Dos adolescentes tumbaron el metro de Londres con una sola llamada — la lección para LATAM

Pantalla de código con texto de seguridad cibernética y fondo oscuro
Dos adolescentes lograron infiltrarse en los sistemas críticos del metro de Londres usando solo ingeniería social — ni un solo exploit avanzado.

El 31 de agosto de 2024, dos adolescentes encendieron sus computadoras en sus habitaciones en Inglaterra. Cuando se fueron a dormir, 16 horas después, habían paralizado el sistema de transporte más importante del Reino Unido y robado los datos de 10 millones de personas.

Owen Flowers tenía 17 años. Thalha Jubair tenía 18. Ambos fueron sentenciados esta semana a cinco años y medio de prisión. Pero su historia no es solo un caso más de hackers adolescentes — es la demostración más brutal de que la seguridad digital de las grandes instituciones es un castillo de naipes.

No hicieron falta exploits de élite

La mayoría de la gente imagina un ciberataque como algo sacado de Mr. Robot: código parpadeando en pantallas verdes, algoritmos imposibles, vulnerabilidades de día cero. La realidad es mucho más aburrida — y mucho más aterradora.

Flowers y Jubair llamaron por teléfono al servicio de asistencia de TfL. Se hicieron pasar por un empleado. Convencieron al operador de que reseteara la contraseña. Y con esa única contraseña entraron a todo el sistema.

Eso es todo. Una llamada telefónica. 16 horas después, tenían acceso a la base de datos de millones de tarjetas Oyster, los datos personales de los pasajeros, y los sistemas críticos del metro londinense.

Incluso transmitieron en vivo el ataque mientras ocurría, como si fuera un videojuego. "Scattered Spider está tejiendo telarañas en el metro de Londres", bromeó Flowers en Telegram.

No eran genios — eran niños solitarios

La prensa usa la palabra "hacker" y la gente piensa en criminales de película. Pero el tribunal los describió como "solitarios obsesionados con la computadora", ambos con autismo, que pasaban casi todo su tiempo en línea sin supervisión.

Flowers rara vez salía de su casa. Vivía con su abuela y su tío. Cuando la policía allanó su habitación en septiembre de 2024, lo encontraron en el acto — hackeando dos centros de salud en Estados Unidos.

Los mensajes que envió durante esos ataques son escalofriantes: bromeaba sobre "matar a un anciano con soporte vital" si los hospitales perdían el acceso a sus sistemas.

Cuando lo arrestaron, se rió. Las imágenes policiales lo muestran sonriendo mientras lo esposaban.

El costo real: £29 millones y la confianza

TfL gastó £29 millones (unos $37 millones de dólares) para recuperarse del ataque. 148 sistemas quedaron inoperables. El servicio Dial-a-Ride, usado por pasajeros discapacitados y vulnerables, quedó gravemente afectado.

Los 27,000 empleados de TfL tuvieron que resetear sus contraseñas en persona — uno por uno — porque el sistema de autogestión estaba caído.

Y la base de datos con los datos de hasta 10 millones de clientes todavía se está compartiendo en grupos criminales, según reveló la BBC.

Todo por una llamada telefónica que un operador de help desk contestó un sábado por la noche.

3 lecciones que te pueden salvar

La historia de Flowers y Jubair no es única. Scattered Spider, el grupo criminal al que pertenecían, ha sido vinculado a docenas de ataques similares en Reino Unido, Estados Unidos y Finlandia. Han hackeado a Marks & Spencer, al supermercado Co-op, y a decenas de empresas más.

La pregunta que deberías hacerte no es "¿cómo lo hicieron?" sino "¿cómo evito que me pase a mí?". Aquí van 3 lecciones prácticas:

1. La ingeniería social es el 90% de los ataques reales. No importa cuánto inviertas en firewalls si un empleado con acceso puede ser engañado por teléfono. Implementa verificación en dos pasos para todos los cambios de contraseña: llamada de vuelta, código por SMS, aprobación de un supervisor.

2. Separa los sistemas críticos. Si un solo acceso te da la base de datos de clientes, los sistemas operativos y las cuentas de empleados, tu arquitectura de seguridad está mal diseñada. El principio de mínimo privilegio no es un lujo — es una necesidad.

3. El factor humano es tu eslabón más débil. Flowers y Jubair no rompieron un cifrado — rompieron la confianza de un empleado que solo quería hacer su trabajo. Capacita a tu personal para detectar llamadas sospechosas, verificar identidades y saber cuándo decir "no".

Lo que LATAM debería aprender (y rápido)

En Latinoamérica, la digitalización de servicios públicos avanza a toda velocidad. Subways, metros, sistemas de pago, registros civiles — todo está migrando a la nube. Y en la mayoría de los casos, la seguridad es una ocurrencia tardía.

El caso de TfL no ocurrió en Venezuela o Argentina — ocurrió en Londres, una de las ciudades más ricas y tecnológicamente avanzadas del mundo. Si a ellos les pasó, ¿qué posibilidades tenemos nosotros?

La respuesta corta: las mismas. Porque el método no cambia según el país. La ingeniería social funciona igual en español que en inglés. Y los sistemas mal configurados se ven igual en Buenos Aires que en Birmingham.

La moraleja incómoda

Flowers y Jubair pasarán 5 años y medio en prisión. La policía les incautó alrededor de £1 millón en criptomonedas. Pero el daño — los datos de 10 millones de personas flotando en foros criminales — es irreversible.

El verdadero problema no son dos adolescentes en sus habitaciones. El problema es que las instituciones siguen confiando en que "nadie va a llamar". Y cada día hay más adolescentes con tiempo libre, una computadora y la voluntad de intentarlo.

Comparte esto si crees que tu banco, tu municipio o tu operador de telefonía no están tomando la ciberseguridad tan en serio como deberían. Y la próxima vez que recibas una llamada de "soporte técnico", pregúntate: ¿qué tan seguro estás de que es quien dice ser?