Por Que Un Simulacro Preventivo Vale Mas Que Un Post-Mortem
Tu equipo de seguridad tiene un plan de respuesta a incidentes documentado, playbooks actualizados y herramientas configuradas. Pero, ique pasa cuando el primer incidente real obliga a ejecutar todo eso simultaneamente, bajo presion, con el CEO preguntando cada 5 minutos si ya esta controlado?
Un tabletop exercise (TTE) es un simulacro discursivo donde los participantes recorren un escenario de incidente hipotetico sin ejecutar tecnicamente ninguna accion. No se apagan servidores, no se aislan redes, no se corre malware. Se habla, se decide y se documenta que haria cada persona, en que momento y con que autoridad.
La diferencia entre un equipo que ha discutido previamente como responder a un ransomware y uno que no lo ha hecho es la diferencia entre una respuesta coordinada y el caos. Los tabletop exercises existen exactamente para cerrar esa brecha antes de que un ataque real la exponga.
Los tabletop exercises no reemplazan las tecnicas de hunt y deteccion ni los procedimientos forenses. Complementan ambos: validan que la organizacion puede activar sus defensas cuando las detecta.
Que Es Exactamente Un Tabletop Exercise
Un TTE es una sesion guiada de 2-4 horas donde un facilitador presenta un escenario de incidente y los participantes discuten, paso a paso, como responderian. Segun NIST SP 800-84 (Guide to Test, Training, and Exercise Programs for IT Plans and Capabilities), los ejercicios sirven para:
- Entrenar al personal en sus roles durante un incidente
- Ejercitar los planes y procedimientos documentados
- Probar que los planes funcionan en condiciones realistas
Un TTE no es una reunion de status. No es una sesion de brainstorming sin estructura. Es un ejercicio con escenario predeterminado, roles asignados, inyectables cronometrados y un informe de resultados al final.
Tabletop vs Simulacion vs Functional Exercise
| Tipo | Participantes ejecutan acciones? | Complejidad | Duracion tipica | Coste |
|---|---|---|---|---|
| Tabletop Exercise | No, solo discuten | Baja-Media | 2-4 horas | Bajo |
| Simulation Exercise | Si, con herramientas reales | Media-Alta | 4-8 horas | Medio |
| Functional Exercise | Si, en entorno aislado completo | Alta | 1-3 dias | Alto |
Para organizaciones que nunca han hecho un simulacro, el tabletop es el punto de partida ideal: bajo coste, sin riesgo operativo, y produce hallazgos accionables inmediatamente.
Marcos de Referencia
CISA Tabletop Exercise Packages (CTEP)
CISA ofrece paquetes gratuitos de tabletop exercises descargables desde cisa.gov. Cada CTEP incluye:
- Situation Manual con el escenario y los inyectables
- Objectives del ejercicio alineados a capacidades de respuesta
- Discussion Questions para guiar al facilitador
- Exercise Planner Handbook con instrucciones de planificacion
- Facilitator/Evaluator Handbook con tecnicas de moderacion
- AAR-IP Template (After Action Report / Improvement Plan)
Los escenarios disponibles cubren ransomware, insider threats, phishing, compromise de ICS, y tienen variantes especificas para gobierno local, salud, infraestructura critica y elecciones. Para preparar escenarios realistas de ransomware, consulta nuestra guía de protección contra ransomware para empresas.
NIST SP 800-84
El NIST SP 800-84 (Guide to Test, Training, and Exercise Programs for IT Plans and Capabilities) establece el marco para disenar programas TT&E (Test, Training, and Exercise). Define tres tipos de eventos:
- Tests: validacion tecnica de que un control funciona (ej. firewall bloquea X tipo de trafico)
- Training: sesion educativa para adquirir nuevas competencias
- Exercises: simulacro que pone a prueba un plan o procedimiento
El TTE encaja en la categoria de exercise. Su objetivo no es ensenar herramientas nuevas, sino validar que los planes existentes sobreviven el contacto con la realidad.
Los Tres Roles Clave de Un TTE
1. Facilitador
El facilitador dirige el ejercicio sin participar en la discusion. Su trabajo es:
- Presentar el escenario y los inyectables en el momento correcto
- Hacer preguntas que desbloqueen discusion estancada
- Mantener el ritmo (no dejar que un topic consuma toda la sesion)
- Asegurar que todos los participantes hablen, no solo los mas senior
- No revelar la solucion ni juzgar las respuestas en tiempo real
Requisito: el facilitador debe conocer el escenario completo por adelantado pero NO debe ser parte del equipo de seguridad operacional. Un externo o alguien de otra division funciona mejor.
2. Participantes
Los participantes representan sus roles reales durante un incidente. Un TTE tipico incluye:
| Rol | Representa | Que aporta al ejercicio |
|---|---|---|
| CISO / Head of Security | Liderazgo de seguridad | Decisiones de escalacion y comunicacion ejecutiva |
| SOC Analyst | Centro de operaciones | Deteccion, triage, evidencia inicial |
| IT Operations | Infraestructura | Contencion tecnica, recuperacion, disponibilidad |
| Legal / Compliance | Asesoramiento legal | Obligaciones regulatorias, notificaciones |
| Comunicaciones / PR | Gestion de crisis | Mensajes a clientes, prensa, empleados |
| Business Unit Lead | Negocio afectado | Impacto en operaciones, priorizacion |
| HR | Personas | Empleados involucrados, comunicacion interna |
3. Observadores / Evaluadores
Personas que asisten sin participar activamente. Toman notas sobre:
- Que decisiones se tomaron y en que momento
- Que informacion faltaba para tomar esa decision
- Que roles estaban desocupados o duplicados
- Donde hubo confusion o conflicto entre departamentos
Disenando Tu Primer Tabletop Exercise
Paso 1: Definir Objetivos
Antes de escribir el escenario, define que quieres validar. Ejemplos:
- Validar que el equipo conoce el proceso de escalacion del plan de IR
- Probar la comunicacion entre seguridad, legal y comunicaciones
- Identificar gaps en la cadena de mando durante una crisis
- Verificar que los contactos de emergencia estan actualizados
Objetivo tipico: "Al finalizar el ejercicio, el equipo podra ejecutar el procedimiento de respuesta a ransomware en menos de 30 minutos desde la deteccion inicial, siguiendo el playbook documentado."
Paso 2: Elegir Escenario
El escenario debe ser realista para tu industria y suficientemente complejo para forzar decisiones dificiles. Algunos escenarios validados por CISA:
| Escenario | Que prueba | Complejidad |
|---|---|---|
| Ransomware en servidores criticos | Contencion, comunicacion de crisis, decision de pago | Alta |
| Phishing con credenciales comprometidas | Deteccion, respuesta del SOC, cambio masivo de passwords | Media |
| Insider threat con acceso privilegiado | Monitoreo, investigacion interna, accion disciplinaria | Media-Alta |
| DDoS durante evento pico | Continuidad de negocio, comunicacion con clientes | Media |
| Compromise de cadena de suministro | Evaluacion de terceros, aislamiento, dependencias | Alta |
Paso 3: Crear Inyectables
Los inyectables son puntos de inflexion en el escenario que cambian la situacion y fuerzan nuevas decisiones. Cada inyectable debe:
- Tener un momento de activacion (despues de X minutos o despues de que se tome cierta decision)
- Incluir informacion nueva que los participantes deben incorporar
- Provocar una decision especifica que revele un gap o confirme una capacidad
Ejemplo de secuencia de inyectables para un ransomware:
Minuto 0 — INYECTABLE 1 (Notificacion inicial):
El SOC recibe alerta de EDR: deteccion de cifrado anomalo
en 3 servidores del dominio. Actividad de PowerShell sospechosa.
Pregunta: iQue hace el SOC en los primeros 15 minutos?
Minuto 15 — INYECTABLE 2 (Evolucion):
El cifrado se ha propagado a 40% de los endpoints.
Varios empleados reportan que no pueden acceder a archivos.
Pregunta: iSe activa el playbook de ransomware? iQuien autoriza
el aislamiento de la red?
Minuto 30 — INYECTABLE 3 (Comunicacion externa):
Un periodista llama a comunicaciones preguntando por un
"ciberataque masivo" filtrado por un empleado en redes sociales.
Pregunta: iQue dice la empresa? iQuien autoriza la declaracion?
Minuto 45 — INYECTABLE 4 (Descubrimiento adicional):
El equipo forense descubre que el atacante tambien exfiltró
datos antes de cifrar (doble extorsion).
Pregunta: iCambia la estrategia de respuesta? iSe notifica
a autoridades de proteccion de datos? iEn que plazo?
Minuto 60 — INYECTABLE 5 (Decision critica):
El atacante ofrece decryptor a cambio de $500K en cripto.
El CEO quiere pagar. El CISO recomienda no pagar.
Pregunta: iQuien toma la decision final? iCual es el proceso?
Paso 4: Escribir Discussion Questions
Para cada fase del escenario, prepara 2-3 preguntas que no tengan una unica respuesta correcta. Buenas preguntas fuerzan a los participantes a pensar en voz alta:
Fase de deteccion:
- iComo determinamos que esta alerta es un incidente real y
no un falso positivo?
- iQue fuentes de informacion consultamos para contextualizar
la alerta?
Fase de contencion:
- iQue sistemas aislamos primero y por que?
- iQue servicios se ven afectados por el aislamiento?
- iQuien autoriza el aislamiento de produccion?
Fase de comunicacion:
- iA quién informamos internamente y en que orden?
- iQue decimos a los empleados que no pueden trabajar?
- iComo manejamos la solicitud del periodista?
Fase de recuperacion:
- iQue metricas usamos para determinar que estamos listos
para volver a operar?
- iQue evidencia preservamos para investigacion forense?
Paso 5: Planificar Logistica
| Elemento | Detalle minimo |
|---|---|
| Duracion | 2.5-3 horas (incluyendo briefing y cierre) |
| Participantes | 6-12 personas representando todos los roles criticos |
| Sala | Sin pantallas compartidas (fomenta discusion, no presentaciones) |
| Materiales | Escenario impreso, inyectables en sobres sellados, formularios de feedback |
| Documentacion | Un tomador de notas dedicado (no participante) |
| Codigo de conducta | "Lo que se dice en el ejercicio se queda en el ejercicio" |
Facilitacion: El Arte de Mantener la Discusion Productiva
Tecnicas de Apertura
Despues de presentar el inyectable, haz preguntas abiertas:
- "Director de SOC, ique ve en sus dashboards ahora mismo?"
- "Legal, ique obligaciones tenemos de notificacion?"
- "Comunicaciones, ique sabemos y que no sabemos todavia?"
Evita preguntas tipo "iEstarian de acuerdo en aislar produccion?" que generan un simple si/no. En su lugar: "iQue consecuencias operativas tendria aislar produccion ahora, y como las mitigamos?"
Manejo de Silencios
Un silencio prolongado significa una de tres cosas: la pregunta es ambigua, nadie se siente responsable, o hay un conflicto no dicho. En cualquiera de los tres casos, el facilitador debe:
- Reformular la pregunta con mas contexto
- Designar explicitamente a alguien: "Maria, desde IT Operations, ique opciones de contencion tenemos?"
- Si hay tension entre departamentos, nombrarla: "Parece que seguridad y negocio tienen prioridades diferentes. exploremos eso."
Control de Tiempo
Usa un reloj visible. Asigna un maximo de 10-12 minutos por inyectable. Si una discusion se extiende, interveni:
"Hemos cubierto bien la deteccion. Vamos al siguiente inyectable que trae una decision de escalamiento. Podemos retomar este punto en el debrief."
Ejemplo Completo: Ransomware en Empresa de Manufactura
Contexto del Ejercicio
Organizacion: Empresa de manufactura, 800 empleados, 3 plantas
Industria: Automotriz (proveedor Tier 2)
Stack tecnologico: Active Directory, VMware, SAP, Office 365
Equipo de seguridad: 3 personas (1 CISO, 2 analysts)
Infraestructura: On-premise + Azure hybrid
Objetivos del Ejercicio
- Validar que el equipo conoce y puede ejecutar el playbook de ransomware
- Probar la comunicacion entre seguridad, planta y direccion general
- Identificar gaps en la capacidad de respuesta del equipo reducido
Cronograma
00:00 - 00:10 Briefing y presentacion de reglas
00:10 - 00:25 Inyectable 1: Deteccion inicial
00:25 - 00:40 Inyectable 2: Propagacion del cifrado
00:40 - 00:55 Inyectable 3: Comunicacion externa
00:55 - 01:10 Inyectable 4: Exfiltracion descubierta
01:10 - 01:25 Inyectable 5: Decision de pago
01:25 - 01:30 Pausa
01:30 - 02:00 Debrief y discusion abierta
02:00 - 02:15 Formularios de feedback individual
02:15 - 02:30 Cierre y proximos pasos
Injectables Detallados
INYECTABLE 1 — Deteccion (Minuto 0)
Son las 09:15 de un martes. El SOC recibe una alerta de EDR en el servidor de produccion PLT-SRV-01: "Suspicious PowerShell execution with encoded command". El script descargó un ejecutable desde una IP externa. En los ultimos 10 minutos, 3 empleados de planta reportaron que sus computadoras estan "lentas".
INYECTABLE 2 — Propagacion (Minuto 15)
Son las 09:30. La alerta se confirmo como malware cifrador. 6 de 12 servidores muestran actividad de cifrado. El share de archivos de ingenieria esta inaccesible. El sistema SAP responde con delays de 30+ segundos. El atacante dejo un ransom note en los servidores afectados con un enlace a un portal .onion.
INYECTABLE 3 — Comunicacion externa (Minuto 30)
Son las 09:45. El gerente de planta de Barcelona llama al CISO: "No podemos acceder a los planos de produccion. La linea de ensamblaje va a parar en 2 horas si no se resuelve." Un empleado publico en LinkedIn: "Mi empresa esta siendo atacada, no podemos trabajar #ransomware". Un periodista de Reuters envio un email a prensa preguntando por "reportes de ciberataque".
INYECTABLE 4 — Exfiltracion (Minuto 45)
Son las 10:00. El equipo forense preliminar (el analyst senior que revisa logs) identifico que antes del cifrado, el atacante estuvo 48 horas dentro de la red. Se detectaron conexiones a un servidor en hosting offshore. Los logs de SAP muestran acceso a tablas de proveedores y precios. El atacante tiene datos de 200 proveedores Tier 1 y contratos con 3 clientes OEM.
INYECTABLE 5 — Decision de pago (Minuto 60)
Son las 10:15. La linea de produccion de Barcelona esta detenida. El CEO convoco una call con el consejo. El ransom es de $2M en Bitcoin. El atacante amenaza con publicar los datos de proveedores en 72 horas. Un consultor de ciberseguridad externo (amigo del CEO) recomienda "pagar y recuperar rapido". El CISO recomienda no pagar e iniciar reconstruccion desde backups. El CFO pregunta: "iTenemos seguro cibernetico que cubra esto?"
El Debrief: Donde Ocurre el Aprendizaje Real
El debrief es la parte mas valiosa del TTE. No es un place para criticar, sino para entender que funciono, que no, y por que.
Estructura de Debrief
- Cronologia: repasar que paso en el ejercicio, que decisiones se tomaron y en que momento
- Que funciono: identificar las practicas que el equipo ejecuto bien
- Que no funciono: gaps, confusiones, roles desocupados, informacion que faltaba
- Acciones concretas: cada gap se convierte en una accion asignada con responsable y fecha
Preguntas para el Debrief
- iEn que momento nos dimos cuenta de que era un incidente real
y no un falso positivo?
- iQue informacion nos hubiera gustado tener y no teniamos?
- iHubo momentos de confusion sobre quien tenia autoridad
para decidir?
- iComo nos comunicamos internamente? Funciono ese canal?
- iQue hubsimos hecho diferente si esto hubiera sido real?
- iQue partes del plan de IR se ejecutaron bien y cuales
no estaban documentadas?
Plantilla de AAR (After Action Report)
El formato AAR-IP del CTEP de CISA es ideal. La estructura basica:
| Seccion | Contenido |
|---|---|
| Resumen del ejercicio | Fecha, participantes, escenario, objetivos |
| Analisis de capacidades | Que capacidades se probaron y como resultaron |
| Hallazgos positivos | Que funciono bien, que debe mantenerse |
| Areas de mejora | Que falto, que no estaba documentado, que fue confuso |
| Acciones de mejora | Lista de acciones con responsable, prioridad y fecha limite |
| Adjuntos | Cronologia del ejercicio, inyectables usados, feedback de participantes |
Frecuencia y Programacion
Con Cuanta Frecuencia Hacer TTEs
| Madurez del programa | Frecuencia minima | Frecuencia recomendada |
|---|---|---|
| Primer ano | 1 cada 6 meses | 1 cada trimestre |
| Segundo ano | 1 cada trimestre | 1 bimestral + 1 functional anual |
| Establecido | 1 trimestral | Mix de tabletop, simulation y functional |
Algunos marcos regulatorios exigen frecuencias minimas. Por ejemplo, NERC CIP-008-6 (para infraestructura electrica en EE.UU.) requiere ejercicios de respuesta a incidentes al menos cada 15 meses.
Calendario Sugerido de Escenarios
Para un programa anual de tabletop exercises, rota los escenarios para cubrir diferentes capacidades:
| Trimestre | Escenario | Capacidades probadas |
|---|---|---|
| Q1 | Ransomware | Contencion, recuperacion, decision de pago |
| Q2 | Phishing con compromiso de cuentas | Deteccion, respuesta del SOC, reseteo masivo |
| Q3 | Insider threat | Investigacion interna, legal, HR |
| Q4 | Supply chain compromise | Evaluacion de terceros, comunicacion regulatoria |
Errores Comunes en Tabletop Exercises
1. Disenar el escenario solo para el equipo de seguridad
Un TTE que no incluye a legal, comunicaciones, RRHH y negocio no esta validando la respuesta real de la organizacion. El incidente afecta a todos, y la respuesta debe involucrar a todos.
2. Hacer preguntas con respuesta unica
"iAislan el servidor?" -> si/no es una mala pregunta. "iQue consecuencias operativas tendria aislar este servidor, y que alternativas tenemos?" es una buena pregunta.
3. No documentar hallazgos accionables
Un TTE sin AAR (After Action Report) es una reunion que se olvida. Siempre termina con acciones concretas, responsables y fechas.
4. Usar el mismo escenario cada vez
Si haces ransomware cada trimestre, tu equipo se especializa en ransomware pero no esta preparado para insider threats o supply chain attacks. Rota los escenarios.
5. No repetir el ejercicio
Un solo TTE revela gaps. Repetirlo periodicamente valida que los gaps se cerraron y descubre nuevos. La mejora es un ciclo, no un evento.
6. Confundir tabletop con simulacion tecnica
Un tabletop es discursivo: se habla, no se ejecuta. Si quieres probar que tu SOC puede detectar y contener un ataque real, eso es una simulation exercise (usando herramientas como Atomic Red Team o un red team controlado), no un tabletop.
Herramientas y Plantillas
CTEP de CISA (Gratuito)
Descarga los paquetes completos desde CISA CTEP Documents:
- Exercise Planner Handbook (723 KB) — guia paso a paso para planificar
- Facilitator/Evaluator Handbook (628 KB) — tecnicas de moderacion
- AAR-IP Template (449 KB) — plantilla de informe post-ejercicio
- Invitation Letter Template — formato para invitar participantes
- Participant Feedback Form — evaluacion del ejercicio
Checklist Pre-Ejercicio
[ ] Objetivos del ejercicio definidos y comunicados
[ ] Escenario disenado con 4-6 inyectables
[ ] Participantes confirmados (6-12 personas, todos los roles)
[ ] Facilitador asignado (preferiblemente externo al equipo de seguridad)
[ ] Evaluadores/observadores identificados
[ ] Sala reservada (sin pantallas compartidas)
[ ] Materiales impresos: escenario, inyectables, feedback forms
[ ] Tomador de notas asignado
[ ] Codigo de conducta comunicado
[ ] Contactos de emergencia del organizador disponibles
Conclusión
Un tabletop exercise no es un lujo para organizaciones grandes. Es una necesidad basica para cualquier equipo de seguridad que quiera estar preparado. La diferencia entre un equipo que ha practicado y uno que no se mide en minutos de confusion, decisiones mal comunicadas y clientes que pierden confianza.
El ciclo es simple: diseña un escenario, reune al equipo, discultan el escenario paso a paso, documenta los gaps, cierra los gaps, y repite. Cada iteracion hace al equipo mas rapido, mas coordinado y mas confiado.
No necesitas un budget enorme ni consultores externos. Necesitas un facilitador competente, un escenario realista y 3 horas de tiempo protegido. El CTEP de CISA te da todo eso gratis. Tu organizacion pone el compromiso.
La proxima vez que un ransomware real llegue a tu red, tu equipo no estara improvisando. Estara ejecutando un plan que ya ha practicado. Y esa diferencia lo cambia todo.
Artículos Relacionados
- Incident Response y DFIR: Guia Completa con NIST — El ciclo de vida de respuesta a incidentes segun NIST SP 800-61r3, playbooks y herramientas DFIR que tu equipo ejecutara despues del tabletop.
- Forense Digital: Analisis de Incidentes — Metodologia forense completa que complementa los tabletop exercises cuando un incidente escapa del escenario simulado.
- SOC desde Cero: Centro de Operaciones de Seguridad — Estructura del SOC que ejecuta la deteccion y respuesta discutida en los tabletop exercises.
- Threat Hunting y Blue Team — Hipotesis de caza de amenazas que alimentan escenarios realistas para tabletop exercises basados en TTPs reales.