El Gobierno del Reino Unido ha actualizado recientemente su postura sobre el riesgo de ciberataques, considerándolos ahora más graves que los ataques químicos, biológicos, radiológicos o nucleares a pequeña escala.
Según el último informe del Registro Nacional de Riesgos (NRR) para 2023, se han asignado puntuaciones de gravedad a varios escenarios que podrían afectar significativamente a la seguridad del Reino Unido a nivel nacional.
A los ciberataques contra las infraestructuras se les proporcionó una calificación de impacto de 3 sobre 5, es decir, “moderado”, junto con riesgos como las fuertes tormentas debidas al cambio climático y los atentados terroristas contra el transporte. Por el contrario, los ataques QBRN a pequeña escala recibieron una calificación de 2 o “limitada”.
Esto representa una escalada en la gravedad desde el informe de 2020, que había clasificado los ciberataques como un riesgo “menor”, causando sólo decenas de millones de libras en daños y afectando a los servicios esenciales durante menos de 12 horas.
Las puntuaciones de 4 o 5 indicaban un impacto “significativo” o “catastrófico”, con riesgos considerados “catastróficos” como pandemias, accidentes nucleares y ataques QBRN a gran escala.
En la última edición, el Gobierno cree ahora que los ciberataques de gran envergadura podrían tener consecuencias mucho más graves, que en algunos casos tardarían meses en recuperarse.
Los ciberataques contra las infraestructuras energéticas británicas, incluidos los sistemas nucleares, el suministro de combustible, los sistemas sanitarios y de asistencia social, el sector del transporte y las telecomunicaciones, se evaluaron en el marco de un amplio análisis gubernamental de las mayores amenazas a las que se enfrenta el Reino Unido.
Los ataques contra infraestructuras nacionales críticas se consideraron tanto desde el punto de vista cibernético como convencional. El informe concluía que un ciberataque sofisticado contra la infraestructura eléctrica podría ser más rápido de remediar que un ataque convencional, pero podría tener un efecto mayor sobre otros servicios críticos.
La amenaza de ciberataques contra infraestructuras nacionales críticas (CNI) ha sido real y se ha visto en varias ocasiones, como el ataque ransomware de REvil contra Colonial Pipeline en 2021. El actual conflicto en Rusia ha llevado al NCSC del Reino Unido a aconsejar a los operadores de CNI que “esperen” ataques de adversarios alineados con Rusia.
Aunque los ciberataques se consideraron de impacto “moderado”, un ataque que provocara el fallo total del Sistema Nacional de Transmisión de Electricidad se consideró “catastrófico” por sus repercusiones en las telecomunicaciones, el agua, el alcantarillado y el combustible.
El gobierno evaluó 89 riesgos que podrían afectar sustancialmente a la seguridad del Reino Unido a nivel nacional como parte de su último NRR, agrupándolos por probabilidad y puntuándolos en función de su gravedad.
La gama completa de grupos de riesgo evaluados en el documento incluía terrorismo, ciberamenazas, amenazas estatales, geográficas y diplomáticas, accidentes y fallos del sistema, peligros naturales y medioambientales, salud humana, animal y vegetal, sociales, conflictos e inestabilidad.
