Saltar al contenido principal
Tabletop Exercises: Simulacros de Incidentes para Equipos de Seguridad
SEGURIDAD EMPRESARIAL#incident-response#soc

Tabletop Exercises: Simulacros de Incidentes para Equipos de Seguridad

Guia practica para disenar y ejecutar tabletop exercises de ciberseguridad: escenarios, inyectables, facilitacion y ciclo de mejora continua con marcos CISA CTEP y NIST SP 800-84.

17 minCyberFlows Team
[Espacio publicitario — AdSense]

Por Que Un Simulacro Preventivo Vale Mas Que Un Post-Mortem

Tu equipo de seguridad tiene un plan de respuesta a incidentes documentado, playbooks actualizados y herramientas configuradas. Pero, ique pasa cuando el primer incidente real obliga a ejecutar todo eso simultaneamente, bajo presion, con el CEO preguntando cada 5 minutos si ya esta controlado?

Un tabletop exercise (TTE) es un simulacro discursivo donde los participantes recorren un escenario de incidente hipotetico sin ejecutar tecnicamente ninguna accion. No se apagan servidores, no se aislan redes, no se corre malware. Se habla, se decide y se documenta que haria cada persona, en que momento y con que autoridad.

La diferencia entre un equipo que ha discutido previamente como responder a un ransomware y uno que no lo ha hecho es la diferencia entre una respuesta coordinada y el caos. Los tabletop exercises existen exactamente para cerrar esa brecha antes de que un ataque real la exponga.

Los tabletop exercises no reemplazan las tecnicas de hunt y deteccion ni los procedimientos forenses. Complementan ambos: validan que la organizacion puede activar sus defensas cuando las detecta.


Que Es Exactamente Un Tabletop Exercise

Un TTE es una sesion guiada de 2-4 horas donde un facilitador presenta un escenario de incidente y los participantes discuten, paso a paso, como responderian. Segun NIST SP 800-84 (Guide to Test, Training, and Exercise Programs for IT Plans and Capabilities), los ejercicios sirven para:

  1. Entrenar al personal en sus roles durante un incidente
  2. Ejercitar los planes y procedimientos documentados
  3. Probar que los planes funcionan en condiciones realistas

Un TTE no es una reunion de status. No es una sesion de brainstorming sin estructura. Es un ejercicio con escenario predeterminado, roles asignados, inyectables cronometrados y un informe de resultados al final.

Tabletop vs Simulacion vs Functional Exercise

Tipo Participantes ejecutan acciones? Complejidad Duracion tipica Coste
Tabletop Exercise No, solo discuten Baja-Media 2-4 horas Bajo
Simulation Exercise Si, con herramientas reales Media-Alta 4-8 horas Medio
Functional Exercise Si, en entorno aislado completo Alta 1-3 dias Alto

Para organizaciones que nunca han hecho un simulacro, el tabletop es el punto de partida ideal: bajo coste, sin riesgo operativo, y produce hallazgos accionables inmediatamente.


Marcos de Referencia

CISA Tabletop Exercise Packages (CTEP)

CISA ofrece paquetes gratuitos de tabletop exercises descargables desde cisa.gov. Cada CTEP incluye:

  • Situation Manual con el escenario y los inyectables
  • Objectives del ejercicio alineados a capacidades de respuesta
  • Discussion Questions para guiar al facilitador
  • Exercise Planner Handbook con instrucciones de planificacion
  • Facilitator/Evaluator Handbook con tecnicas de moderacion
  • AAR-IP Template (After Action Report / Improvement Plan)

Los escenarios disponibles cubren ransomware, insider threats, phishing, compromise de ICS, y tienen variantes especificas para gobierno local, salud, infraestructura critica y elecciones. Para preparar escenarios realistas de ransomware, consulta nuestra guía de protección contra ransomware para empresas.

NIST SP 800-84

El NIST SP 800-84 (Guide to Test, Training, and Exercise Programs for IT Plans and Capabilities) establece el marco para disenar programas TT&E (Test, Training, and Exercise). Define tres tipos de eventos:

  • Tests: validacion tecnica de que un control funciona (ej. firewall bloquea X tipo de trafico)
  • Training: sesion educativa para adquirir nuevas competencias
  • Exercises: simulacro que pone a prueba un plan o procedimiento

El TTE encaja en la categoria de exercise. Su objetivo no es ensenar herramientas nuevas, sino validar que los planes existentes sobreviven el contacto con la realidad.


Los Tres Roles Clave de Un TTE

1. Facilitador

El facilitador dirige el ejercicio sin participar en la discusion. Su trabajo es:

  • Presentar el escenario y los inyectables en el momento correcto
  • Hacer preguntas que desbloqueen discusion estancada
  • Mantener el ritmo (no dejar que un topic consuma toda la sesion)
  • Asegurar que todos los participantes hablen, no solo los mas senior
  • No revelar la solucion ni juzgar las respuestas en tiempo real

Requisito: el facilitador debe conocer el escenario completo por adelantado pero NO debe ser parte del equipo de seguridad operacional. Un externo o alguien de otra division funciona mejor.

2. Participantes

Los participantes representan sus roles reales durante un incidente. Un TTE tipico incluye:

Rol Representa Que aporta al ejercicio
CISO / Head of Security Liderazgo de seguridad Decisiones de escalacion y comunicacion ejecutiva
SOC Analyst Centro de operaciones Deteccion, triage, evidencia inicial
IT Operations Infraestructura Contencion tecnica, recuperacion, disponibilidad
Legal / Compliance Asesoramiento legal Obligaciones regulatorias, notificaciones
Comunicaciones / PR Gestion de crisis Mensajes a clientes, prensa, empleados
Business Unit Lead Negocio afectado Impacto en operaciones, priorizacion
HR Personas Empleados involucrados, comunicacion interna

3. Observadores / Evaluadores

Personas que asisten sin participar activamente. Toman notas sobre:

  • Que decisiones se tomaron y en que momento
  • Que informacion faltaba para tomar esa decision
  • Que roles estaban desocupados o duplicados
  • Donde hubo confusion o conflicto entre departamentos

Disenando Tu Primer Tabletop Exercise

Paso 1: Definir Objetivos

Antes de escribir el escenario, define que quieres validar. Ejemplos:

  • Validar que el equipo conoce el proceso de escalacion del plan de IR
  • Probar la comunicacion entre seguridad, legal y comunicaciones
  • Identificar gaps en la cadena de mando durante una crisis
  • Verificar que los contactos de emergencia estan actualizados

Objetivo tipico: "Al finalizar el ejercicio, el equipo podra ejecutar el procedimiento de respuesta a ransomware en menos de 30 minutos desde la deteccion inicial, siguiendo el playbook documentado."

Paso 2: Elegir Escenario

El escenario debe ser realista para tu industria y suficientemente complejo para forzar decisiones dificiles. Algunos escenarios validados por CISA:

Escenario Que prueba Complejidad
Ransomware en servidores criticos Contencion, comunicacion de crisis, decision de pago Alta
Phishing con credenciales comprometidas Deteccion, respuesta del SOC, cambio masivo de passwords Media
Insider threat con acceso privilegiado Monitoreo, investigacion interna, accion disciplinaria Media-Alta
DDoS durante evento pico Continuidad de negocio, comunicacion con clientes Media
Compromise de cadena de suministro Evaluacion de terceros, aislamiento, dependencias Alta

Paso 3: Crear Inyectables

Los inyectables son puntos de inflexion en el escenario que cambian la situacion y fuerzan nuevas decisiones. Cada inyectable debe:

  1. Tener un momento de activacion (despues de X minutos o despues de que se tome cierta decision)
  2. Incluir informacion nueva que los participantes deben incorporar
  3. Provocar una decision especifica que revele un gap o confirme una capacidad

Ejemplo de secuencia de inyectables para un ransomware:

Minuto 0 — INYECTABLE 1 (Notificacion inicial):
  El SOC recibe alerta de EDR: deteccion de cifrado anomalo
  en 3 servidores del dominio. Actividad de PowerShell sospechosa.
  Pregunta: iQue hace el SOC en los primeros 15 minutos?

Minuto 15 — INYECTABLE 2 (Evolucion):
  El cifrado se ha propagado a 40% de los endpoints.
  Varios empleados reportan que no pueden acceder a archivos.
  Pregunta: iSe activa el playbook de ransomware? iQuien autoriza
  el aislamiento de la red?

Minuto 30 — INYECTABLE 3 (Comunicacion externa):
  Un periodista llama a comunicaciones preguntando por un
  "ciberataque masivo" filtrado por un empleado en redes sociales.
  Pregunta: iQue dice la empresa? iQuien autoriza la declaracion?

Minuto 45 — INYECTABLE 4 (Descubrimiento adicional):
  El equipo forense descubre que el atacante tambien exfiltró
  datos antes de cifrar (doble extorsion).
  Pregunta: iCambia la estrategia de respuesta? iSe notifica
  a autoridades de proteccion de datos? iEn que plazo?

Minuto 60 — INYECTABLE 5 (Decision critica):
  El atacante ofrece decryptor a cambio de $500K en cripto.
  El CEO quiere pagar. El CISO recomienda no pagar.
  Pregunta: iQuien toma la decision final? iCual es el proceso?

Paso 4: Escribir Discussion Questions

Para cada fase del escenario, prepara 2-3 preguntas que no tengan una unica respuesta correcta. Buenas preguntas fuerzan a los participantes a pensar en voz alta:

Fase de deteccion:
  - iComo determinamos que esta alerta es un incidente real y
    no un falso positivo?
  - iQue fuentes de informacion consultamos para contextualizar
    la alerta?

Fase de contencion:
  - iQue sistemas aislamos primero y por que?
  - iQue servicios se ven afectados por el aislamiento?
  - iQuien autoriza el aislamiento de produccion?

Fase de comunicacion:
  - iA quién informamos internamente y en que orden?
  - iQue decimos a los empleados que no pueden trabajar?
  - iComo manejamos la solicitud del periodista?

Fase de recuperacion:
  - iQue metricas usamos para determinar que estamos listos
    para volver a operar?
  - iQue evidencia preservamos para investigacion forense?

Paso 5: Planificar Logistica

Elemento Detalle minimo
Duracion 2.5-3 horas (incluyendo briefing y cierre)
Participantes 6-12 personas representando todos los roles criticos
Sala Sin pantallas compartidas (fomenta discusion, no presentaciones)
Materiales Escenario impreso, inyectables en sobres sellados, formularios de feedback
Documentacion Un tomador de notas dedicado (no participante)
Codigo de conducta "Lo que se dice en el ejercicio se queda en el ejercicio"

Facilitacion: El Arte de Mantener la Discusion Productiva

Tecnicas de Apertura

Despues de presentar el inyectable, haz preguntas abiertas:

  • "Director de SOC, ique ve en sus dashboards ahora mismo?"
  • "Legal, ique obligaciones tenemos de notificacion?"
  • "Comunicaciones, ique sabemos y que no sabemos todavia?"

Evita preguntas tipo "iEstarian de acuerdo en aislar produccion?" que generan un simple si/no. En su lugar: "iQue consecuencias operativas tendria aislar produccion ahora, y como las mitigamos?"

Manejo de Silencios

Un silencio prolongado significa una de tres cosas: la pregunta es ambigua, nadie se siente responsable, o hay un conflicto no dicho. En cualquiera de los tres casos, el facilitador debe:

  1. Reformular la pregunta con mas contexto
  2. Designar explicitamente a alguien: "Maria, desde IT Operations, ique opciones de contencion tenemos?"
  3. Si hay tension entre departamentos, nombrarla: "Parece que seguridad y negocio tienen prioridades diferentes. exploremos eso."

Control de Tiempo

Usa un reloj visible. Asigna un maximo de 10-12 minutos por inyectable. Si una discusion se extiende, interveni:

"Hemos cubierto bien la deteccion. Vamos al siguiente inyectable que trae una decision de escalamiento. Podemos retomar este punto en el debrief."


Ejemplo Completo: Ransomware en Empresa de Manufactura

Contexto del Ejercicio

Organizacion: Empresa de manufactura, 800 empleados, 3 plantas
Industria: Automotriz (proveedor Tier 2)
Stack tecnologico: Active Directory, VMware, SAP, Office 365
Equipo de seguridad: 3 personas (1 CISO, 2 analysts)
Infraestructura: On-premise + Azure hybrid

Objetivos del Ejercicio

  1. Validar que el equipo conoce y puede ejecutar el playbook de ransomware
  2. Probar la comunicacion entre seguridad, planta y direccion general
  3. Identificar gaps en la capacidad de respuesta del equipo reducido

Cronograma

00:00 - 00:10  Briefing y presentacion de reglas
00:10 - 00:25  Inyectable 1: Deteccion inicial
00:25 - 00:40  Inyectable 2: Propagacion del cifrado
00:40 - 00:55  Inyectable 3: Comunicacion externa
00:55 - 01:10  Inyectable 4: Exfiltracion descubierta
01:10 - 01:25  Inyectable 5: Decision de pago
01:25 - 01:30  Pausa
01:30 - 02:00  Debrief y discusion abierta
02:00 - 02:15  Formularios de feedback individual
02:15 - 02:30  Cierre y proximos pasos

Injectables Detallados

INYECTABLE 1 — Deteccion (Minuto 0)

Son las 09:15 de un martes. El SOC recibe una alerta de EDR en el servidor de produccion PLT-SRV-01: "Suspicious PowerShell execution with encoded command". El script descargó un ejecutable desde una IP externa. En los ultimos 10 minutos, 3 empleados de planta reportaron que sus computadoras estan "lentas".

INYECTABLE 2 — Propagacion (Minuto 15)

Son las 09:30. La alerta se confirmo como malware cifrador. 6 de 12 servidores muestran actividad de cifrado. El share de archivos de ingenieria esta inaccesible. El sistema SAP responde con delays de 30+ segundos. El atacante dejo un ransom note en los servidores afectados con un enlace a un portal .onion.

INYECTABLE 3 — Comunicacion externa (Minuto 30)

Son las 09:45. El gerente de planta de Barcelona llama al CISO: "No podemos acceder a los planos de produccion. La linea de ensamblaje va a parar en 2 horas si no se resuelve." Un empleado publico en LinkedIn: "Mi empresa esta siendo atacada, no podemos trabajar #ransomware". Un periodista de Reuters envio un email a prensa preguntando por "reportes de ciberataque".

INYECTABLE 4 — Exfiltracion (Minuto 45)

Son las 10:00. El equipo forense preliminar (el analyst senior que revisa logs) identifico que antes del cifrado, el atacante estuvo 48 horas dentro de la red. Se detectaron conexiones a un servidor en hosting offshore. Los logs de SAP muestran acceso a tablas de proveedores y precios. El atacante tiene datos de 200 proveedores Tier 1 y contratos con 3 clientes OEM.

INYECTABLE 5 — Decision de pago (Minuto 60)

Son las 10:15. La linea de produccion de Barcelona esta detenida. El CEO convoco una call con el consejo. El ransom es de $2M en Bitcoin. El atacante amenaza con publicar los datos de proveedores en 72 horas. Un consultor de ciberseguridad externo (amigo del CEO) recomienda "pagar y recuperar rapido". El CISO recomienda no pagar e iniciar reconstruccion desde backups. El CFO pregunta: "iTenemos seguro cibernetico que cubra esto?"


El Debrief: Donde Ocurre el Aprendizaje Real

El debrief es la parte mas valiosa del TTE. No es un place para criticar, sino para entender que funciono, que no, y por que.

Estructura de Debrief

  1. Cronologia: repasar que paso en el ejercicio, que decisiones se tomaron y en que momento
  2. Que funciono: identificar las practicas que el equipo ejecuto bien
  3. Que no funciono: gaps, confusiones, roles desocupados, informacion que faltaba
  4. Acciones concretas: cada gap se convierte en una accion asignada con responsable y fecha

Preguntas para el Debrief

- iEn que momento nos dimos cuenta de que era un incidente real
  y no un falso positivo?
- iQue informacion nos hubiera gustado tener y no teniamos?
- iHubo momentos de confusion sobre quien tenia autoridad
  para decidir?
- iComo nos comunicamos internamente? Funciono ese canal?
- iQue hubsimos hecho diferente si esto hubiera sido real?
- iQue partes del plan de IR se ejecutaron bien y cuales
  no estaban documentadas?

Plantilla de AAR (After Action Report)

El formato AAR-IP del CTEP de CISA es ideal. La estructura basica:

Seccion Contenido
Resumen del ejercicio Fecha, participantes, escenario, objetivos
Analisis de capacidades Que capacidades se probaron y como resultaron
Hallazgos positivos Que funciono bien, que debe mantenerse
Areas de mejora Que falto, que no estaba documentado, que fue confuso
Acciones de mejora Lista de acciones con responsable, prioridad y fecha limite
Adjuntos Cronologia del ejercicio, inyectables usados, feedback de participantes

Frecuencia y Programacion

Con Cuanta Frecuencia Hacer TTEs

Madurez del programa Frecuencia minima Frecuencia recomendada
Primer ano 1 cada 6 meses 1 cada trimestre
Segundo ano 1 cada trimestre 1 bimestral + 1 functional anual
Establecido 1 trimestral Mix de tabletop, simulation y functional

Algunos marcos regulatorios exigen frecuencias minimas. Por ejemplo, NERC CIP-008-6 (para infraestructura electrica en EE.UU.) requiere ejercicios de respuesta a incidentes al menos cada 15 meses.

Calendario Sugerido de Escenarios

Para un programa anual de tabletop exercises, rota los escenarios para cubrir diferentes capacidades:

Trimestre Escenario Capacidades probadas
Q1 Ransomware Contencion, recuperacion, decision de pago
Q2 Phishing con compromiso de cuentas Deteccion, respuesta del SOC, reseteo masivo
Q3 Insider threat Investigacion interna, legal, HR
Q4 Supply chain compromise Evaluacion de terceros, comunicacion regulatoria

Errores Comunes en Tabletop Exercises

1. Disenar el escenario solo para el equipo de seguridad

Un TTE que no incluye a legal, comunicaciones, RRHH y negocio no esta validando la respuesta real de la organizacion. El incidente afecta a todos, y la respuesta debe involucrar a todos.

2. Hacer preguntas con respuesta unica

"iAislan el servidor?" -> si/no es una mala pregunta. "iQue consecuencias operativas tendria aislar este servidor, y que alternativas tenemos?" es una buena pregunta.

3. No documentar hallazgos accionables

Un TTE sin AAR (After Action Report) es una reunion que se olvida. Siempre termina con acciones concretas, responsables y fechas.

4. Usar el mismo escenario cada vez

Si haces ransomware cada trimestre, tu equipo se especializa en ransomware pero no esta preparado para insider threats o supply chain attacks. Rota los escenarios.

5. No repetir el ejercicio

Un solo TTE revela gaps. Repetirlo periodicamente valida que los gaps se cerraron y descubre nuevos. La mejora es un ciclo, no un evento.

6. Confundir tabletop con simulacion tecnica

Un tabletop es discursivo: se habla, no se ejecuta. Si quieres probar que tu SOC puede detectar y contener un ataque real, eso es una simulation exercise (usando herramientas como Atomic Red Team o un red team controlado), no un tabletop.


Herramientas y Plantillas

CTEP de CISA (Gratuito)

Descarga los paquetes completos desde CISA CTEP Documents:

  • Exercise Planner Handbook (723 KB) — guia paso a paso para planificar
  • Facilitator/Evaluator Handbook (628 KB) — tecnicas de moderacion
  • AAR-IP Template (449 KB) — plantilla de informe post-ejercicio
  • Invitation Letter Template — formato para invitar participantes
  • Participant Feedback Form — evaluacion del ejercicio

Checklist Pre-Ejercicio

[ ] Objetivos del ejercicio definidos y comunicados
[ ] Escenario disenado con 4-6 inyectables
[ ] Participantes confirmados (6-12 personas, todos los roles)
[ ] Facilitador asignado (preferiblemente externo al equipo de seguridad)
[ ] Evaluadores/observadores identificados
[ ] Sala reservada (sin pantallas compartidas)
[ ] Materiales impresos: escenario, inyectables, feedback forms
[ ] Tomador de notas asignado
[ ] Codigo de conducta comunicado
[ ] Contactos de emergencia del organizador disponibles

Conclusión

Un tabletop exercise no es un lujo para organizaciones grandes. Es una necesidad basica para cualquier equipo de seguridad que quiera estar preparado. La diferencia entre un equipo que ha practicado y uno que no se mide en minutos de confusion, decisiones mal comunicadas y clientes que pierden confianza.

El ciclo es simple: diseña un escenario, reune al equipo, discultan el escenario paso a paso, documenta los gaps, cierra los gaps, y repite. Cada iteracion hace al equipo mas rapido, mas coordinado y mas confiado.

No necesitas un budget enorme ni consultores externos. Necesitas un facilitador competente, un escenario realista y 3 horas de tiempo protegido. El CTEP de CISA te da todo eso gratis. Tu organizacion pone el compromiso.

La proxima vez que un ransomware real llegue a tu red, tu equipo no estara improvisando. Estara ejecutando un plan que ya ha practicado. Y esa diferencia lo cambia todo.


Artículos Relacionados

Aviso legal: Este contenido es estrictamente educativo. CyberFlows no apoya actividades ilegales. Úsalo solo en entornos autorizados.

[Espacio publicitario — AdSense]

Newsletter de Ciberseguridad

Resumen semanal con los mejores artículos, CVEs críticos y tendencias del mercado. Sin spam.

🔒 Tu email no se compartirá. Puedes darte de baja en cualquier momento.