Los dos jóvenes declarados culpables del ciberataque que paralizó Transport for London (TfL) en 2024 ya eran conocidos por las fuerzas de seguridad británicas desde años antes de perpetrar el ataque, según ha revelado una investigación de la BBC. Owen Flowers, de 18 años y originario de Walsall, y Thalha Jubair, de 20 años, del este de Londres, se declararon culpables el pasado lunes de llevar a cabo el ataque, que durante meses perturbó los servicios de transporte de la capital británica, expuso los datos personales de millones de usuarios y obligó a los 28.000 empleados de TfL a restablecer sus contraseñas de forma presencial.
El caso, que ha puesto en cuestión la eficacia de los mecanismos de intervención temprana con jóvenes cibercriminales, expone un patrón de reincidencia que las autoridades no lograron frenar a tiempo. Flowers llamó la atención de la policía poco después de cumplir los 16 años. En octubre de 2023, fue sorprendido cometiendo delitos cibernéticos de bajo nivel y recibió la visita de agentes de prevención de la Unidad Regional de Ciberdelincuencia de West Midlands. Según la policía, el joven no colaboró con los oficiales y recibió una orden de cesar y desistir. Aunque existía la posibilidad de inscribirlo en el programa nacional Cyber Choices, diseñado para redirigir a los jóvenes alejados de la ciberdelincuencia, las autoridades lo consideraron no apto porque ya estaba siendo investigado por otro delito y mostraba resistencia a cooperar.
Apenas unos meses después, Flowers, que vivía con su abuela, fue escalando en la comisión de ciberdelitos cada vez más graves como integrante del colectivo Scattered Spider, una organización poco estructurada de jóvenes cibercriminales angloparlantes vinculada a decenas de ataques, incluidos los perpetrados contra los minoristas Marks & Spencer y Co-op. El joven fue finalmente detenido el 16 de septiembre de 2024 en relación con el ataque a TfL, que había comenzado el 31 de agosto anterior. Durante el registro, los investigadores confiscaron varios dispositivos de su habitación, incluidos portátiles, ordenadores de sobremesa, discos duros y memorias USB, y descubrieron tenencias de criptomonedas valoradas en millones de libras. La investigación destapó además que los sistemas informáticos de dos organizaciones sanitarias estadounidenses, SSM Health y Sutter Health, también habían sido vulnerados.
Por su parte, Jubair tampoco era un desconocido para las fuerzas de seguridad. En 2023, cuando aún era menor de edad, recibió una Orden de Rehabilitación Juvenil por ciberdelitos vinculados al grupo de hackers Lapsus$, que atacó a grandes compañías como Nvidia y BT/EE. Jubair acumula un total de 22 condenas previas y comenzó a delinquir a los 14 años. Además, es buscado en Estados Unidos por ciberdelitos relacionados con el robo y la extorsión de 87 millones de dólares (unos 66,1 millones de libras) a víctimas.
El caso ha reabierto el debate sobre las herramientas legales con las que cuentan las autoridades británicas para hacer frente a jóvenes ciberdelincuentes reincidentes. Paul Foster, director adjunto de la Agencia Nacional del Crimen (NCA) y jefe de su Unidad Nacional de Ciberdelincuencia, calificó el caso como un ejemplo de los desafíos que plantea un pequeño número de ofensores altamente capacitados y pidió poderes legales más fuertes, como las denominadas Cyber Crime Risk Orders (CCROs), anunciadas por el Gobierno británico como parte de la reforma de la Ley de Uso Indebido de Ordenadores. Estas órdenes permitirían a la policía y a los tribunales imponer restricciones a personas consideradas de alto riesgo antes de que cometan nuevos ataques graves.
Expertos como el profesor Peter Sommer, testigo pericial en el caso Lapsus$, subrayan que estos jóvenes "ya saben que están en problemas con la ley, pero siguen cometiendo delitos incluso bajo vigilancia" y parecen no comprender las consecuencias reales de sus actos, que afectan a víctimas que pierden ahorros de toda una vida, así como a corporaciones y sus empleados. Tanto Jubair como Flowers han sido diagnosticados con autismo, y el tribunal también ha tenido en cuenta que Jubair padece depresión y un trastorno grave del estado de ánimo, factores que previsiblemente influirán en la sentencia, prevista para el 16 de julio. Flowers, mientras tanto, sigue siendo buscado en Estados Unidos y ha incumplido en dos ocasiones las condiciones de su libertad bajo fianza, en marzo y mayo de 2025.
El episodio pone de relieve una laguna preocupante en la respuesta institucional: cuando los sistemas preventivos fallan y los delitos se suceden, las herramientas legales disponibles resultan a menudo insuficientes para interrumpir la trayectoria de los jóvenes ciberdelincuentes antes de que causen daños de gran escala.
