Las autoridades encargadas de hacer cumplir la ley en el Reino Unido arrestaron a dos miembros adolescentes del Araña dispersa grupo de hackers en relación con su presunta participación en un ciberataque de agosto de 2024 contra Transport for London (TfL), la agencia de transporte público de la ciudad.
Thalha Jubair (también conocido como EarthToStar, Brad, Austin y @autistic), de 19 años, del este de Londres, y Owen Flowers, de 18, de Walsall, West Midlands, fueron arrestados en sus domicilios el martes, según la Agencia Nacional del Crimen (NCA). Tienen 19 y 18 años, respectivamente.
Vale la pena señalar que Flowers fue arrestado inicialmente por su presunta participación en el ataque de TfL en septiembre de 2024, pero posteriormente fue puesto en libertad bajo fianza. La agencia dijo que había encontrado pruebas de que Flowers tenía como objetivo a empresas sanitarias estadounidenses y que también había sido acusado de conspirar con otras personas para infiltrarse en las redes de SSM Health Care Corporation y Sutter Health y dañar las redes de SSM Health.
Jubair también ha sido acusado en virtud de la Ley de Regulación de los Poderes de Investigación (RIPA) de 2000 por no entregar los PIN y contraseñas de los dispositivos que le confiscaron las fuerzas del orden el 19 de marzo de 2025.
«Este ataque causó importantes trastornos y pérdidas millonarias a TfL, que forma parte de la infraestructura nacional crítica del Reino Unido», dijo el subdirector Paul Foster, jefe de la Unidad Nacional de Ciberdelincuencia de la NCA, dijo . «A principios de este año, la NCA advirtió sobre un aumento de la amenaza de los ciberdelincuentes con sede en el Reino Unido y otros países de habla inglesa, de los que Scattered Spider es un claro ejemplo».
Paralelamente, el Departamento de Justicia de los Estados Unidos (DoJ) dio a conocer una denuncia en la que acusaba a Jubair de conspiraciones para cometer fraude informático, fraude electrónico y lavado de dinero en relación con al menos 120 intrusiones en redes informáticas y de extorsionar a 47 entidades estadounidenses entre mayo de 2022 y septiembre de 2025.
Estos ataques implicaron el uso de técnicas de ingeniería social para obtener acceso no autorizado a las redes objetivo y, luego, aprovechar ese acceso para robar y cifrar información y exigir un rescate a las víctimas a cambio de recuperar el control y evitar la filtración de los datos filtrados.
Según la denuncia, las víctimas pagaron al menos 115 millones de dólares en concepto de rescate. Los incidentes, agregó el Departamento de Justicia, causaron trastornos generalizados en las empresas y organizaciones estadounidenses, incluidas las infraestructuras críticas y el sistema judicial federal, en octubre de 2024 y enero de 2025.
En julio de 2024, el Departamento de Justicia dijo que las fuerzas del orden incautaron carteras de criptomonedas en un servidor supuestamente controlado por Jubair y confiscaron activos digitales por un valor aproximado de 36 millones de dólares en ese momento. También se dice que Jubair transfirió una parte de las ganancias procedentes de una de las víctimas, por un valor aproximado de 8,4 millones de dólares en ese momento, a otra cartera.
Jubair ha sido acusado de conspiración de fraude informático, dos cargos de fraude informático, conspiración de fraude electrónico, dos cargos de fraude electrónico y conspiración de lavado de dinero. Si es declarado culpable, se enfrenta a una pena máxima de 95 años de prisión.
«Jubair hizo todo lo posible para mantenerse en el anonimato mientras él y sus socios delictivos seguían atacando a estas víctimas y extorsionando con decenas de millones de dólares para pagar rescates». dijo Alina Habba, fiscal federal interina y fiscal especial para el Distrito de Nueva Jersey.