Dos británicos se declaran culpables del ciberataque de 39 millones a Transport for London

Fuentes: Two Britons plead guilty to £39m 2024 cyber-attack on Transport for London

Thalha Jubair, de 20 años, y Owen Flowers, de 18, se declararon culpables el lunes en la Crown Court de Woolwich de cargos contemplados en la Ley de Abuso Informático por el ciberataque contra Transport for London (TfL) perpetrado entre el 29 de agosto y el 3 de septiembre de 2024. El ataque, que costó 39 millones de libras, afectó a 10 millones de usuarios y dejó sin servicio en directo la información de llegadas del metro en la app TfL Go y la web, además de impedir pagos con Oyster y tarjetas sin contacto y el registro de tarjetas Oyster. TfL tuvo que comunicar por correo electrónico a más de 7 millones de clientes que sus datos podrían haber sido sustraídos.

La Agencia Nacional del Crimen (NCA) identificó a ambos como miembros del colectivo de hackers Scattered Spider, un grupo anglófono sospechoso de múltiples ataques en los últimos años. Flowers, de Walsall, admitió además cargos por intrusión informática en las sanitarias estadounidenses SSM Health Care Corporation y Sutter Health, cometidas en torno al 6 de septiembre de 2024. Jubair, de Bow (este de Londres), acumula 22 condenas previas, incluidas 13 por fraude, y ya había sido condenado con 17 años por hackeos a BT, EE y Nvidia. La Justicia estadounidense le atribuye además su participación en ciberataques contra 47 organizaciones de EE. UU. que habrían generado más de 100 millones de dólares en rescates. La investigación halló dispositivos en el domicilio de Flowers con capturas que mostraban conexión a la infraestructura de TfL y vídeos de Jubair accediendo a los sistemas durante el ataque. Ambos, diagnosticados con autismo, quedaron en prisión preventiva a la espera de la sentencia, prevista para el 15 de julio.