Un SOC —Centro de Operaciones de Seguridad o Security Operations Center— es el equipo (y el espacio, físico o virtual) que vigila la infraestructura digital de una organización las 24 horas del día, los 365 días del año. Piensa en él como la torre de control de un aeropuerto, pero en lugar de aviones, lo que aterriza son alertas de monitorización de seguridad, logs sospechosos y el ocasional intento de ransomware a las tres de la madrugada. Si tu empresa maneja datos sensibles —y spoiler: todas lo hacen—, entender qué hace un SOC en empresa ya no es opcional. Es supervivencia operativa.
Y no, un SOC no es "el informático que mira el antivirus". Es bastante más que eso. Vamos a desmontarlo pieza a pieza.
Qué hace exactamente un SOC y por qué existe
El centro de operaciones de seguridad tiene una misión clara: detectar, analizar y responder a incidentes de ciberseguridad antes de que se conviertan en titulares de prensa. Recoge datos de firewalls, endpoints, servidores, aplicaciones, correo electrónico, tráfico de red… básicamente de todo lo que tenga un cable o una antena.
Un SOC típico opera con tres capas de analistas:
- Nivel 1 (Triage): Filtran las alertas. La mayoría son falsos positivos —según datos de Gartner, un SOC medio gestiona miles de alertas diarias, y la gran mayoría no requieren acción—. Su trabajo es separar el ruido de la señal.
- Nivel 2 (Investigación): Analizan las alertas que pasan el primer filtro. Correlacionan eventos, buscan indicadores de compromiso (IoCs) y determinan si hay un incidente real.
- Nivel 3 (Threat Hunting): No esperan alertas. Salen a buscar amenazas activamente. Son los que descubren que un atacante lleva semanas dentro de tu red sin que nadie lo haya notado.
El security operations center también se encarga de mantener actualizadas las reglas de detección, gestionar la inteligencia de amenazas y coordinar la respuesta a incidentes. Si un grupo APT patrocinado por un estado decide que tu empresa es interesante, el SOC es quien da la voz de alarma.
Herramientas del arsenal: el stack tecnológico de un SOC
Un SOC sin herramientas es como un cirujano sin bisturí. Estas son las piezas fundamentales:
| Herramienta | Función | Ejemplos reales |
|---|---|---|
| SIEM | Recopila y correlaciona logs de toda la infraestructura | Splunk, Microsoft Sentinel, IBM QRadar, Elastic SIEM |
| SOAR | Automatiza respuestas y orquesta playbooks | Palo Alto XSOAR, Splunk SOAR, Tines |
| EDR/XDR | Monitorización y respuesta en endpoints | CrowdStrike Falcon, SentinelOne, Microsoft Defender XDR |
| NDR | Análisis de tráfico de red | Darktrace, Vectra AI, ExtraHop |
| Threat Intelligence | Feeds de amenazas y contexto | MISP, VirusTotal, AlienVault OTX |
| Ticketing | Gestión de incidentes | ServiceNow, TheHive, Jira |
La pieza central suele ser el SIEM (Security Information and Event Management). Ingiere logs de todas partes, aplica reglas de correlación y genera alertas. Sin un SIEM bien configurado, la monitorización de seguridad se convierte en mirar dashboards bonitos que no sirven para nada.
La tendencia desde 2023-2024 es integrar inteligencia artificial en el stack del SOC. Herramientas como Microsoft Copilot for Security o los módulos de IA de CrowdStrike ayudan a los analistas a investigar más rápido, resumir incidentes y reducir el tiempo medio de respuesta. Si te interesa cómo la IA se aplica al mundo empresarial más allá de la seguridad, el equipo de inteligencia artificial para empresas de Piqture trabaja precisamente en esa intersección.
SOC interno, externalizado o híbrido: qué modelo elegir
No todas las empresas pueden —ni deben— montar un SOC interno. Aquí van los tres modelos habituales:
SOC interno: Lo montas tú, con tu equipo y tu infraestructura. Control total, pero coste elevado. Un SOC 24/7 necesita, como mínimo, entre 8 y 12 analistas (turnos rotativos), más el stack tecnológico. Según estimaciones del sector, el coste anual de un SOC interno puede superar fácilmente el millón de euros. Reservado para grandes empresas o sectores muy regulados (banca, salud, infraestructuras críticas).
SOC externalizado (MSSP/MDR): Contratas un proveedor que monitoriza por ti. Empresas como Arctic Wolf, Secureworks o S21sec ofrecen servicios de SOC para empresas que no pueden permitirse uno propio. Es la opción más habitual para pymes. El coste mensual varía mucho, pero suele arrancar en torno a los 2.000-5.000 €/mes para una pyme de tamaño medio.
SOC híbrido: Tienes un equipo interno pequeño que gestiona el día a día y externalizas la cobertura nocturna, festivos o el threat hunting avanzado. Buen equilibrio entre control y coste.
La elección depende de tres factores: presupuesto, volumen de datos que generas y requisitos regulatorios. Si operas en la UE y manejas datos personales, el RGPD te obliga a detectar y notificar brechas en 72 horas. La directiva NIS2, en vigor desde octubre de 2024, amplía estas obligaciones a muchos más sectores. Un centro de operaciones de seguridad bien montado es lo que te permite cumplir esos plazos sin improvisar.
Métricas que definen un buen SOC
Un SOC que no mide, no mejora. Estas son las métricas que separan un SOC funcional de uno decorativo:
- MTTD (Mean Time to Detect): Tiempo medio desde que ocurre un incidente hasta que el SOC lo detecta. Según los últimos informes de IBM Cost of a Data Breach, la media global ronda los 194 días para brechas no detectadas internamente. Un buen SOC reduce esto a horas.
- MTTR (Mean Time to Respond): Tiempo desde la detección hasta la contención. Aquí es donde el SOAR y la automatización marcan la diferencia. Pasar de días a minutos no es ciencia ficción si tienes playbooks bien diseñados.
- Tasa de falsos positivos: Si tus analistas de Nivel 1 pasan el 90% del tiempo descartando alertas inútiles, tienes un problema de tuning, no de personal.
- Cobertura de activos: ¿Qué porcentaje de tu infraestructura está realmente monitorizada? Un servidor sin agente EDR o un segmento de red sin sondas es un punto ciego.
El framework MITRE ATT&CK se ha convertido en el estándar para medir la cobertura de detección. Mapea las tácticas y técnicas de los atacantes, y permite al SOC identificar en qué fases del ataque tiene buena visibilidad y dónde hay huecos. Si tu proveedor de monitorización de seguridad no menciona ATT&CK, desconfía.
Errores habituales al montar o contratar un SOC
Después de ver cómo varias empresas tropiezan con las mismas piedras, aquí van los clásicos:
- Comprar herramientas sin proceso: Un SIEM de 200.000 €/año con reglas por defecto es un generador de ruido caro. Las herramientas sin analistas que las operen y procesos que las guíen son chatarra con dashboard.
- Ignorar la fatiga de alertas: Si bombardeas a los analistas con miles de alertas diarias sin priorizar, los buenos se van y los que quedan empiezan a ignorar todo. Incluidos los incidentes reales.
- No practicar la respuesta: Tener un plan de respuesta a incidentes que nadie ha ensayado es tener un papel bonito en un cajón. Los simulacros de tipo tabletop exercise o los ejercicios red team/blue team no son un lujo.
- Creer que el SOC lo arregla todo: Un SOC detecta y responde, pero si tus empleados siguen usando "123456" como contraseña o haciendo clic en cualquier enlace, el SOC solo será un bombero apagando fuegos que alguien enciende a propósito.
- Olvidar el correo electrónico: La mayoría de ataques empiezan por un email. Si tu SOC no monitoriza el correo con la misma intensidad que la red, tienes la puerta principal abierta mientras vigilas las ventanas.
Preguntas frecuentes
¿Una pyme necesita un SOC?
Sí, pero no necesariamente uno interno. Un servicio MDR (Managed Detection and Response) ofrece capacidades de SOC para empresa a una fracción del coste. Proveedores como Arctic Wolf, Huntress o S21sec tienen planes adaptados a pymes desde unos pocos miles de euros al mes.
¿Qué diferencia hay entre un SOC y un NOC?
El NOC (Network Operations Center) vigila la disponibilidad y el rendimiento de la red: que los servidores funcionen, que el ancho de banda sea el correcto. El SOC vigila la seguridad: que nadie esté donde no debe. A veces comparten herramientas, pero sus objetivos son distintos.
¿Cuánto tarda en estar operativo un SOC?
Un SOC externalizado puede estar operativo en semanas, una vez integrados los feeds de datos. Montar un SOC interno desde cero —contratación, herramientas, procesos, tuning— lleva entre 6 y 18 meses según la complejidad de la infraestructura.
¿Qué certificaciones debería tener el equipo de un SOC?
Las más valoradas: CompTIA Security+, GIAC (GSEC, GCIH, GCIA), CEH y, para roles senior, CISSP. Para analistas de threat intelligence, la certificación CTIA de EC-Council o la GREM de SANS para análisis de malware.
¿Un SOC puede funcionar solo con IA, sin analistas humanos?
No. La IA acelera el triage y reduce la fatiga de alertas, pero las decisiones complejas —contexto de negocio, impacto real, comunicación con stakeholders— requieren personas. La combinación humano + IA es lo que funciona. El SOC 100% automatizado es, a día de hoy, marketing.
El siguiente paso
Haz un inventario real de lo que monitorizas ahora mismo. Abre tu firewall, tu antivirus, tu proveedor de correo y pregúntate: si alguien entra hoy, ¿cuántas horas —o días— tardarías en enterarte? Si la respuesta te incomoda, empieza por evaluar un servicio MDR. Pide una prueba de concepto de 30 días con tus datos reales. No con un demo genérico: con tu tráfico, tus logs, tus endpoints. Ahí verás si el SOC que te venden detecta lo que necesitas detectar. Y si quieres proteger también la bandeja de entrada de tu equipo —donde empieza la mayoría del problema—, ya sabes dónde estamos.
