Dieciséis horas, retransmitidas en directo, en los últimos días de agosto

Entre el 31 de agosto y el 3 de septiembre de 2024, dos adolescentes desmontaron el parque tecnológico del organismo que mueve Londres, y retransmitieron parte del trabajo en directo mientras lo hacían. El 16 de julio, en el Woolwich Crown Court, el magistrado Turner condenó a Owen Flowers, de 18 años, natural de Walsall, y a Thalha Jubair, de 20, del barrio de Bow, en el este de Londres, a cinco años y seis meses cada uno, una pena que ya incorpora una reducción del 15 por ciento por las declaraciones de culpabilidad que presentaron en junio. Ambos fueron procesados por su papel en la intrusión en Transport for London, el organismo responsable del metro, los autobuses y las carreteras que usan millones de personas cada día.

La National Crime Agency no describió esto como un caso corriente. Paul Foster, subdirector de la agencia británica contra la delincuencia organizada, lo llamó la mayor causa por cibercrimen jamás llevada ante los tribunales del Reino Unido, y presentó al grupo que hay detrás como la amenaza de cibercrimen más significativa para el país. Los dos se sitúan dentro de la red difusa que los investigadores etiquetan como Scattered Spider, el mismo entramado asociado al ataque contra MGM Resorts en 2023 y a la oleada que golpeó a los minoristas británicos en 2025. A Jubair se le acusa, por sí solo, de haber comprometido 120 redes pertenecientes a 47 organizaciones de Estados Unidos, una actividad vinculada a más de 115 millones de dólares en pagos de rescate.

Lo que hace que el caso merezca una hora de atención de cualquier operador no es la condena. Es la aritmética que hay debajo. TfL no pagó ningún rescate. No hubo pago de extorsión, ni negociación, ni transferencia de criptomonedas a un grupo que ya había demostrado que podía entrar. La organización se negó, se recuperó, y aun así se anotó una factura de unos 29 millones de libras, unos 33 millones de euros. Esa cifra es el precio honesto de este ataque, y es la cifra que corresponde a su propia planificación, porque es lo que ocurre cuando la respuesta a la exigencia es no.

No forzaron la puerta. Llamaron al servicio de asistencia

La vía de entrada no tuvo ningún componente exótico. Los atacantes adquirieron credenciales parciales en foros criminales, ese tipo de material fragmentario que se acumula tras años de brechas sin relación entre sí y que cuesta muy poco. Las credenciales parciales no son acceso. Lo que las convirtió en acceso fue el paso siguiente: phishing e ingeniería social dirigidos a personas, y un servicio de asistencia al que se pudo persuadir para restablecer la autenticación multifactor después de que uno de los atacantes se hiciera pasar por un empleado. El segundo factor hizo aquello para lo que se diseñó. Sencillamente lo entregó el proceso que existe para ayudar al personal que se ha quedado fuera.

Esta es la parte incómoda, porque el control que falló no aparece en ningún diagrama de arquitectura. Las organizaciones compran autenticación multifactor y después anotan el riesgo como tratado. El riesgo residual vive en la ruta de recuperación, y la ruta de recuperación es un ser humano bajo presión de tiempo cuyo trabajo consiste en ser servicial, al que se juzga por la rapidez con la que vacía la cola, y que no tiene ninguna forma fiable de demostrar que la voz angustiada al otro lado del teléfono pertenece al nombre que figura en el ticket. Todo sistema de identidad endurecido del mundo se entrega con una vía de excepción, y esa vía la atiende alguien a quien se mide por la velocidad.

El análisis forense muestra un caso construido con cosas corrientes antes que ingeniosas. Un portátil Acer que pertenecía a Flowers guardaba registros de acceso a infraestructura remota, vídeos y capturas de pantalla del propio ataque, hojas de cálculo con credenciales de empleados de TfL y registros de pagos en criptomoneda que coincidían con pedidos de comida a domicilio enviados a su propia dirección. La misma máquina llevaba artefactos que enlazaban con intrusiones en los proveedores sanitarios estadounidenses SSM Health y Sutter Health. Las personas que le costaron 29 millones de libras a una autoridad de transporte estaban pidiendo la cena al piso desde el que lo hacían.

Veintiocho mil personas, una cola, ningún atajo

Aquí es donde se fue realmente el dinero. Unos 28.000 empleados de TfL tuvieron que presentarse en una oficina en persona para que otro ser humano que pudiera verles la cara les restableciera la contraseña. No un enlace por correo. No un portal de autoservicio. No una llamada al servicio de asistencia, porque el servicio de asistencia era precisamente aquello de lo que se había abusado. Cuando el propio sistema de identidad es sospechoso, todos los canales remotos para demostrar quién es usted heredan la sospecha, y el único instrumento que queda y que un atacante no puede falsificar a escala es la presencia física. Ese es el motor del coste, y es un problema de logística con una etiqueta de ciberseguridad.

Haga la aritmética en su propia organización, porque es implacable y nadie la hace por adelantado. Tome su plantilla. Divídala entre el número de personas que podría identificar en persona de forma realista por hora, en todas las sedes que opera, un día en el que sus sistemas están caídos y no puede hacer llegar las instrucciones a su personal por correo. Ese cociente es su tiempo de recuperación, y no se acorta porque haya comprado un producto mejor. Los 148 sistemas afectados de TfL eran el alcance técnico. Veintiocho mil identidades eran el alcance operativo, y la segunda cifra es la que fijó la factura.

La secuela de cara al cliente se prolongó mucho más que la intrusión. El ataque en sí abarcó tres días a finales de agosto. La emisión de abonos de transporte con fotografía no volvió hasta el 4 de diciembre de 2024, más de tres meses después, junto a interrupciones en los inicios de sesión de las cuentas, los portales de clientes, las aplicaciones de terceros conectadas y las máquinas expendedoras de billetes. Siete millones de usuarios vieron expuesta su información. Una intrusión medida en días produjo una interrupción del servicio medida en meses, y cualquier consejo de administración que razone sobre el tiempo de caída a partir de la duración del ataque está leyendo el extremo equivocado de la cronología.

Apenas la segunda condena de este tipo

El detalle jurídico importa más de lo que parece. Flowers y Jubair fueron condenados en virtud de la Section 3ZA de la Computer Misuse Act de 1990, la ley británica sobre uso indebido informático, la disposición reservada a los actos no autorizados que causan, o crean el riesgo de causar, un daño grave de carácter material. Es apenas la segunda condena obtenida jamás al amparo de esa sección. Durante 35 años la ley ha producido sobre todo acusaciones por acceso no autorizado y por menoscabo; el inciso del daño grave ha estado cerca de lo teórico. Ahora es demostrablemente utilizable, y se ha utilizado en un ataque contra el transporte y no contra un hospital o una central eléctrica.

Léalo como una señal sobre dónde creen los fiscales británicos que está la línea. La Section 3ZA existe para las consecuencias sobre el mundo físico y sobre la vida nacional, y una red de transporte público cumplió el requisito. Cualquier operador cuyo fallo interrumpa el funcionamiento normal de una ciudad debería asumir que el mismo razonamiento se aplica a un ataque contra él, lo que apunta en una dirección útil: el Estado trata ahora una intrusión en esa clase de infraestructura como un delito de daño grave, y está dispuesto a dedicar años a construir el caso que lo demuestra.

También fija un marcador sobre la disuasión que los propietarios deberían leer con honestidad. Cinco años y medio por 29 millones de libras en daños y siete millones de registros expuestos es una condena real, que llega casi dos años después del ataque, contra dos personas de una red que siguió operando todo ese tiempo. El proceso penal es una consecuencia, no un control. Castiga a quienes lo hicieron mucho después de que su recuperación haya terminado y su dinero esté gastado, y nada en esta sentencia habría acortado la cola de TfL ni una sola hora.

Cuatro preguntas para su propio servicio de asistencia esta semana

¿Puede su servicio de asistencia restablecer la autenticación multifactor con la sola fuerza de una llamada telefónica? Si la respuesta es sí, usted tiene la vulnerabilidad de TfL, cueste lo que cueste su pila de seguridad. El arreglo es procedimental antes que técnico: exija una vía de verificación que quien llama no pueda aportar a partir de fragmentos robados, como la confirmación a través de un responsable por un canal de confianza conocido, un cotejo por vídeo con el expediente de personal, o la presencia física para las cuentas privilegiadas. Es más lento y el personal se quejará. Esa queja es el control funcionando.

¿Cuánto tarda usted en volver a identificar a todo el mundo? Haga la división. Si la respuesta es más de quince días, decida ahora qué funciones se restablecen primero, porque el día en que ocurra hará ese triaje con prisa y con un directivo encima. Escriba el orden mientras todo está tranquilo y es aburrido, y guárdelo en algún sitio que sobreviva a la pérdida de los sistemas que describe.

¿Qué se rompe para sus clientes, y durante cuánto tiempo después de que usted esté limpio? La recuperación interna de TfL y su recuperación pública fueron sucesos distintos, separados por tres meses. Identifique los procesos que tocan a los clientes y dependen de datos que tendría que reconstruir o volver a verificar, y valórelos aparte de su restauración técnica. Ahí es donde vive el daño reputacional, y donde la cifra deja de parecer un coste de TI y empieza a parecerse a los ingresos.