En 2023, el equipo de seguridad de un banco europeo de tamaño medio detectó indicios de un ataque de ransomware a las 2 de la mañana. Tenían un plan de respuesta a incidentes documentado. Lo que no tenían era claridad sobre quién autorizaba aislar los sistemas de producción, cómo notificar al regulador en el plazo legal, o qué decirle a los clientes mientras la operación estaba comprometida. El plan existía. Nadie lo había practicado nunca.
Las decisiones más costosas de ese incidente no fueron técnicas. Fueron las horas perdidas coordinando una respuesta que debería haber sido automática.
Los simulacros de ciberseguridad existen precisamente para que esas decisiones no se tomen por primera vez durante el incidente real.
Qué revela un simulacro que un plan no puede
Un plan de respuesta a incidentes bien documentado responde a la pregunta de qué hacer. Un simulacro responde a algo más difícil: quién lo hace, con qué información disponible, en cuánto tiempo, y cómo se comporta el equipo cuando las señales son ambiguas y la presión es alta.
Los tres hallazgos más frecuentes en ejercicios de simulación son siempre los mismos, independientemente del tamaño o madurez de la organización. Primero, los canales de comunicación fallan: el equipo técnico no sabe cómo comunicarle el impacto a dirección en términos de negocio, y dirección no sabe qué preguntar para tomar decisiones. Segundo, los umbrales de escalación son ambiguos: nadie tiene claro a partir de qué severidad se notifica al CEO, cuándo entra legal, o cuándo se activa el seguro de ciberseguridad. Tercero, los roles se superponen o quedan vacíos: en escenarios de alta presión, varios miembros del equipo toman las mismas decisiones simultáneamente mientras otras decisiones no las toma nadie.
Ninguno de esos problemas es visible en el organigrama. Todos son visibles en un simulacro de dos horas.
Los tres formatos y cuándo usar cada uno
El tabletop exercise es el punto de entrada más accesible. Un facilitador guía al equipo a través de un escenario hipotético — "detectamos actividad anómala en el servidor de bases de datos a medianoche, esto es lo que sabemos" — y el equipo responde verbalmente: ¿qué harías, quién decide, en cuánto tiempo? No hay sistemas reales involucrados, no hay interrupción operativa. El valor está en exponer los vacíos de proceso y comunicación con bajo costo y en poco tiempo. Es el formato correcto para involucrar a la alta dirección y a áreas no técnicas como legal, comunicaciones y finanzas.
El red team / blue team es un nivel más. El red team simula al atacante — usando técnicas y herramientas reales en un entorno controlado — mientras el blue team defiende en tiempo real sin saber exactamente qué viene. Este formato mide capacidades técnicas reales: tiempos de detección, efectividad de los controles, calidad del análisis forense bajo presión. Requiere más preparación y recursos, pero genera hallazgos técnicos que ningún tabletop puede revelar.
El purple team combina ambos: red y blue operan con información compartida, con el objetivo de mejorar controles en colaboración en lugar de competir. Es el formato más adecuado para organizaciones que ya tienen experiencia con simulacros y quieren optimizar capacidades específicas, como la detección de movimiento lateral o la respuesta a compromiso de identidades en la nube.
Cómo diseñar un simulacro que genere aprendizaje real
El error más común en los simulacros es diseñarlos para que el equipo los pase, no para que aprendan. Un escenario demasiado predecible, con información completa desde el inicio y sin presión de tiempo, genera la ilusión de preparación sin el valor de haberla construido. Los simulacros útiles tienen ambigüedad deliberada: la información llega incompleta, los sistemas no responden como se esperaba, y hay decisiones que no tienen respuesta correcta obvia.
Tres elementos definen la calidad de un simulacro. El primero es la relevancia del escenario: debe reflejar el perfil de amenaza real de la organización, no un ataque genérico. Una empresa de manufactura tiene un escenario distinto al de una fintech o al de un hospital. El segundo es la participación de las áreas correctas: un simulacro puramente técnico no mejora la coordinación con dirección, legal o comunicaciones, que son las áreas donde la respuesta a incidentes suele romperse en los primeros minutos. El tercero es el debriefing estructurado: lo que se aprende en el simulacro vale lo que se documenta y se convierte en mejoras concretas al plan. Sin ese cierre, el ejercicio genera conversación pero no cambio.
¿Qué hacer al respecto?
Si tu organización nunca ha realizado un simulacro, el tabletop es el punto de inicio correcto. No requiere herramientas especiales ni infraestructura adicional: requiere un facilitador con criterio, un escenario relevante y dos horas de tiempo con las personas correctas en la sala. El único requisito es que los participantes tengan autoridad para tomar las decisiones que el escenario demanda — si el CISO está solo con su equipo técnico y dirección no participa, el simulacro no revelará los vacíos más importantes.
Si ya realizas simulacros anuales, el siguiente nivel es aumentar la frecuencia y la especificidad. Un tabletop anual es mejor que nada, pero el músculo de respuesta se construye con práctica regular. Escenarios más cortos y focalizados — 90 minutos sobre un vector específico como compromiso de cuenta privilegiada en nube o exfiltración silenciosa — generan más aprendizaje por hora invertida que un ejercicio extenso una vez al año.
La pregunta que vale hacerse
Si un incidente comenzara esta noche, ¿cuánto tiempo tardaría tu equipo en tener a las personas correctas coordinadas, con roles claros y tomando decisiones? Si esa respuesta no la sabes porque nunca lo han practicado, ya tienes la respuesta más importante.
Acciones inmediatas
- Agenda un tabletop exercise para los próximos 60 días. No esperes a tener el escenario perfecto ni al proveedor ideal. Un escenario de ransomware básico, diseñado internamente con contexto de tu sector, y dos horas con el equipo correcto en la sala — incluyendo al menos un directivo con poder de decisión — genera hallazgos que ninguna auditoría documental revela.
- Revisa si tu plan de respuesta a incidentes define umbrales de escalación con nombres y plazos concretos. No roles genéricos: personas específicas, números de contacto alternativos para cuando los sistemas están comprometidos, y plazos máximos para cada decisión clave. Si ese nivel de detalle no está en el plan, el simulacro lo evidenciará — pero es más eficiente corregirlo antes.
- Identifica qué áreas no técnicas deben participar en tu próximo simulacro. Legal, comunicaciones, finanzas y la alta dirección tienen decisiones propias en un incidente real. Si nunca han participado en un simulacro, su primera experiencia coordinando bajo presión no debería ser durante el incidente real. Incluirlas tiene costo cero y multiplica el valor del ejercicio.
- Define qué aprenderás del simulacro antes de realizarlo. Un ejercicio sin objetivos claros de aprendizaje produce conversación pero no mejora. Antes del tabletop, acuerda con el equipo las tres preguntas que quieres responder: ¿los umbrales de escalación son claros? ¿La comunicación con dirección funciona? ¿Los roles no se superponen? El debriefing estructurado alrededor de esas preguntas convierte el ejercicio en un plan de acción.
- Documenta y comunica los hallazgos del simulacro en un plazo máximo de una semana. La memoria del equipo sobre lo que falló se diluye rápidamente. Un documento breve con los tres hallazgos principales y las acciones correctivas asignadas — con responsable y fecha — es el entregable mínimo que convierte un buen simulacro en una mejora real de la postura de seguridad.
Si tu organización quiere diseñar y ejecutar un simulacro de ciberseguridad adaptado a su perfil de riesgo, o evaluar la madurez de su plan de respuesta a incidentes, podemos ayudarte. Contáctanos en https://tbsek.mx/contacto/.
