Arranquemos con números.

65% de las organizaciones en LATAM dice sentirse preparada para un ciberataque
17% revisa su estrategia de ciberseguridad al menos una vez al mes
10% jamás ha hecho una revisión formal

Esa distancia entre lo que se cree y lo que realmente se hace es donde operan los atacantes. No necesitan un zero-day. Les alcanza con que el plan de respuesta a incidentes sea un PDF que nadie leyó.

Latinoamérica es la región con mayor crecimiento de ciberataques del planeta.

Ataques semanales por organización en LATAM (junio 2026)
3,501
Promedio global
1,984
Check Point Research, 2025

A junio de 2026, LATAM está más del doble que el promedio global. La tendencia de los últimos tres años:

2024 (+53% interanual)
2,569/sem
2025 (+26% interanual)
3,065/sem
2026 (+27% interanual)
3,501/sem
Check Point Research, 2024–2026

En ransomware los números son más contundentes.

+259% incremento de ransomware en LATAM (SonicWall, 2025). En Norteamérica fue 8% en el mismo período.
8.13% de las organizaciones en LATAM experimentó ransomware en 2025, la tasa más alta del mundo. APAC: 7.89%. Europa: 3.82%.
SonicWall Cyber Threat Report 2025 · Kaspersky State of Ransomware 2026

Con 3,501 ataques semanales promedio a junio de 2026, la mayoría de las organizaciones de la región va a enfrentar un incidente. La diferencia entre contención rápida y desastre operativo está en si alguien en la sala sabe qué hacer cuando el EDR dispara alertas un viernes a las 6 p.m.

Qué es un tabletop exercise

Un TTX es una simulación estructurada de un incidente. Se reúne a las personas clave, se presenta un escenario de ataque realista y se observa qué pasa. Sin herramientas de seguridad en juego, sin compromiso real. Solo personas, decisiones y el momento incómodo en que alguien descubre que nadie sabe quién debe llamar al equipo legal.

Es simple. Y funciona.

$2.66M ahorro promedio en costo de brecha con un plan de IR probado regularmente
$3.81M costo promedio de una brecha en LATAM
IBM Cost of a Data Breach Report

Un TTX bien ejecutado revela cosas que ningún documento de políticas va a anticipar:

  • Cadenas de escalamiento que funcionan en el organigrama pero fallan a las 2 a.m. porque la persona que autoriza contenciones está durmiendo con el teléfono en silencio.
  • Suposiciones cruzadas donde el equipo de IR cree que ya se notificó al directorio, el directorio cree que no pasa nada y todos se enteran al mismo tiempo desde la cuenta de un periodista en Twitter.
  • Estrategias de backup que en papel cubren todo pero dependen de un servidor que se dio de baja hace seis meses. Nadie actualizó el runbook.
  • El director legal aprendiendo qué significa “lateral movement” mientras el CISO ya tomó dos decisiones sin consultarlo.

El problema en LATAM

El informe de ciberseguridad 2025 del BID-OEA cubre 30 países de la región y muestra que la madurez está mejorando. Más países tienen CSIRT nacionales. Más países tienen leyes de delitos informáticos. Eso es progreso concreto.

Pero el mismo informe identifica brechas en las áreas que un TTX está diseñado para probar: coordinación entre sectores, claridad de roles durante una crisis y traducción de políticas en procesos operativos.

En buena parte de LATAM la ciberseguridad se sigue viendo como un problema de IT. Algo que el equipo de infraestructura arregla detrás del firewall. Un ataque de ransomware que frena operaciones por dos semanas no es un problema de IT. Es un problema de continuidad de negocio. El CFO, el director legal, el jefe de comunicaciones y el CEO tienen roles que cumplir durante un incidente. Si los descubren en el momento del incidente, la respuesta ya falló antes de empezar.

Entre 2021 y 2024 se hicieron TTX en México, Guatemala y Costa Rica, coordinados por el Comité Interamericano contra el Terrorismo (CICTE/OEA) y la Junta Interamericana de Defensa. Participaron sectores como defensa, energía, finanzas y telecomunicaciones. Fueron ejercicios bien diseñados y produjeron hallazgos aplicables. Pero fueron iniciativas gubernamentales, esporádicas, enfocadas en coordinación a nivel nacional. El sector privado latinoamericano en gran medida está solo, si es que está haciendo algo. Y cuando se organiza un ejercicio, con frecuencia el objetivo es cumplir con un requerimiento normativo más que someter el plan a una prueba de estrés real.

80% de los equipos de seguridad a nivel global reporta que no practica lo suficiente
1 de cada 3 organizaciones hace TTX una vez al año o menos
2025 State of Cyber Incident Response Management

El threat landscape no espera al ciclo de revisión anual.

Cómo se diseña un TTX que sirve

Correr un ejercicio y correr uno que cambie algo son dos cosas distintas. La mayoría hace lo primero.

Arrancar por lo técnico, escalar al liderazgo. Un TTX donde el C-suite discute su respuesta a “un evento de ransomware” en términos genéricos no sirve. El ejercicio empieza con la gente que opera los sistemas. Escenario concreto: “Viernes 6 p.m. El EDR dispara alertas en tres controladores de dominio. El servidor de backups también está afectado. ¿Qué hacen en los primeros 15 minutos?” Después se corre una segunda sesión con el liderazgo usando los hallazgos de la primera.

Usar infraestructura real. Nombres de servidores reales, rangos de IP reales, proveedores con los que la organización efectivamente trabaja. Si hay una instancia de SAP que nadie quiere reiniciar, que aparezca en el escenario. Si el appliance VPN no se parcha desde 2023, que aparezca. Escenarios genéricos generan respuestas genéricas. Escenarios específicos generan reacciones honestas.

Probar lo físico y lo administrativo. Alguien tiene las llaves del data center? Quién puede autorizar apagar un servidor de producción a la 1 a.m. sin pedir permiso? La laptop de IR tiene batería o sigue en un cajón descargada desde el simulacro anterior? El canal de comunicación alternativo funciona un domingo o depende de un proveedor que atiende de lunes a viernes? Estos detalles definen si un incidente se contiene en horas o en semanas.

Documentar y ejecutar. Cada TTX produce un informe con acciones específicas, responsables designados y fechas límite. “Revisar la cadena de escalamiento” no es una acción. “El líder del SOC actualiza el documento de guardias con el contacto de emergencia del nuevo director de finanzas antes del viernes 25” sí lo es.

Frecuencia sobre complejidad. Un equipo de fútbol que entrena una vez al año no rinde el día del partido. Con los TTX pasa lo mismo. Una sesión de dos horas cada trimestre es más efectiva que un ejercicio de dos días cada dieciocho meses.

En resumen

Las organizaciones en LATAM están invirtiendo más en ciberseguridad. El mercado se proyecta de $21.6B en 2024 a $40.9B hacia 2033. El gasto va a herramientas: EDR, SIEM, firewalls, plataformas de identidad. Son necesarias. Pero las herramientas no toman decisiones bajo presión.

Costo de un TTX (1 día, alcance estándar)
$10K–30K
Costo promedio de una brecha en LATAM
$3,810,000
IBM, fuentes de la industria

Eso no incluye daño reputacional, exposición regulatoria ni el hecho de que el 52% de las víctimas regionales termina pagando el rescate, financiando la siguiente ola de ataques.

El retorno de inversión de un TTX se justifica con los números de arriba. El paso que pocas organizaciones dan es ejecutar el plan, romperlo, corregirlo y volver a ejecutarlo. Mientras el plan descanse en una carpeta de SharePoint bajo el nombre FINAL_v3_revisado_APROBADO, sigue siendo una hipótesis sin probar.

Assume nothing. De eso se trata el ejercicio.


Fuentes