Ejercicios de simulación (tabletop): la inversión de 90 minutos que determina cómo termina su próxima brecha
Cybool Security Team
Respuesta a incidentes
El momento más difícil de un incidente no es la brecha en sí. Es la primera hora, cuando los líderes sénior toman decisiones que nunca han ensayado, en un vocabulario que no dominan del todo, mientras operaciones pregunta si hay que apagar sistemas y comunicaciones pregunta qué decirle a la prensa.
Un ejercicio de simulación (tabletop) simula esa hora. No es un simulacro técnico, no es una prueba de penetración y no requiere una emergencia. Es una discusión facilitada de 60 a 90 minutos en la que el equipo de liderazgo recorre un escenario realista, articula decisiones y expone brechas en roles, autoridad y comunicación. Bien hecho, es la actividad de mayor apalancamiento de un programa de seguridad.
La mayoría de las organizaciones no los realizan. Las que sí lo hacen, casi universalmente, desearían haber empezado años antes.
Cómo es realmente un tabletop
La estructura básica de un tabletop es sencilla:
- Un facilitador presenta un escenario inicial —"Es martes a las 14:00. Su SOC reporta un evento confirmado de cifrado de ransomware que afecta su ERP y los servidores de archivos compartidos. Aproximadamente el 60 % de sus recursos compartidos de archivos están inaccesibles."
- Los participantes —normalmente CEO, CFO, COO, CISO, director de TI, asesor legal, jefe de comunicaciones— conversan sobre qué harían, en qué orden y quién tomaría cada decisión.
- El facilitador inyecta periódicamente nueva información ("Actualización: la nota de rescate exige USD 800.000 en Bitcoin en 72 horas" / "Actualización: un periodista ha llamado a la línea de prensa para pedir comentarios").
- El ejercicio dura de 60 a 120 minutos y termina con una sesión de retroalimentación estructurada.
No se toca ningún sistema. No ocurre ningún trabajo técnico. El costo es tiempo de reunión y los honorarios del facilitador.
Qué exponen de forma fiable los tabletops
A lo largo de los tabletops que Cybool ha facilitado para clientes del mercado medio en 2025–2026, aparecen repetidamente las mismas seis brechas:
1. La autoridad de decisión es ambigua. El plan de respuesta a incidentes escrito nombra a un "Gerente de Crisis" pero no define qué decisiones puede tomar esa persona de forma unilateral frente a cuáles requieren la aprobación del CEO. En el ejercicio, esto sale a la superficie en los primeros 15 minutos cuando alguien pregunta "¿podemos autorizar la contratación de una negociación de rescate?" y cuatro personas dan respuestas diferentes.
2. El plan de comunicaciones no sobrevive al contacto con la realidad. La mayoría de las organizaciones tiene una plantilla de declaración de prensa pero ninguna respuesta a "¿qué les decimos a nuestros tres principales clientes en las primeras 4 horas?" o "¿quién llama a nuestro regulador?" o "¿cómo es la reunión general el día dos cuando los empleados preguntan si sus datos personales están expuestos?".
3. El tiempo de recuperación de respaldos ha sido sobreestimado. Cuando se le pregunta cuánto tomaría la recuperación completa desde los respaldos, el director de TI normalmente cita un número. Cuando se le pregunta cuándo se validó ese número por última vez con una restauración real, la respuesta suele ser "creo que probamos el año pasado". A menudo la respuesta realista es de 5 a 10 veces el plazo asumido.
4. El plazo de notificación al ciberseguro no está claro. Cuando la póliza realmente exige la notificación dentro de 24 a 72 horas, la sala normalmente no sabe quién llama al corredor, quién tiene el número de póliza ni qué cuenta como "tomar conocimiento" de un evento cubierto. La cobertura se anula aquí con más frecuencia que por cualquier otro modo de falla.
5. El directorio está ausente del manual. La mayoría de los planes describe la escalada al equipo ejecutivo pero no al directorio. Cuando el escenario llega a "el New York Times ha llamado", la sala normalmente no tiene respuesta sobre si se ha informado al directorio, con qué cadencia o por quién.
6. La secuencia de contratación legal del DFIR es incorrecta. La mejor práctica es contratar primero a un asesor externo, que luego contrata a la firma de DFIR, para que la investigación quede bajo el privilegio abogado-cliente. La mayoría de las organizaciones llama directamente a la firma de DFIR, creando comunicaciones susceptibles de descubrimiento que luego pueden ser citadas judicialmente. Esta es una de las brechas más limpiamente corregibles que expone un tabletop.
La elección del escenario
El escenario importa menos que la disciplina de ejecutar el ejercicio, pero algunos escenarios producen más aprendizaje que otros. Tres que de forma consistente sacan a la luz brechas útiles:
Ransomware con exigencia de rescate y amenaza de filtración de datos. Esto pone a prueba cada parte del plan: contención técnica, continuidad del negocio, decisión sobre el rescate, notificación regulatoria, comunicación con clientes e involucramiento del directorio.
Robo interno de datos. Un empleado que se marcha ha exfiltrado datos de clientes a una cuenta personal en la nube. Esto pone a prueba la coordinación legal y de RR. HH., la relación con las fuerzas del orden y el proceso de notificación a clientes —todas áreas que los simulacros puramente de ransomware no ejercitan.
Compromiso de la cadena de suministro. Un proveedor del que dependen sus clientes ha sido vulnerado, y usted está recibiendo preguntas entrantes sobre su exposición. Esto pone a prueba cómo responde cuando no es la víctima de la brecha pero se ve afectado por una, que es cada vez más el escenario más común de 2026.
Después del tabletop
La sesión de retroalimentación es donde el valor se multiplica. Una retroalimentación útil produce:
- Una lista corta de decisiones que el equipo acertó bajo presión
- Una lista específica de brechas en el plan de RI, con responsables nombrados y plazos de remediación de 30 / 60 / 90 días
- Uno o dos manuales que es necesario escribir (p. ej., "matriz de decisión sobre el rescate" o "plantilla de comunicación con clientes en las primeras 4 horas")
- Una fecha para el próximo tabletop, con un escenario diferente
El mayor predictor de valor es si la lista de brechas se convierte en un rastreador de remediación. Los tabletops sin seguimiento se vuelven teatro de seguridad. Los tabletops con un seguimiento disciplinado mejoran de forma medible los resultados de los incidentes —tanto la observación directa de Cybool como datos más amplios de la industria respaldan una reducción del 30 al 60 % en el tiempo medio de recuperación para las organizaciones que ejecutan tabletops trimestrales con remediación de ciclo cerrado.
La matemática de los 90 minutos
Un tabletop típico cuesta aproximadamente:
- 90 minutos de tiempo de reunión para 8 personas (12 horas-persona)
- 1 a 2 días de tiempo del facilitador, según sea interno o externo
- Medio día de planificación de remediación de seguimiento
Frente al costo promedio de un incidente del mercado medio —que en LATAM y Europa va de USD 800.000 a USD 4,5 millones según la industria y el alcance— el retorno de esa inversión es imposible de discutir. Las empresas que aún no han realizado uno no están valorando el riesgo correctamente.
El proyecto de seguridad más útil que la mayoría de las organizaciones del mercado medio puede ejecutar en los próximos 30 días es un tabletop. No requiere nuevas herramientas, nuevos proveedores ni nuevo presupuesto. Requiere 90 minutos en agendas que ya existen.
Cybool facilita ejercicios de simulación (tabletop) para sus clientes como parte de los servicios estándar de preparación para la respuesta a incidentes. Los talleres de medio día incluyen el diseño del escenario, la facilitación y un rastreador escrito de remediación de brechas. Programe un tabletop o explore nuestros servicios de respuesta a incidentes.