Imaginemos un escenario: un empleado recibe un correo de apariencia legítima solicitando su acceso a ciertos sistemas internos. Sin saberlo, se enfrenta a una técnica de spear-phishing. En un entorno no preparado, este podría ser el inicio de una cadena de eventos devastadora. Pero, en una organización que ha implementado ejercicios “Table-Top”, esta situación se convierte en una oportunidad para aprender y mejorar.

En el panorama actual, donde las ciber amenazas evolucionan constantemente, contar con un equipo bien entrenado y consciente de los riesgos es crucial. Sin embargo, más allá de la tecnología y las herramientas, existe un aspecto fundamental en la defensa: la preparación y concienciación de cada miembro de la organización. Aquí es donde la “Gamificación” y los ejercicios “Table-Top” juegan un papel central.

¿Qué es la “Gamificación” y un “Ejercicio Table-Top”?

La Gamificación es una técnica que consiste en aplicar elementos y mecánicas propias de los juegos, como desafíos, roles, recompensas y narrativas, en entornos no lúdicos como la formación profesional, con el objetivo de motivar a las personas y potenciar el aprendizaje. En el contexto de la ciberseguridad, la gamificación transforma lo que podría ser un entrenamiento tradicional en una experiencia interactiva, donde los participantes aprenden al “jugar” con escenarios realistas que simulan amenazas y desafíos del mundo real.

Por otro lado, un Ejercicio Table-Top es una herramienta específica de gamificación que trata de ser una simulación práctica (en el ámbito de la ciberseguridad podríamos hablar de simular un ciber incidente) en la que los participantes, organizados como un equipo multidisciplinar, deben resolver problemas y tomar decisiones estratégicas en tiempo real. A diferencia de otros simulacros que involucran sistemas o infraestructura real, el Table-Top se lleva a cabo en un entorno controlado y libre de riesgos donde los participantes discuten, debaten y resuelven problemas planteados por un “narrador”. La sesión permite a los equipos evaluar su capacidad de respuesta, descubrir posibles brechas en los procesos, y tomar decisiones estratégicas sin el riesgo de un impacto real.

Beneficios para la Empresa

Más allá de la práctica, los “Ejercicios Table-Top” tienen un valor añadido para la empresa ya que permite, entre otros:

  1. Aumento de la Conciencia de Seguridad: Cada empleado, independientemente de su rol, se convierte en una línea de defensa. Al participar en simulaciones de posibles ataques, los empleados adquieren una perspectiva clara de cómo sus acciones pueden ser aprovechadas por actores malintencionados.
  2. Mejora de la Capacidad de Respuesta: La simulación revela las fortalezas y debilidades de los protocolos de respuesta a incidentes. Las lecciones aprendidas ayudan a perfeccionar el plan de respuesta, mejorando la resiliencia de la organización.
  3. Fomento de una Cultura de Seguridad: Los ejercicios demuestran que la seguridad no es solo responsabilidad del equipo de TI. Al integrar a diferentes departamentos, se fortalece la cultura de colaboración y la comprensión de que todos son responsables de la seguridad.

Un claro ejemplo es la Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA), que ha implementado ejercicios de simulación Table-Top para entidades gubernamentales y sectores críticos. A través de estos ejercicios, CISA trabaja con diversas agencias para mejorar su preparación y capacidad de respuesta.

Otro ejemplo es el de ENISA (European Union Agency for Cybersecurity), que cada dos años organiza ejercicios de “cibercrisis”, como el «Cyber Europe», donde participan miles de expertos de diferentes sectores. Estos ejercicios Table-Top presentan escenarios realistas inspirados en sucesos y amenazas reales donde se simulan incidentes de ciberseguridad a gran escala.

Estas simulaciones no solo crean protocolos, sino que aumentan la confianza de los empleados en su capacidad de actuar eficazmente ante un incidente real y ayudan a estandarizar respuestas, minimizar tiempos de recuperación y mejorar la coordinación entre agencias.

¿Cómo Funciona un Ejercicio Table-Top?

Un “Ejercicio Table-Top” típico comienza con un planteamiento inicial descrito por el rol del narrador o, si lo asemejamos a los juegos de rol,  el “Game Master”. Esta persona es la persona que, siguiendo con el ejemplo descrito anteriormente, podría explicar cómo una campaña de phishing ha entrado en la organización y a través de sucesivos acontecimientos va ganando acceso a los sistemas de la organización, escalando privilegios o comprometiendo recursos críticos de una organización. En este “Ejercicio Table-Top” los equipos participantes, que pueden estar compuestos por perfiles diversos como TI, legal, recursos humanos y comunicaciones, entran en una dinámica que gira en torno a la narración progresiva de un ciberataque en tiempo real. Cada acontecimiento o evento descrito por el “Game Master” introduce nuevas variables que los equipos participantes deberán utilizar para llevar a cabo una correcta toma de decisiones estratégicas que les permitan contener y neutralizar el ataque. Cada decisión tomada afecta la evolución del ejercicio y determina el progreso del ataque.

La narración dinámica y la progresión del ataque no solo recrean la tensión de un ciber incidente, sino que también permiten que los equipos experimenten cómo sus elecciones impactan directamente en el éxito o fracaso de la defensa organizativa.

Ejercicio Table-Top en Perseus

En el marco del Mes Europeo de la Ciberseguridad, celebrado el pasado mes de octubre, en Perseus tuvimos la oportunidad de llevar a cabo un “Ejercicio Table-Top” diseñado para fortalecer la preparación y concienciación de nuestros equipos frente a ciberamenazas reales.

El Escenario: Un Ataque en Progreso

La actividad estuvo enfocada en un escenario basado en un ataque real, lo que permitió a los participantes experimentar de primera mano los desafíos y decisiones que se enfrentan en un incidente de seguridad.

La dinámica del ejercicio comenzó con una situación inicial aparentemente trivial:

“Se detectan actividades sospechosas en un servidor de acceso remoto de la organización. Algunos sistemas críticos están ralentizados, y un empleado reporta dificultades al acceder a su correo corporativo.”

Bajo la dirección del narrador/Game Master, se fue describiendo la progresión del ataque en tiempo real:

    • Inicio: La detección inicial de actividades sospechosas.
    • Evolución: El atacante comienza a cifrar sistemas clave, mientras intenta moverse lateralmente por la red.ç
    • Impacto: Servicios críticos comienzan a caer, y los equipos reciben una nota de rescate.

El Rol del Game Master

En un “Ejercicio Table-Top”, el Narrador o “Game Master” es una pieza central que garantiza el éxito y la efectividad del simulacro. Su rol no se limita a la mera descripción de los acontecimientos; el Game Master actúa como un director de orquesta, guiando el flujo del ejercicio y adaptando los desafíos en función de las decisiones tomadas por los participantes.

De esta forma, el Game Master fue introduciendo nuevos acontecimientos a medida que el ataque avanzaba:

Fase 1: Acceso Inicial y Movimientos Laterales

El atacante ha obtenido acceso inicial a través de credenciales comprometidas y comienza a moverse lateralmente dentro de la red. Se observan intentos de acceso no autorizado en servidores de misión crítica.

Fase 2: Escalado del Ataque

La red presenta una actividad inusual en varios sistemas SCADA. Algunos servicios se desconectan momentáneamente, y los operadores comienzan a perder visibilidad de sus controles.

Fase 3: El Impacto

El atacante ha ejecutado comandos para interrumpir servicios críticos. El sistema de control se desconecta, simulando un apagón. Al mismo tiempo, se lanza un ataque de denegación de servicio telefónico (TDoS) que bloquea el centro de soporte al cliente, impidiendo la comunicación.

Fase 4: La Recuperación

Los equipos debían coordinarse para contener el ataque, restaurar los sistemas y gestionar la comunicación con clientes, medios de comunicación y stakeholders, enfrentando dilemas como:

      • ¿Desconectar toda la red para contener el ataque?
      • ¿Comunicar la situación a las autoridades y clientes de inmediato o esperar más información?
      • ¿Cómo priorizar el restablecimiento de los sistemas críticos?

Resultados y Lecciones Aprendidas

El ejercicio permitió a los participantes experimentar la gestión de una crisis producida por un ciberataque, comprendiendo el impacto que sus decisiones en el tiempo tenían sobre la organización y destacando la importancia de la coordinación interdepartamental. Inspirado en un incidente real, el ejercicio dejó claro que, en ciberseguridad, el tiempo y la preparación son factores determinantes para contener una amenaza antes de que cause daños irreparables.

Conclusión

Los ejercicios Table-Top y otras herramientas de gamificación representan una vía complementaria y efectiva para alcanzar este objetivo. Al combinar la teoría con escenarios prácticos y dinámicos, conseguimos transformar conceptos abstractos en experiencias tangibles, donde cada participante comprende la importancia de su rol en la defensa de la organización y adquiere habilidades clave para actuar en situaciones reales. En estos ejercicios no solo fortalecen las capacidades técnicas y estratégicas de los equipos, sino que también fomentan una cultura de seguridad compartida en la que cada miembro de la organización se convierte en una línea de defensa activa.

En Perseus, estamos firmemente comprometidos con la formación y concienciación en ciberseguridad tanto en las organizaciones como en las personas. Creemos que la educación y la preparación son las armas más efectivas para protegernos frente a las ciberamenazas en un mundo cada vez más interconectado y complejo. Por ello, desde Perseus seguiremos impulsando iniciativas innovadoras que ayuden a las empresas a reforzar su resiliencia cibernética y a las personas a ser más conscientes, preparadas y seguras en su día a día digital. Porque en la ciberseguridad, cada acción cuenta, y cada persona marca la diferencia.