Jubair, el caso está lejos de haberse cerrado. La denuncia desclasificada en Nueva Jersey en septiembre de 2025 lo acusa de conspiración para cometer fraude informático, fraude electrónico y blanqueo de capitales. Según los fiscales estadounidenses, el esquema abarcó alrededor de 120 intrusiones en redes y al menos 47 víctimas en Estados Unidos entre mayo de 2022 y septiembre de 2025, y el importe total de los rescates pagados superó los 115 millones de dólares. También se le imputa participación en intrusiones en los sistemas de una empresa de infraestructuras críticas de EE. UU. y del sistema judicial estadounidense, así como el traslado de unos 8,4 millones de dólares en criptomoneda desde una cartera de servidor en el momento en que los agentes procedían a su incautación. La pena máxima por todos los cargos presentados en Estados Unidos asciende a 95 años. En ninguno de los documentos publicados se aborda la cuestión de la extradición.
Lecciones para la defensa: la ingeniería social sigue siendo el vector principal
Ni la NCA ni la CPS han revelado cómo obtuvieron exactamente Flowers y Jubair el acceso inicial a TfL. Sin embargo, el contexto aportado por la investigación de Mandiant sobre la expansión de ShinyHunters apunta al arsenal típico de este tipo de grupos: voice phishing (vishing) con llamadas a empleados, páginas falsas de captura de credenciales con la imagen de marca de la víctima, interceptación de inicios de sesión SSO y de códigos de autenticación multifactor y, a continuación, el registro del propio dispositivo del atacante para superar la MFA.
La guía de Google para reforzar la protección reduce la recomendación clave a un único principio: verificación de identidad en los procesos de restablecimiento de contraseñas, registro de dispositivos y cambios en la configuración de la MFA, precisamente aquellos procedimientos manuales a través de los cuales estos grupos penetran en los sistemas mediante ingeniería social.
La NCA también destaca que estas condenas probablemente no se habrían producido si TfL no se hubiera dirigido a las fuerzas del orden en una fase temprana del incidente. Paralelamente, la policía de la City de Londres aprovechó la emisión de la sentencia para promover la idea de las «órdenes de riesgo cibernético»: restricciones judiciales al uso de dispositivos y servicios en línea por parte de los condenados, que el comandante Ollie Shaw calificó de «prisión digital». La policía aún no dispone de tales competencias.
El caso de TfL ilustra dos verdades prácticas. Primera: las organizaciones de infraestructuras críticas deben implantar una verificación estricta de identidad en todos los procedimientos de gestión de credenciales —restablecimiento de contraseñas, registro de dispositivos, modificación de la MFA—, ya que son precisamente estos puntos de entrada «manuales» los que explotan grupos del nivel de Scattered Spider. Segunda: recurrir de forma temprana a las fuerzas del orden al detectar una intrusión no solo ayuda a contener los daños, sino que, como ha demostrado este caso, crea una base probatoria para llevar a los atacantes ante la justicia, hasta el punto de posibilitar su detención en el mismo momento de ejecutar el siguiente ataque.