Dos adolescentes, cientos de hackeos: un arresto frena la ola de ataques de extorsión

Las autoridades del Reino Unido detuvieron a dos adolescentes sospechosos de participar en un ciberataque contra la autoridad de transporte de Londres (TfL) que ocurrió en agosto de 2024. Las detenciones son el resultado de una investigación internacional relacionada con la actividad del grupo conocido como Scattered Spider, famoso por ataques dirigidos a grandes organizaciones mediante ingeniería social y ransomware.

La Agencia Nacional contra el Crimen (NCA) informó que los detenidos son Talha Jubair, de 19 años (conocido por los alias EarthtoStar, Brad, Austin y @autistic) del este de Londres, y Owen Flowers, de 18 años, de Walsall, en el condado de West Midlands. Ambos fueron arrestados en sus domicilios el 17 de septiembre de 2025.

Flowers había sido arrestado anteriormente en relación con las intrusiones en los sistemas de TfL en septiembre de 2024, pero fue puesto en libertad bajo fianza. Ahora se le imputan formalmente cargos por conspiración para acceder de forma no autorizada a redes y dañarlas respecto de dos instituciones médicas estadounidenses: SSM Health Care Corporation y Sutter Health. Tras los registros, la policía halló pruebas de su implicación en ataques contra organizaciones en EE. UU., incluidas empresas del sector sanitario.

Jubair, a su vez, está acusado bajo la ley británica RIPA (Ley de Regulación de los Poderes de Investigación de 2000) por negarse a facilitar los códigos PIN y las contraseñas de los dispositivos incautados durante un registro realizado el 19 de marzo de 2025.

Como señaló el responsable de la unidad nacional de cibercrimen de la NCA, Paul Foster, el ataque causó a TfL «daños significativos» y pérdidas por millones de libras, constituyendo una amenaza para la infraestructura nacional crítica del Reino Unido. Subrayó que la agencia ya había advertido a principios de 2025 sobre la creciente actividad de hackers con base en países anglófonos, entre los que destaca especialmente Scattered Spider.

Paralelamente a las acciones de las autoridades británicas, el Departamento de Justicia de EE. UU. (DOJ) publicó una acusación contra Talha Jubair. Se le imputa haber participado en al menos 120 intrusiones en redes informáticas y en el chantaje a 47 organizaciones estadounidenses entre mayo de 2022 y septiembre de 2025. Según esos documentos, el grupo empleó técnicas de ingeniería social para acceder a sistemas corporativos, tras lo cual robaban datos, cifraban el contenido y exigían rescates para restaurar el acceso y evitar la difusión de la información.

Según las autoridades estadounidenses, las víctimas pagaron a los atacantes por lo menos 115 millones de dólares en rescates. Los ataques afectaron a un amplio abanico de organizaciones, incluidas infraestructuras críticas e incluso el sistema judicial federal, que sufrió incidencias en octubre de 2024 y enero de 2025.

En julio de 2024, en el marco de la investigación se incautaron criptocarteras en un servidor presuntamente controlado por Jubair. En ellas había activos digitales por valor de alrededor de 36 millones de dólares. También se determinó que transfirió 8,4 millones de dólares obtenidos de uno de los ataques a otra cartera, posiblemente para ocultar rastros.

A Jubair se le han presentado cargos en seis delitos: conspiración para cometer fraude informático, dos episodios separados de intrusión, conspiración para cometer fraude mediante medios electrónicos y blanqueo de capitales. Si se le declara culpable, enfrenta hasta 95 años de prisión.

Como señaló la fiscal interina de EE. UU. para el distrito de Nueva Jersey, Alina Habba, Jubair hizo grandes esfuerzos para mantener el anonimato mientras, junto con sus cómplices, seguía atacando organizaciones y extorsionándolas por decenas de millones de dólares.