Tribunal del Reino Unido condena a dos hombres por ciberataque significativo a la red de transporte de Londres

TFL ambassadors display poems at a gathering to celebrate 40 years of 'Poems on the Underground' in London, Friday, 30 Jan., 2026. (AP Photo/Kirsty Wigglesworth)

TfL, which was forced to reset passwords for about 27,000 staff members, estimated the cyberattack caused approximately £29 million (€34 million) in damages and an additional £10 million (€11.7 million) in revenue losses.

On Thursday, a UK court handed prison sentences to two young men convicted of a 2024 cyberattack targeting London’s public transport authority, an incident that compromised personal information of millions and stood as one of the largest data breaches in the UK.

ADVERTISEMENT ADVERTISEMENT

Thalha Jubair, 20, from East London, and Owen Flowers, 18, from the West Midlands, each received sentences of five and a half years at Woolwich Crown Court in London.

Both admitted last month to infiltrating Transport for London’s (TfL) system between 31 August and 3 September 2024, accessing approximately seven million customers’ names and contact information.

«Two individuals have been sentenced for orchestrating a cyberattack on Transport for London, which resulted in tens of millions of pounds in damages and affected thousands of users,» stated the City of London Police on X.

Judge Mark Turner noted that while the attack did not disrupt transport operations, certain TfL systems remained offline for three months, leading to losses close to £25 million (€29.3 million).

Turner described the incident as causing «very serious» disruptions, driven mainly by «self-serving bravado».

¿Cómo lograron los hackers infiltrarse en la red de TfL?

Según el fiscal Mark Fenhalls, los acusados accedieron a la red de transporte empleando credenciales de empleados de TfL que obtuvieron en “russianmarket”, un mercado oscuro en la web dedicado a la venta de accesos robados.

Trabajaron durante 16 horas continuas, comunicándose por la aplicación Telegram durante toda la noche, tras persuadir al servicio de soporte para que reiniciara la contraseña de un empleado.

Durante el ataque, los jóvenes exploraron la red para obtener historiales de viaje de celebridades y trataron de acceder a la información de pago de clientes.

Al conseguir privilegios mayores en varios días, los hackers llegaron a tener «las llaves del reino», lo que les otorgó «control total sobre la red», explicó Fenhalls.

Durante la intrusión, Flowers expresó a Jubair que «el gobierno merece ser hackeado», mientras TfL y las autoridades, que descubrieron el ataque el 1 de septiembre de 2024, tardaron varios días en retomar el control del sistema.

«Experimentados y talentosos»

Ambos estuvieron vinculados a Scattered Spider, un grupo delictivo cibernético sospechoso de múltiples ataques de alto perfil, incluidos los dirigidos a minoristas británicos, como Marks & Spencer y Co-op.

Fueron arrestados en septiembre de 2025 tras una investigación de la National Crime Agency (NCA); los fiscales describieron a los acusados como hackers «experimentados y talentosos» conocidos por la policía desde hacía años.

Flowers también admitió haber hackeado proveedores de salud estadounidenses, como Sutter Health y SSM Health Care Corporation. Durante la redada en su casa el 6 de septiembre de 2024 relacionada con la investigación de TfL, la NCA lo encontró realizando esos ataques.

Por su parte, Jubair había sido condenado previamente como menor por ataques cibernéticos contra el fabricante estadounidense de chips Nvidia y también reconoció haber hackeado a la City of London Police.

Scroll al inicio