Simulaciones de Ciberseguridad: Tabletop y SitMan el dúo dinámico

23 de Junio, 2025

Ciberseguridad NERC-CIP Cumplimiento Normativo

¿Quieres una guía de SITMAN de Robo PDF?

Tabletop y SitMan: entrenando para lo inesperado en ciberseguridad eléctrica

Todo comenzó con un candado roto.

03:42 — Movimiento detectado El sistema de CCTV de la subestación San Vicente detecta una figura en el perímetro. Las cámaras térmicas confirman presencia, pero nadie responde al llamado inicial.

03:48 — SCADA en silencio Las señales del sistema SCADA se detienen repentinamente. Las alarmas silenciosas se activan, pero no logran escalarse a tiempo.

04:02 — Descubrimiento en terreno Un guardia en ronda encuentra la escena: candados cortados, rejas abiertas, la caseta de comunicaciones forzada. El panel de control ha sido arrancado, cables colgando, y lo más crítico: falta el switch principal de comunicaciones y un notebook técnico con acceso directo al entorno OT.

El silencio es absoluto… Solo una linterna ilumina los rastros de una operación precisa y premeditada. Un router aún parpadea, como si intentara decir que algo no anda bien.

Otras veces, no se necesita cortar un candado. Basta un clic.

08:10 — Pantallas azules Usuarios reportan fallos simultáneos. Archivos inaccesibles. Carpetas cifradas.

08:15 — Mensaje de extorsión El fondo de pantalla cambia: “Your files are encrypted. Pay in 48 hours or lose everything.”

08:30 — Caída de red y pánico operativo Los respaldos en línea también fueron cifrados. La red interna colapsa. Lo más inquietante: comienzan a perderse datos desde sensores industriales. ¿El ransomware llegó al entorno OT?

Pero esta vez no hubo corte, ni impacto real. Porque esta vez, todo fue parte de un ejercicio de simulación controlado, conocido como tabletop. Una forma efectiva, directa y a bajo costo de prepararse para ciberincidentes reales. El corazón estructural de ese ejercicio: un documento llamado SitMan.

¿Qué es un tabletop en ciberseguridad?

Un tabletop exercise (TTX) es un ejercicio planificado donde los participantes, desde sus escritorios o sala de crisis, simulan su respuesta ante un incidente de seguridad.

No se usan herramientas técnicas ni se apagan sistemas reales: lo que se activa es la toma de decisiones, la comunicación y la coordinación entre equipos.

Y ahí es donde aparece el valor real: ver cómo actúan personas clave —TI, OT, comunicaciones, legal, operaciones— cuando el reloj corre y las decisiones importan.

¿Y qué es un SitMan?

SITMAN significa Situation Manual. Es el documento que da vida al tabletop:

Presenta el escenario ficticio (por ejemplo, un ataque ransomware o una intrusión física).
Describe los módulos o fases del incidente (detección, contención, comunicación, recuperación).
Define los roles de los participantes y los facilita con preguntas provocadoras.
Incluye los objetivos del ejercicio y las métricas de evaluación.

Sin SitMan, el tabletop es improvisado. Con SitMan, es entrenamiento estratégico.

Además, un buen SitMan debe apoyarse en la documentación ya existente de la organización:

Planes de recuperación ante desastres (DRP),
Análisis de impacto al negocio (BIA),
Planes de respuesta a incidentes.

Si estos existen, el tabletop es una excelente forma de usarlos y reforzar su conocimiento práctico. Y si no existen o no se conocen… el ejercicio es una señal clara de que es hora de crearlos o revisarlos.

¿Por qué hacer un tabletop?

Porque no basta con tener políticas y manuales: hay que ver si funcionan bajo presión. Los tabletop permiten:

Ver cómo reacciona el equipo ante escenarios complejos.
Identificar puntos ciegos: ¿quién toma decisiones?, ¿a quién se avisa?, ¿qué se prioriza?
Evaluar y mejorar planes de recuperación, protocolos de respuesta y comunicación interna.
Generar evidencia documentada de preparación para auditorías o cumplimiento normativo.

No es casualidad que los principales marcos de seguridad lo respalden. El NIST, en su Cybersecurity Framework (CSF 2.0), destaca la importancia de realizar ejercicios periódicos para fortalecer la respuesta a incidentes. La ISO/IEC 27001 y su guía 27035 recomiendan prácticas similares. Incluso NERC‑CIP, aunque no obliga al uso de tabletop, sí exige probar regularmente los planes de respuesta (CIP‑008) y recuperación (CIP‑009), objetivos que se cumplen con eficiencia a través de este tipo de simulaciones.

En definitiva, la preparación no se alcanza solo con procedimientos escritos, sino con entrenamiento práctico y colaborativo. Porque cuando el incidente ocurre, no hay espacio para ensayar.

¿Qué áreas deben participar?

Un incidente nunca afecta solo a TI. Por eso, es clave incluir a:

Operaciones, que entienden el impacto real en los procesos críticos.
OT y TI, responsables de redes, SCADA, controladores y respaldos.
Seguridad física, especialmente en escenarios híbridos.
Comunicaciones, tanto internas como de cara a clientes y prensa.
Gerencia y continuidad de negocio, quienes autorizan decisiones.

Cuanto más diversa la mesa, mejor la respuesta.

¿Qué obtienes al implementar un tabletop?

Validación operativa: Compruebas si tus procedimientos son efectivos en situaciones reales
Coordinación inter-áreas: Fomenta el trabajo conjunto entre TI, OT, seguridad, operaciones y legal
Evidencia útil: Generas reportes que sirven para auditorías o planes de mejora
Cultura de seguridad: Sensibilizas a tu equipo desde la experiencia, no desde la teoría
Mejora continua: Cada ejercicio entrega datos accionables para cerrar brechas

¿Cómo se llevan a cabo estos ejercicios en la práctica?

Aunque la palabra “ejercicio” puede sonar técnica o intimidante, en realidad los tabletop con SitMan suelen desarrollarse en entornos muy accesibles. Se pueden organizar de diversas formas:

Workshops presenciales, en una sala de crisis o sala de reuniones.
Reuniones telemáticas, útiles para equipos distribuidos.
Webinars dirigidos, ideales para capacitar a varias filiales a la vez.
Ejercicios híbridos, que combinan lectura individual y discusión grupal.

En todos los casos, lo importante es la preparación del escenario, el rol del facilitador y el registro de decisiones para un buen análisis posterior.

¿Cada cuánto tiempo se deben realizar?

La recomendación más común es al menos una vez al año. En sectores críticos, se sugiere una frecuencia semestral o trimestral, sobre todo si hay alta rotación de personal o procesos de auditoría próximos.

Referencias y recursos útiles

¿Quieres ver cómo se estructura uno en la práctica? Descarga nuestra guía gratuita con un ejemplo de SitMan para Robo aplicado al sector eléctrico y comienza a planificar tus propios ejercicios.

Simula hoy, para responder mejor mañana.

Tu momento de definición

Un tabletop es una simulación sin riesgo. El SitMan es la hoja de ruta que lo vuelve eficaz. Juntos forman una de las mejores herramientas para prepararte frente a ciberincidentes, especialmente en entornos eléctricos donde el tiempo de reacción y la coordinación pueden marcar la diferencia entre una alerta y un apagón.

La pregunta ya no es si estás preparado para un ciberincidente, sino cómo vas a entrenar a tu equipo antes de que ocurra. ¿Vas a esperar a que te golpee la próxima crisis, o vas a crear una cultura de anticipación, coordinación y respuesta?

En palabras de Louis Pasteur, “la suerte favorece solo a las mentes preparadas”. En Codevsys creemos que la resiliencia no es un atributo técnico, es una práctica constante. Por eso, te ayudamos a convertir simulaciones en decisiones, manuales en acciones y personas en protagonistas de su propia defensa.

La próxima vez que te pregunten si estás listo… ya tendrás algo concreto que mostrar.