Arranquemos con números.
Esa distancia entre lo que se cree y lo que realmente se hace es donde operan los atacantes. No necesitan un zero-day. Les alcanza con que el plan de respuesta a incidentes sea un PDF que nadie leyó.
Latinoamérica es la región con mayor crecimiento de ciberataques del planeta.
A junio de 2026, LATAM está más del doble que el promedio global. La tendencia de los últimos tres años:
En ransomware los números son más contundentes.
Con 3,501 ataques semanales promedio a junio de 2026, la mayoría de las organizaciones de la región va a enfrentar un incidente. La diferencia entre contención rápida y desastre operativo está en si alguien en la sala sabe qué hacer cuando el EDR dispara alertas un viernes a las 6 p.m.
Qué es un tabletop exercise
Un TTX es una simulación estructurada de un incidente. Se reúne a las personas clave, se presenta un escenario de ataque realista y se observa qué pasa. Sin herramientas de seguridad en juego, sin compromiso real. Solo personas, decisiones y el momento incómodo en que alguien descubre que nadie sabe quién debe llamar al equipo legal.
Es simple. Y funciona.
Un TTX bien ejecutado revela cosas que ningún documento de políticas va a anticipar:
- Cadenas de escalamiento que funcionan en el organigrama pero fallan a las 2 a.m. porque la persona que autoriza contenciones está durmiendo con el teléfono en silencio.
- Suposiciones cruzadas donde el equipo de IR cree que ya se notificó al directorio, el directorio cree que no pasa nada y todos se enteran al mismo tiempo desde la cuenta de un periodista en Twitter.
- Estrategias de backup que en papel cubren todo pero dependen de un servidor que se dio de baja hace seis meses. Nadie actualizó el runbook.
- El director legal aprendiendo qué significa “lateral movement” mientras el CISO ya tomó dos decisiones sin consultarlo.
El problema en LATAM
El informe de ciberseguridad 2025 del BID-OEA cubre 30 países de la región y muestra que la madurez está mejorando. Más países tienen CSIRT nacionales. Más países tienen leyes de delitos informáticos. Eso es progreso concreto.
Pero el mismo informe identifica brechas en las áreas que un TTX está diseñado para probar: coordinación entre sectores, claridad de roles durante una crisis y traducción de políticas en procesos operativos.
En buena parte de LATAM la ciberseguridad se sigue viendo como un problema de IT. Algo que el equipo de infraestructura arregla detrás del firewall. Un ataque de ransomware que frena operaciones por dos semanas no es un problema de IT. Es un problema de continuidad de negocio. El CFO, el director legal, el jefe de comunicaciones y el CEO tienen roles que cumplir durante un incidente. Si los descubren en el momento del incidente, la respuesta ya falló antes de empezar.
Entre 2021 y 2024 se hicieron TTX en México, Guatemala y Costa Rica, coordinados por el Comité Interamericano contra el Terrorismo (CICTE/OEA) y la Junta Interamericana de Defensa. Participaron sectores como defensa, energía, finanzas y telecomunicaciones. Fueron ejercicios bien diseñados y produjeron hallazgos aplicables. Pero fueron iniciativas gubernamentales, esporádicas, enfocadas en coordinación a nivel nacional. El sector privado latinoamericano en gran medida está solo, si es que está haciendo algo. Y cuando se organiza un ejercicio, con frecuencia el objetivo es cumplir con un requerimiento normativo más que someter el plan a una prueba de estrés real.
El threat landscape no espera al ciclo de revisión anual.
Cómo se diseña un TTX que sirve
Correr un ejercicio y correr uno que cambie algo son dos cosas distintas. La mayoría hace lo primero.
Arrancar por lo técnico, escalar al liderazgo. Un TTX donde el C-suite discute su respuesta a “un evento de ransomware” en términos genéricos no sirve. El ejercicio empieza con la gente que opera los sistemas. Escenario concreto: “Viernes 6 p.m. El EDR dispara alertas en tres controladores de dominio. El servidor de backups también está afectado. ¿Qué hacen en los primeros 15 minutos?” Después se corre una segunda sesión con el liderazgo usando los hallazgos de la primera.
Usar infraestructura real. Nombres de servidores reales, rangos de IP reales, proveedores con los que la organización efectivamente trabaja. Si hay una instancia de SAP que nadie quiere reiniciar, que aparezca en el escenario. Si el appliance VPN no se parcha desde 2023, que aparezca. Escenarios genéricos generan respuestas genéricas. Escenarios específicos generan reacciones honestas.
Probar lo físico y lo administrativo. Alguien tiene las llaves del data center? Quién puede autorizar apagar un servidor de producción a la 1 a.m. sin pedir permiso? La laptop de IR tiene batería o sigue en un cajón descargada desde el simulacro anterior? El canal de comunicación alternativo funciona un domingo o depende de un proveedor que atiende de lunes a viernes? Estos detalles definen si un incidente se contiene en horas o en semanas.
Documentar y ejecutar. Cada TTX produce un informe con acciones específicas, responsables designados y fechas límite. “Revisar la cadena de escalamiento” no es una acción. “El líder del SOC actualiza el documento de guardias con el contacto de emergencia del nuevo director de finanzas antes del viernes 25” sí lo es.
Frecuencia sobre complejidad. Un equipo de fútbol que entrena una vez al año no rinde el día del partido. Con los TTX pasa lo mismo. Una sesión de dos horas cada trimestre es más efectiva que un ejercicio de dos días cada dieciocho meses.
En resumen
Las organizaciones en LATAM están invirtiendo más en ciberseguridad. El mercado se proyecta de $21.6B en 2024 a $40.9B hacia 2033. El gasto va a herramientas: EDR, SIEM, firewalls, plataformas de identidad. Son necesarias. Pero las herramientas no toman decisiones bajo presión.
Eso no incluye daño reputacional, exposición regulatoria ni el hecho de que el 52% de las víctimas regionales termina pagando el rescate, financiando la siguiente ola de ataques.
El retorno de inversión de un TTX se justifica con los números de arriba. El paso que pocas organizaciones dan es ejecutar el plan, romperlo, corregirlo y volver a ejecutarlo. Mientras el plan descanse en una carpeta de SharePoint bajo el nombre FINAL_v3_revisado_APROBADO, sigue siendo una hipótesis sin probar.
Assume nothing. De eso se trata el ejercicio.
Fuentes
- Check Point Research — Global Threat Intelligence, June 2026
- Kaspersky — State of Ransomware 2026
- SOCRadar — LATAM Threat Landscape Report 2026
- SonicWall — 2025 Annual Cyber Threat Report
- SonicWall LATAM — Ransomware skyrocketed in Latin America
- IBM — Cost of a Data Breach Report 2025
- IDB-OAS — 2025 Cybersecurity Report: Vulnerability and Maturity Challenges
- WEF — Global Cybersecurity Outlook 2025
- CICTE/OAS — Ejercicios de gestión de crisis cibernéticas, México y Guatemala 2024
- Digital Recovery — Latin America on high alert: ransomware surges by 259%