El colectivo de ciberdelincuentes Scatter Spider, uno de los más notorios de los últimos años, vuelve a ser noticia. Dos adolescentes del Reino Unido, Owen Flowers (18 años, de Walsall) y Thalha Jubair (19 años, del este de Londres), han sido arrestados por las autoridades británicas bajo sospecha de haber participado en el ciberataque de agosto de 2024 contra Transport for London (TfL), así como en ofensivas posteriores contra compañías de atención médica en Estados Unidos.
Los jóvenes comparecieron ante el Tribunal de Magistrados de Westminster, enfrentando cargos relacionados con el uso indebido de computadoras, fraude y conspiración para ataques cibernéticos. El caso subraya cómo el reclutamiento de adolescentes en grupos criminales digitales se ha convertido en un fenómeno en aumento, y plantea serias preocupaciones sobre la escalada de la ciberdelincuencia a nivel global.
La implicación de Owen Flowers y Thalha Jubair
Las investigaciones de la Agencia Nacional del Crimen del Reino Unido (NCA) revelaron que Flowers ya había sido arrestado en septiembre de 2024 por su presunta participación en el ataque a TfL, aunque fue liberado bajo fianza. Sin embargo, nuevas pruebas lo vinculan directamente a ofensivas contra hospitales en Estados Unidos, incluyendo SSM Health Care Corporation y Sutter Health, dos de las redes médicas más importantes del país.
Por su parte, Jubair enfrenta acusaciones del Departamento de Justicia de EE. UU. (DoJ), que lo señala como parte de una conspiración para fraude informático, fraude electrónico y lavado de dinero. Según documentos judiciales del Distrito de Nueva Jersey, el joven habría participado en al menos 120 ataques de extorsión y brechas de red entre mayo de 2022 y septiembre de 2025, afectando a 47 organizaciones estadounidenses y generando 115 millones de dólares en pagos de rescate.
El ataque a Transport for London
El 2 de septiembre de 2024, Transport for London confirmó públicamente que había sido víctima de un ciberataque a gran escala. Inicialmente, TfL aseguró que no había evidencias de que los datos de los clientes se hubieran visto comprometidos. Sin embargo, investigaciones posteriores revelaron que información sensible como nombres, direcciones y datos de contacto sí había sido filtrada.
Aunque el ataque no interrumpió los sistemas de transporte subterráneo ni terrestre, causó fallas en plataformas internas, servicios en línea y retrasos en la tramitación de reembolsos, lo que generó pérdidas millonarias. Dada la magnitud de sus operaciones —TfL atiende a más de 8,4 millones de londinenses a través de sus redes de metro, buses y Crossrail—, el impacto fue considerado un riesgo para la infraestructura crítica del Reino Unido.
Scatter Spider y su historial delictivo
El grupo Scatter Spider, conocido también por su relación con campañas de ransomware y extorsión digital, ha sido señalado como responsable de múltiples ataques contra empresas de alto perfil. En julio de 2025, la NCA arrestó a otros cuatro presuntos miembros del colectivo, vinculados a ciberataques contra grandes minoristas británicos como Marks & Spencer, Harrods y Co-op.
Según la NCA, Scatter Spider se caracteriza por:
-
Utilizar ingeniería social avanzada para infiltrarse en redes corporativas.
-
Realizar ataques de ransomware y robo de datos para luego extorsionar a las víctimas.
-
Reclutar jóvenes con habilidades digitales en Reino Unido y otros países de habla inglesa.
-
Generar pérdidas multimillonarias para empresas e instituciones públicas.
Paul Foster, subdirector de la NCA y jefe de la Unidad Nacional de Delitos Cibernéticos, advirtió:
“Este ataque causó una interrupción significativa y pérdidas millonarias a TfL, parte de la infraestructura nacional crítica del Reino Unido. Scatter Spider es un claro ejemplo del aumento de la amenaza de ciberdelincuentes jóvenes y altamente organizados”.
El papel del Departamento de Justicia de EE. UU.
El Departamento de Justicia estadounidense ha intensificado su cooperación con las autoridades británicas para procesar a los acusados. La acusación contra Jubair describe un patrón de ataques sostenidos contra infraestructuras sanitarias, tecnológicas y financieras, con un impacto global.
Los documentos judiciales confirman que parte de las operaciones de Scatter Spider estuvieron motivadas por la extorsión mediante ransomware, obligando a las víctimas a pagar sumas millonarias para evitar la publicación de datos robados. Este modelo criminal, además de lucrativo, ha demostrado ser difícil de erradicar debido a la naturaleza descentralizada y transnacional del grupo.
Ataques previos contra TfL y el sector transporte
No es la primera vez que Transport for London se enfrenta a un incidente de ciberseguridad. En mayo de 2023, la organización fue víctima de la brecha global de MOVEit, cuando la banda de ransomware Clop robó datos de más de 13.000 clientes a través de un proveedor externo de transferencia de archivos.
Estos antecedentes muestran que el transporte público es un objetivo recurrente para grupos de ransomware, debido a la criticidad de sus operaciones y la gran cantidad de datos sensibles que gestionan.
En fin…
El arresto de Owen Flowers y Thalha Jubair representa un avance significativo en la lucha contra Scatter Spider, pero también evidencia la creciente participación de adolescentes en el cibercrimen internacional. El caso de TfL y las acusaciones del DoJ refuerzan la urgencia de fortalecer la cooperación internacional en ciberseguridad y la protección de infraestructuras críticas.
El incidente también envía un mensaje claro: las organizaciones públicas y privadas deben reforzar sus estrategias de ciberdefensa, implementar protocolos de respuesta a incidentes y adoptar un enfoque de seguridad proactiva, ya que los ataques seguirán evolucionando y buscando nuevas formas de explotación.
Fuente: Bleeping Computer
