Hace un año tu organización realizó un simulacro anual de ciberataque. Fue exhaustivo, bien documentado, y al final todos se fueron pensando que estaban preparados. Hoy, cuando un incidente real golpea, descubres que los protocolos se olvidaron, los roles se confunden, y el tiempo de respuesta se mide en horas, no en minutos. Esto es lo que sucede cuando tratas la simulación como práctica operativa solo de manera intermitente.
La realidad en entornos industriales latinoamericanos es brutal: los CISOs y líderes de seguridad OT saben que un incidente cibernético no espera al próximo simulacro anual. Las amenazas evolucionan diariamente, los sistemas cambian semanalmente, y la memoria de lo que se aprendió en el ejercicio anterior se desvanece con los meses. Convertir la simulación en una práctica recurrente—tabletops mensuales, drills de respuesta, chaos engineering controlado—no es un lujo. Es la única forma de construir resiliencia cibernética real.
Por qué los simulacros anuales no alcanzan
Un informe reciente de ENISA, a través de sus ejercicios Cyber Europe, reveló que organismos que realizaban ejercicios de respuesta solo una o dos veces por año mostraban una degradación promedio del 40% en sus capacidades de detección y contención entre simulacros. Cuando el incidente era real, la velocidad de detección (MTTD) se extendía significativamente más allá de lo esperado, y el tiempo de recuperación (MTTR) casi se duplicaba.
¿Por qué ocurre esto? Existen tres razones fundamentales:
Primero, la memoria institucional se diluye. Después de meses sin ejercicios, los equipos olvidan los pasos, los procesos se oxidan, y cuando llega la crisis, no operan según el manual sino según la memoria vaga de algo que pasó hace tiempo.
Segundo, los sistemas cambian constantemente. Las infraestructuras OT no son estáticas. Se integran nuevos dispositivos, se modifican arquitecturas, se escalan operaciones. Un simulacro de hace un año testea un escenario que ya no existe. Las lecciones aprendidas, entonces, caducan rápidamente.
Tercero—y quizá el más crítico—la brecha entre IT y OT no se cierra solos. Sin ejercicios recurrentes que fuercen la coordinación, los equipos vuelven a operar en silos. IT y OT desarrollan lenguajes distintos, protocolos separados, y responsabilidades confusas. Cuando ocurre un incidente real que traverse ambas capas, el caos reina.
Según la última SANS ICS Survey de 2024, solo el 28% de las organizaciones industriales en Latinoamérica realizaban ejercicios de respuesta más de una vez por trimestre. El 62% lo hacía una o dos veces al año. El resultado: una brecha visible entre el tiempo que la organización cree que le toma responder ante un incidente y el tiempo real.
De simulacro anual a práctica operativa recurrente
La transformación hacia simulación como práctica operativa implica estructurar ejercicios en múltiples cadencias, cada uno con un propósito claro:
| Tipo de simulacro | Frecuencia | Objetivo | Quiénes participan |
|---|---|---|---|
| Tabletop estratégico | Trimestral | Evaluar toma de decisiones ante escenarios complejos | Liderazgo (CISOs, COO, directores de operaciones) |
| Drill de detección | Mensual | Validar que herramientas y analistas identifican amenazas | Equipo SOC / Security Operations |
| Ejercicio de contención IT-OT | Bimestral | Probar coordinación en incidentes que cruzan capas | IT + OT + Operaciones |
| Chaos engineering controlado | Trimestral (OT) | Inyectar fallos en ambientes de sandbox | Equipo técnico + arquitectos |
| Simulacro full-stack | Anual | Ejercicio exhaustivo que replica condiciones reales | Toda la organización |
Esta estructura no es aleatoria. Los drills mensuales mantienen viva la memoria institucional. Los tabletops trimestrales fuerzan a la liderazgo a pensar estratégicamente bajo presión. Los ejercicios bimestrales entre IT y OT cierran la brecha que invariablemente aparece. Y el ejercicio anual sigue siendo importante—pero no como el único evento, sino como el más intenso dentro de un continuo.
Gemelos digitales como sandbox de simulación
Una evolución importante en cómo las organizaciones ejecutan simulación operativa es el uso de gemelos digitales. En lugar de ejercicios puramente teóricos o tabletops desconectados de la realidad técnica, los gemelos digitales permiten que equipos ejecuten drills en un entorno que replica la infraestructura real sin riesgo de afectar la producción.
Los gemelos digitales para OT permiten testear cómo se propagan anomalías en redes industriales, cómo responden los SCADA ante comportamientos no esperados, y cómo actúa el equipo sin las presiones de una operación activa. Muchos CISOs en la región están adoptando esta approach como parte de su cadencia de simulación trimestral.
Métricas que realmente importan
Cuando conviertes la simulación en práctica operativa, surge una pregunta inevitable: ¿cómo medimos progreso? Aquí, el enfoque no puede ser solo “pasó” o “no pasó”. Necesitas métricas que reflejen resiliencia real:
El MTTD (Mean Time to Detect) es la métrica más crítica. Un ejercicio debe mostrar si el equipo está mejorando en la velocidad con la que identifica comportamientos anómalos. En sectores como energía e infraestructuras críticas, reducir el MTTD de 72 horas a 4 horas es la diferencia entre un incidente manejable y un apagón.
El MTTR (Mean Time to Recovery) mide la capacidad de retornar a operación normal. Esto no es solo “restaurar un servidor”, es recuperar funcionalidad en un sistema industrial donde quizá uno de los componentes críticos necesita estar inactivo temporalmente.
Existe también una métrica menos tangible pero igual de importante: la calidad de las decisiones tomadas bajo presión. En tabletops, esto se evalúa pregununtando: ¿el equipo escaló correctamente? ¿Aislaron el incidente en la zona adecuada? ¿Comunicaron oportunamente a partes interesadas? Las decisiones correctas bajo incertidumbre definen la verdadera resiliencia.
Rastrear estas métricas a través de ejercicios sucesivos permite ver si la organización está aprendiendo. Un MTTD que no mejora después de tres drills mensuales señala un problema: quizá falta inversión en herramientas de detección, o el equipo no está internalizar lecciones.
Cruzar la brecha IT-OT mediante ejercicios recurrentes
Uno de los hallazgos más consistentes en incidentes reales es que la mayoría de las fallas ocurren en la interfaz entre IT y OT. Esto ocurre porque IT y OT típicamente:
– Operan con procesos de escalación distintos
– Tienen diferentes tolerancias de riesgo (IT tolera paradas breves; OT no)
– Hablan lenguajes distintos (RTO vs. safety criticality)
– Responden a regulaciones diferentes (GDPR vs. IEC 62443)
Sin ejercicios que los fuercen a colaborar recurrentemente, estas brechas nunca se cierran. Los ejercicios bimestrales IT-OT deben incluir:
Un incidente que inicie en la red corporativa y se propague a sistemas SCADA. Esto obliga a IT a entender cómo un ataque convencional mutea cuando entra en un entorno OT, y requiere que OT comprenda las cadenas de compromiso que vienen desde la red corporativa.
Comunicación en tiempo real. Los equipos deben ejecutar el ejercicio en salas separadas—así replica las condiciones reales—pero con canal de comunicación abierto para coordinar respuesta.
Decisiones de trade-off bajo presión. En un incidente real, quizá necesitas aislar un segmento de red que podría afectar producción. El equipo debe practicar estas decisiones en simulación.
Frameworks que habilitan simulación recurrente
No inventas esto desde cero. Los principales frameworks de ciberseguridad industrial—IEC 62443, NIST CSF 2.0, NERC CIP—incluyen requisitos explícitos para ejercicios periódicos. Sin embargo, muchas organizaciones los interpretan como requerimiento de un simulacro anual.
La lectura más correcta es que estos frameworks demandan una cadencia de evaluación continua. IEC 62443, por ejemplo, habla de “ciclos de mejora” y validación periódica de controles. NIST CSF 2.0, recientemente actualizado, enfatiza que la detección y respuesta deben ser prácticas “matrizadas” (medidas, testadas, refinadas continuamente).
Alinearse con frameworks mientras se ejecuta una cadencia de simulación recurrente no es duplicar esfuerzo. Es usar los frameworks como estructura para que los ejercicios sean sistemáticos, comparables, y orientados hacia objetivos cuantificables.
El camino hacia la madurez operativa
Transformar una organización desde “simulacro anual” a “simulación como práctica operativa” requiere tiempo. No ocurre en trimestres. El camino típico es:
Año 1: Establece la cadencia básica. Comienza con tabletops trimestrales y drills mensuales en el SOC. Documenta lo que funciona y qué no.
Año 2: Escala IT-OT. Incorpora ejercicios bimestrales que cruzan capas. Introduce gemelos digitales si la inversión lo permite.
Año 3: Automatiza y optimiza. Herramientas de orquestación permiten drills más frecuentes. Métricas se refinan. La cultura de simulación está embebida.
Este camino es sostenible porque se integra en la operación regular, no compite con ella.
Conclusión: la simulación no es un evento, es un músculo
Una organización con verdadera resiliencia cibernética no es la que tiene el mejor simulacro anual. Es la que practica continuamente, aprende de cada ejercicio, y mejora las métricas que importan. En contextos industriales latinoamericanos, donde las amenazas específicas a OT son cada vez más sofisticadas y donde las infraestructuras críticas no pueden detenerse, esta diferencia es existencial.
Simulación como práctica operativa significa reconocer que los incidentes van a ocurrir, y que la única forma de minimizar su impacto es practicar la respuesta hasta que sea automática, coordinada y eficaz. No es burocracia. Es supervivencia operativa.
