Funciones núcleo: monitorización continua 24/7, detección de amenazas, triaje y priorización de alertas, respuesta a incidentes, threat hunting proactivo, gestión de vulnerabilidades detectadas y reporting periódico a dirección con métricas comprensibles.
Qué es un SOC
Un SOC (Security Operations Center) es el equipo —con sus procesos y su tecnología— que vigila la seguridad de una organización de forma continua: monitoriza señales de todo el entorno, detecta actividad sospechosa, hace triaje de alertas, responde a incidentes, busca amenazas de forma proactiva (threat hunting) y reporta el estado de la seguridad a negocio. Se apoya en un SIEM que centraliza y correlaciona los logs, en EDR o XDR en los endpoints y en SOAR para automatizar respuestas repetitivas. Puede ser un equipo interno, un servicio gestionado (MDR) o un modelo híbrido; lo que lo define no es la sala con pantallas, sino la capacidad de detectar y responder antes de que el incidente escale.
Por qué importa
Comprar herramientas de seguridad sin nadie que las opere es el error más caro del sector: el SIEM acumula logs que nadie lee, el EDR genera alertas que nadie cierra y el atacante dispone de días o semanas de margen. Los dos números que resumen el valor de un SOC son el MTTD (tiempo medio de detección) y el MTTR (tiempo medio de respuesta): la diferencia entre detectar un acceso anómalo en veinte minutos o en tres semanas es la diferencia entre reiniciar una cuenta y gestionar un ransomware con exfiltración. Los atacantes operan de madrugada y en festivos precisamente porque saben que la mayoría de las empresas no tienen a nadie mirando; la cobertura 24/7 no es un lujo, es la condición mínima para que la detección sirva de algo. Además, marcos como NIS2, DORA o el ENS exigen capacidad demostrable de detección y gestión de incidentes, algo muy difícil de acreditar sin una operación estructurada. Para la mayoría de las pymes y medianas empresas, construir esa capacidad internamente es inviable —un turno continuo requiere al menos cinco analistas—, y por eso el modelo gestionado (MDR) se ha convertido en la vía práctica de acceso.
Puntos clave
Pila tecnológica: el SIEM centraliza y correlaciona logs de toda la organización; EDR y XDR aportan telemetría y capacidad de actuación en endpoints y más allá; el SOAR automatiza los playbooks repetitivos (enriquecer, bloquear, notificar) para que los analistas se concentren en lo que requiere criterio.
Organización por niveles: el Tier 1 hace triaje inicial de alertas, el Tier 2 investiga los casos escalados y el Tier 3 se ocupa de hunting, forense e ingeniería de detección. En SOCs modernos las fronteras se difuminan con la automatización, pero la escalada estructurada permanece.
Modelos de sourcing: SOC interno (control total, coste alto, difícil de dotar 24/7), SOC gestionado o MDR (acceso inmediato a cobertura continua y experiencia acumulada), e híbrido (equipo propio en horario laboral, proveedor para noches, festivos y picos).
Métricas que importan: MTTD y MTTR como indicadores centrales, tasa de falsos positivos, cobertura de fuentes de log y de técnicas MITRE ATT&CK, y número de incidentes contenidos antes de causar impacto. Un SOC que solo reporta 'alertas procesadas' no está midiendo lo que importa.
El threat hunting diferencia un SOC maduro de uno reactivo: en lugar de esperar a que salte una alerta, los analistas formulan hipótesis (¿y si alguien está usando credenciales válidas robadas?) y las contrastan contra la telemetría histórica.
Ejemplo: Intrusión de madrugada en una empresa sin y con SOC
Un martes a las 3:47, un atacante entra en una ingeniería de 120 empleados usando credenciales de VPN compradas en un mercado de la dark web. Sin SOC: el inicio de sesión desde un país inusual queda registrado en un log que nadie mira, el atacante dedica la semana siguiente a moverse lateralmente, localiza el servidor de backups y lanza el cifrado un viernes por la noche. La empresa descubre el incidente el lunes, con la producción parada y los backups online cifrados.
Con un SOC gestionado: la correlación del SIEM marca el inicio de sesión como anómalo (país nuevo, horario atípico, sin viaje registrado) y genera una alerta de prioridad alta a las 3:49. El analista de guardia valida el indicio en minutos, deshabilita la cuenta, corta la sesión VPN y aísla mediante el EDR el equipo al que el atacante había llegado a conectarse. A las 4:30 el incidente está contenido: una cuenta comprometida y un equipo por revisar, en lugar de una parada de producción. El informe posterior identifica el origen (credenciales robadas por un infostealer en un equipo personal) y la empresa endurece el MFA de la VPN. La diferencia no la marcó la tecnología —los logs existían en ambos escenarios—, sino que hubiera alguien mirando a las 3:47.
Errores habituales
- Comprar un SIEM y llamarlo SOC. La plataforma sin analistas, playbooks y turnos de guardia solo acumula logs; el SOC es la capacidad operativa, no la herramienta.
- Dotar el SOC solo en horario de oficina. Los atacantes operan de madrugada y en festivos a propósito; un SOC de 8x5 deja sin cubrir exactamente las horas en las que ocurren los incidentes graves.
- Medir el rendimiento por volumen de alertas procesadas en lugar de por MTTD/MTTR e incidentes contenidos. Un SOC puede cerrar miles de alertas al mes y aun así no detectar la intrusión que importa.
- No tunear las reglas de detección al contexto de la empresa. Las reglas de fábrica generan una avalancha de falsos positivos que quema a los analistas y entierra las alertas reales (alert fatigue).
- Contratar un MDR sin definir el manual de escalada: quién decide aislar un servidor de producción a las 4 de la mañana, con qué autoridad y por qué canal. Sin ese acuerdo, la detección llega a tiempo pero la respuesta se queda esperando aprobaciones.
Términos relacionados
Servicios relacionados
Este concepto puede tener relación con servicios como:
Preguntas frecuentes
¿Qué diferencia hay entre un SOC y un SIEM?
El SIEM es la plataforma tecnológica: centraliza logs, los correlaciona y genera alertas. El SOC es la capacidad operativa completa: los analistas que investigan esas alertas, los procesos de triaje y escalada, la respuesta a incidentes y el reporting. Un SIEM sin SOC es un almacén de logs con alarmas que nadie atiende; un SOC usa el SIEM como una de sus herramientas centrales.
¿Cuándo conviene un SOC gestionado (MDR) frente a uno interno?
Un SOC interno 24/7 requiere al menos cinco analistas solo para cubrir turnos, más plataforma, ingeniería de detección y formación continua: pocas organizaciones por debajo de varios miles de empleados lo justifican. El modelo gestionado da acceso inmediato a cobertura continua y experiencia acumulada por una fracción del coste. El híbrido —equipo propio de día, proveedor fuera de horario— es un punto intermedio frecuente en medianas empresas.
¿Qué son MTTD y MTTR y por qué importan tanto?
MTTD es el tiempo medio desde que ocurre la actividad maliciosa hasta que se detecta; MTTR, desde la detección hasta la contención o resolución. Son las métricas que mejor predicen el impacto de un incidente: casi todo el daño de un ataque moderno —movimiento lateral, exfiltración, cifrado— sucede en la ventana entre intrusión y contención. Reducir esa ventana es, en esencia, el trabajo del SOC.
¿Una pyme necesita realmente un SOC?
Necesita la función, no el departamento. Ninguna pyme va a montar una sala con turnos de analistas, pero sí puede contratar esa capacidad como servicio gestionado sobre su EDR y sus fuentes de log. El criterio práctico: si un incidente de varios días de parada compromete el negocio, o si NIS2 u otros marcos le aplican, la detección y respuesta continuas dejan de ser opcionales.