Blog·Técnico

Qué es un SOC y cómo funciona en la práctica

El Security Operations Center (SOC) es el corazón de la defensa activa en ciberseguridad. Analizamos su estructura, los roles de cada analista, las herramientas que utilizan y cómo responden a un incidente real.

Equipo Segurami1 de abril de 20267 min de lectura
SOCblue teamSIEMrespuesta a incidentesoperaciones de seguridad
Qué es un SOC y cómo funciona en la práctica

Qué es un SOC

Un Security Operations Center (SOC) es el equipo y la infraestructura encargada de monitorizar, detectar, analizar y responder a amenazas de ciberseguridad de forma continua. Funciona las 24 horas del día, los 7 días de la semana.

La función principal del SOC es reducir el tiempo entre la detección de una amenaza y la respuesta a ella — lo que se conoce como Mean Time to Detect (MTTD) y Mean Time to Respond (MTTR). Cuanto menores son estos tiempos, menos daño puede causar un atacante.

Modelos de SOC

No todos los SOC son iguales. Existen tres modelos principales:

SOC interno (in-house)

La organización monta y gestiona su propio SOC. Requiere inversión significativa en personal, tecnología e infraestructura. Habitual en grandes empresas, banca, utilities y administraciones públicas.

Ventajas: control total, conocimiento profundo del negocio, respuesta más rápida a incidentes específicos. Desventajas: coste elevado, difícil de escalar, riesgo de "punto ciego" (el equipo se familiariza demasiado con el entorno).

SOC gestionado (MSSP)

La empresa contrata un proveedor externo de servicios de seguridad gestionada (MSSP) para que opere el SOC. Modelos como S21sec, GMV o Telefónica Tech en España.

Ventajas: coste predecible, acceso a talento especializado, cobertura 24/7 sin contratación propia. Desventajas: menor contexto de negocio, posibles SLAs más lentos, dependencia del proveedor.

SOC híbrido

Combina capacidades internas (generalmente un equipo de respuesta a incidentes y la gestión del entorno tecnológico) con servicios externos para la monitorización y detección.

Los niveles del SOC: la estructura de analistas

La mayoría de los SOC organizan a sus analistas en niveles (tiers) según experiencia y responsabilidad:

Analista L1 (Tier 1 — Triage)

El primer nivel de respuesta. Sus responsabilidades son:

  • Monitorizar el panel de alertas del SIEM en tiempo real
  • Determinar si una alerta es un falso positivo o un verdadero positivo
  • Documentar los eventos y escalar los casos que requieren análisis más profundo
  • Ejecutar playbooks de respuesta para incidentes conocidos

Un L1 puede gestionar decenas de alertas al día. La automatización mediante SOAR ha reducido el volumen de falsas alarmas, pero el juicio humano sigue siendo crítico para el triage.

Analista L2 (Tier 2 — Investigación)

Recibe los casos escalados por el L1 y realiza análisis más profundos:

  • Correlación de eventos en múltiples sistemas
  • Análisis de logs de endpoints, red y aplicaciones
  • Identificación de Indicadores de Compromiso (IoC) y Indicadores de Ataque (IoA)
  • Contención inicial (bloqueo de IPs, aislamiento de endpoints, revocación de credenciales)
  • Determinación del alcance del incidente

Analista L3 / Threat Hunter (Tier 3 — Amenazas avanzadas)

El nivel más experto del SOC. Se diferencia del L2 en que busca amenazas de forma proactiva, no reactiva:

  • Caza amenazas (threat hunting): busca en el entorno señales de atacantes que aún no han disparado alertas
  • Análisis de malware e ingeniería inversa básica
  • Desarrollo y ajuste de reglas de detección (SIEM rules, Sigma rules)
  • Análisis forense digital
  • Coordinación de la respuesta a incidentes mayores

Roles de soporte

Además de los analistas, un SOC completo incluye:

  • CISO / Security Manager: responsable de la estrategia y los SLAs
  • Threat Intelligence Analyst: proporciona contexto sobre actores de amenaza y TTPs
  • Vulnerability Manager: coordina el parcheo y la gestión de vulnerabilidades
  • Ingenieros de seguridad: mantienen y optimizan la infraestructura técnica del SOC

El stack tecnológico de un SOC moderno

SIEM (Security Information and Event Management)

El cerebro del SOC. Centraliza logs de todos los sistemas, correlaciona eventos y genera alertas. Los más usados en España:

  • Microsoft Sentinel: líder en entornos cloud Azure, con gran capacidad de integración
  • Splunk: el estándar de la industria on-premise, potente pero caro
  • IBM QRadar: habitual en grandes corporaciones y administraciones
  • Elastic SIEM: opción open source muy extendida en MSSPs

EDR (Endpoint Detection and Response)

Monitoriza en tiempo real lo que ocurre en endpoints (portátiles, servidores, móviles). A diferencia del antivirus tradicional, el EDR no solo detecta malware conocido sino comportamientos sospechosos.

Los más comunes: CrowdStrike Falcon, Microsoft Defender for Endpoint, SentinelOne, Carbon Black.

SOAR (Security Orchestration, Automation and Response)

Automatiza respuestas a incidentes repetitivos. Cuando un SIEM detecta una alerta de phishing, el SOAR puede:

  1. Extraer automáticamente los IoCs del email
  2. Buscarlos en fuentes de threat intelligence
  3. Bloquear el dominio malicioso en el proxy web
  4. Abrir un ticket en el sistema de gestión
  5. Notificar al analista con toda la información recopilada

Esto reduce el tiempo de respuesta de horas a minutos. Soluciones: Palo Alto XSOAR, Splunk SOAR, Microsoft Sentinel Playbooks.

Threat Intelligence

Feeds de inteligencia que contextualizan las amenazas: ¿quién está detrás de este ataque? ¿Qué TTPs usa? ¿Hay indicadores compartidos por otras organizaciones?

Fuentes: MISP, VirusTotal, Shodan, AlienVault OTX, feeds sectoriales (ISACs).

El framework MITRE ATT&CK es el estándar para catalogar técnicas y tácticas de los atacantes. Todo SOC maduro mapea sus detecciones contra ATT&CK.

Cómo responde el SOC ante un incidente real

Tomemos un ejemplo: un empleado ejecuta sin querer un adjunto de phishing que descarga un ransomware.

09:14 — El EDR en el endpoint del empleado detecta comportamiento anómalo:
        proceso hijo de outlook.exe lanzando powershell.exe con argumentos codificados
        → Alerta de alta severidad en el SIEM

09:15 — Analista L1 recibe la alerta.
        Verifica: ¿es un script legítimo de IT? Consulta CMDB.
        No hay registro de despliegue. Escala a L2.

09:18 — Analista L2 toma el caso.
        Extrae hash del proceso → lo busca en VirusTotal → 47/73 detecciones: Ryuk ransomware
        Revisa la kill chain: ¿ya ha llegado al DC? ¿Ha modificado GPOs?
        El endpoint no tiene acceso a servidores críticos. Contención: aísla el endpoint.

09:22 — El SOAR ejecuta automáticamente el playbook de ransomware:
        Bloquea el C2 (dominio del atacante) en el proxy y el firewall perimetral
        Genera alerta para otros endpoints con el mismo hash
        Abre ticket en el sistema de incidentes con prioridad crítica

09:30 — L2 confirma que el ransomware no llegó a cifrar archivos (fue contenido a tiempo)
        Recoge evidencias forenses del endpoint
        Escala al L3 para análisis completo del vector de entrada

10:45 — L3 confirma el vector: email de phishing con documento Word con macros
        Identifica otros 3 empleados que recibieron el mismo email
        Revoca credenciales, lanza análisis de todos los endpoints afectados

11:30 — Informe de incidente preliminar listo
        Lecciones aprendidas: mejorar la regla del SIEM para detectar este patrón antes
        Comunicación al CISO con timeline completo

SOC vs CERT vs CSIRT

Es común confundir estos términos:

  • SOC: equipo operativo permanente enfocado en la detección y respuesta en tiempo real
  • CERT / CSIRT: equipo de respuesta a incidentes, que puede ser tanto interno como nacional (CCN-CERT, INCIBE-CERT). Se activa cuando hay un incidente grave
  • Red Team: equipo que simula ataques para probar las defensas del SOC y de la organización

En organizaciones maduras, estos tres equipos coexisten y colaboran estrechamente.

Métricas clave del SOC

Un SOC maduro mide constantemente su efectividad:

Métrica Descripción Objetivo típico
MTTD Mean Time to Detect < 24 horas
MTTR Mean Time to Respond < 4 horas (críticos)
False Positive Rate % de alertas que son falsas alarmas < 30%
Coverage % de TTPs MITRE ATT&CK con detecciones activas > 60%
SLA de escalado % de tickets escalados en tiempo > 95%

Construir un SOC efectivo no es una cuestión de tecnología únicamente. Es un equilibrio entre procesos bien definidos, personas formadas y herramientas bien configuradas. La trampa más común es comprar las herramientas y descuidar los procesos y la formación continua del equipo.

¿Listo para profundizar?

Aprende ciberseguridad de forma estructurada con cursos interactivos, quizzes y certificados.

Ver especialidades