Saltar al contenido
Breachfolio
CIBERSEGURIDAD · SOC

Roles y niveles de un equipo SOC.

Dentro de un SOC: el modelo de niveles, cada rol del analista N1 al SOC manager, cómo escalan las alertas, los turnos y la carrera real.

17 de julio, 202612 min de lectura

Un Security Operations Center parece una sola cosa desde fuera: una sala llena de pantallas y de gente vigilando alertas. Desde dentro es una máquina por capas, y cada capa es un trabajo distinto con un conjunto de destrezas distinto, un día distinto y un siguiente paso distinto. "Analista de SOC" no es un rol: es la puerta de entrada a por lo menos seis o siete de ellos. Esto es un mapa de quién hace qué, qué se escala entre unos y otros, y cómo se mueve de verdad una carrera por el edificio.

Si aún estás decidiendo si el lado defensivo es lo tuyo, nuestro desglose de equipos red, blue y purple y la guía de hoja de ruta y carreras en ciberseguridad cubren la bifurcación anterior a esta. Este artículo da por hecho que ya has apuntado a "blue team, SOC" y quieres saber qué hay dentro.

Nivel 1 — TriajeMonitorización y 1.ª respuestaNivel 2 — InvestigaciónAnálisis y respuestaNivel 3 — HuntingThreat hunting avanzado
Cómo escala el trabajo por los niveles del SOC.

El modelo de niveles: cómo se estructura un SOC por capas

La mayoría de los SOC organizan a los analistas en niveles, normalmente tres. Los niveles existen para proteger los dos recursos más escasos del edificio: la atención y la experiencia. No quieres a tu mejor respondedor de incidentes leyendo alertas de fallo de login todo el día, ni a un analista de su primera semana decidiendo desconectar de la red un servidor de producción. Los niveles enrutan cada pieza de trabajo al nivel más barato que puede gestionarla con seguridad, y solo escalan lo que necesita un cerebro más caro.

Nivel 1: triaje y monitorización

La puerta de entrada. El Nivel 1 trabaja la cola de alertas: cada detección que arrojan el SIEM, el EDR y las demás herramientas aterriza aquí primero. El trabajo es triaje rápido y disciplinado: ¿esto es un falso positivo, un verdadero positivo benigno o algo real? El N1 sigue playbooks, hace el primer enriquecimiento (quién es este usuario, es esta IP conocida como maliciosa, es esta una hora de login normal) y o bien cierra la alerta o la escala con notas. El volumen es alto y el reloj corre siempre.

Nivel 2: investigación y respuesta

El Nivel 2 coge lo que el N1 escala y lo investiga de verdad. Eso significa pivotar entre fuentes de datos, reconstruir qué pasó en un host, decidir si un incidente es real y tomar las primeras acciones de contención: aislar una máquina, deshabilitar una cuenta, bloquear un dominio. El N2 es donde "una alerta" se convierte en "un incidente con una línea temporal". También alimenta el bucle de mejora del SOC, señalando reglas ruidosas y lagunas de vuelta a los ingenieros.

Nivel 3: threat hunting y análisis avanzado

El Nivel 3 es la capa técnica sénior: threat hunting, análisis profundo de los casos difíciles, ingeniería inversa de binarios sospechosos y gestión de los incidentes que el N2 no puede cerrar solo. Y lo crucial: el N3 no se limita a esperar escalaciones, sino que sale a buscar lo que las alertas se perdieron, formulando hipótesis ("si un atacante estuviera aquí usando las herramientas del propio sistema —living off the land—, ¿qué aspecto tendría?") y cazando en los datos para probarlas o descartarlas.

Qué se escala, y cuándo

La regla general: el trabajo sube de nivel cuando supera la autoridad, el conocimiento o el presupuesto de tiempo del nivel actual. El N1 escala cuando una alerta no se puede cerrar desde el playbook, cuando el enriquecimiento apunta a una amenaza real o cuando hace falta una contención que el N1 no está autorizado a ejecutar. El N2 escala al N3 o a un respondedor dedicado cuando el alcance es desconocido, hay varios hosts implicados, el atacante sigue activo o el caso necesita forense o análisis de malware. Los buenos SOC también vigilan lo que no se escala: una regla que genera 500 alertas a la semana que se cierran todas como falsos positivos es un problema de ingeniería de detección, no de plantilla.

Los roles, un puesto cada vez

Analista de SOC — Nivel 1

Qué hacen: monitorizar y triar alertas contra playbooks, escalar las de verdad. Un día: reclamar la siguiente alerta de la cola, revisar el árbol de procesos o el contexto de login, confirmar que es una tarea programada que todo el mundo había olvidado, cerrarla, repetir; salpicado por la ocasional que pone los pelos de punta y se documenta para el N2. Destrezas clave: fundamentos de redes y de sistemas operativos, reconocimiento de patrones con calma, notas escritas claras, resistencia a la fatiga de alertas. Herramientas: el SIEM, la consola del EDR, un sistema de ticketing, búsquedas de inteligencia de amenazas como VirusTotal. Progresión: volverse rápido y preciso, aprender a fondo un lenguaje de consulta y luego pasar al N2.

Analista de SOC — Nivel 2

Qué hacen: investigar las escalaciones de principio a fin y ejecutar la respuesta de primera línea. Un día: coger una escalación del N1 sobre PowerShell sospechoso, sacar el árbol de procesos completo y las conexiones de red, correlacionar contra otros hosts, confirmar un beacon activo, aislar el endpoint y abrir un incidente en condiciones. Destrezas clave: correlación de logs entre fuentes, tradecraft del atacante (el marco MITRE ATT&CK pasa a ser una referencia diaria), scripting para acelerar lo aburrido. Herramientas: SIEM + EDR en profundidad, playbooks de SOAR, análisis de paquetes y de logs. Progresión: especializarse hacia hunting, ingeniería de detección o respuesta a incidentes dedicada.

Analista de SOC — Nivel 3 / Analista sénior

Qué hacen: hacerse cargo de las investigaciones más difíciles, mentorizar a los niveles inferiores y cazar de forma proactiva. Un día: la mitad cerrando un caso feo de varios hosts, la otra mitad ejecutando un hunt guiado por hipótesis de robo de credenciales que ninguna regla pilla ahora mismo. Destrezas clave: conocimiento profundo de las tripas de los sistemas, triaje de malware, capacidad de trabajar sin playbook. Herramientas: todo el stack más sandboxes y herramientas de análisis. Progresión: hacia threat hunting, DFIR, ingeniería de detección o liderazgo del SOC.

Respondedor de incidentes (IR)

Qué hacen: tomar el mando cuando algo se confirma como malo y coordinar la contención, erradicación y recuperación. Un día: durante un incidente, dirigir la respuesta —asignar tareas, mantener la línea temporal, decidir cuándo aislar y cuándo observar, informar a dirección—; entre incidentes, escribir y ensayar playbooks. Destrezas clave: cabeza fría bajo presión, metodología estructurada, comunicación con interlocutores no técnicos. Herramientas: EDR para la contención, marcos forenses y de IR; la guía de gestión de incidentes NIST SP 800-61 es la referencia estándar. Nuestra checklist de las primeras 24 horas de un incidente es este rol en la práctica. Progresión: IR lead, consultor DFIR o SOC manager.

Threat Hunter

Qué hacen: asumir una brecha que las herramientas se perdieron y salir a encontrarla. El hunting es proactivo y guiado por hipótesis, no por alertas. Un día: elegir una técnica de ATT&CK, traducir "¿qué aspecto tendría esto en nuestra telemetría?" a consultas, cribar los resultados y, o bien pasar un hallazgo a IR, o bien pasar una idea de detección nueva a los ingenieros. Destrezas clave: mentalidad de atacante, fluidez en el lenguaje de consulta del SIEM, estadística y baselining. Herramientas: el data lake, la telemetría del EDR, notebooks, ATT&CK. Progresión: hunter sénior, ingeniería de detección o investigación.

Ingeniero de detección / de contenido (detection-as-code)

Qué hacen: construir y mantener las detecciones que hacen funcionar todo el SOC: las reglas que deciden qué se convierte en alerta. Los equipos modernos las tratan como detection-as-code: las reglas viven en control de versiones, se revisan y prueban como software y se despliegan por un pipeline. Un día: escribir una regla nueva en un formato como Sigma, probarla contra datos reales y simulados, medir su tasa de falsos positivos y retirar una regla que se ha vuelto ruido. Destrezas clave: lógica de detección profunda, mapeo a ATT&CK, Git y CI, y suficiente disciplina de software para mantener cientos de reglas manejables. Herramientas: Sigma, el motor de reglas del SIEM, Git, herramientas de emulación de adversarios como Atomic Red Team. Progresión: detection lead o roles de ingeniería de seguridad.

Ingeniero de SIEM / Ingeniero de plataforma de SOC

Qué hacen: mantener la plataforma viva y alimentada. Si el ingeniero de detección escribe las reglas, el ingeniero de SIEM se asegura de que los datos que esas reglas necesitan estén realmente fluyendo, parseados y normalizados. Un día: incorporar una fuente de logs nueva, arreglar un parser roto que descartaba en silencio un campo, afinar la ingesta para que la factura de licencia no se dispare, mantener funcionando cuadros de mando e integraciones. Destrezas clave: la plataforma SIEM en profundidad, pipelines de datos, regex y parsing, infraestructura y automatización. Herramientas: el SIEM, log shippers y colectores, SOAR, infraestructura como código. Progresión: arquitectura de seguridad o ingeniería de seguridad con enfoque de plataforma/DevOps. Mira nuestra guía del stack SIEM, SOAR y EDR para ver cómo encajan estas piezas.

Analista de inteligencia de amenazas (CTI)

Qué hacen: responder a "quién podría atacarnos, cómo, y qué deberíamos hacer al respecto antes de que lo hagan". La CTI convierte el reporte en bruto en decisiones: alimentar indicadores a las detecciones, priorizar el parcheo según lo que de verdad se está explotando e informar a dirección. Un día: seguir el cambio de herramientas de un grupo de amenaza, mapear sus TTP a ATT&CK, empujar indicadores nuevos al SIEM y escribir una valoración breve que sirva tanto al SOC como a los ejecutivos. Destrezas clave: escritura analítica, evaluación de fuentes, amplitud a caballo entre geopolítica y malware, evitar la sobrecarga de indicadores. Herramientas: plataformas de inteligencia de amenazas, feeds de código abierto, ATT&CK, marcos estructurados. Progresión: CTI sénior, investigación de amenazas o asesoramiento de estrategia.

Analista DFIR / forense

Qué hacen: la parte forense profunda de la respuesta: adquirir y analizar imágenes de disco y de memoria, reconstruir exactamente qué hizo un atacante y producir hallazgos que aguanten el escrutinio (a veces en un juicio). Un día: sacar imagen de un portátil comprometido, tallar el volcado de memoria en busca de código inyectado, construir una línea temporal minuto a minuto a partir de los artefactos y documentar la cadena de custodia. Destrezas clave: tripas del sistema de archivos y del SO, manejo de evidencias, documentación meticulosa. Herramientas: suites forenses, marcos de análisis de memoria como Volatility, herramientas de imagen de disco. Progresión: DFIR sénior, consultoría o trabajo como perito.

SOC Manager / Lead

Qué hacen: dirigir la operación: personas, procesos y métricas. Son dueños de la dotación y la cobertura de turnos, de las métricas que demuestran que el SOC funciona (tiempo medio de detección y de respuesta), de las rutas de escalación y de la relación con el resto del negocio. Un día: menos manos en el teclado y más planificación de turnos, post-mortems de incidentes, contratación, llamadas con proveedores y defensa del presupuesto. Destrezas clave: liderazgo, calma durante los incidentes grandes, traducir el riesgo técnico a lenguaje de negocio y proteger al equipo del burnout. Progresión: responsable de operaciones de seguridad y, después, roles en la vía CISO.

Donde el SOC se encuentra con el red team: purple teaming

El SOC es el hogar del blue team. Su contraparte es el red team, que simula ataques reales bajo autorización firmada. Los dos solo mejoran juntos cuando cierran el bucle, y ese bucle es lo que nombra el "purple team". En un ejercicio de purple team, el red team ejecuta una técnica concreta y lo dice en tiempo real; el SOC comprueba si la detección saltó y, si no lo hizo, el ingeniero de detección escribe una en el acto. Es la forma más rápida en que mejora un SOC: en vez de esperar semanas a un informe del red team, los defensores descubren de inmediato cuáles de sus detecciones tienen agujeros. El purple team suele ser una práctica, no un puesto permanente, pero es donde los ingenieros de detección, los hunters y la CTI se ganan el sueldo.

Trabajo por turnos, guardias y el coste humano

Las amenazas no tienen horario de oficina, así que la mayoría de los SOC maduros funcionan 24x7. Hay dos formas habituales de cubrir el reloj. La primera son los turnos rotativos: los analistas van rotando por mañanas, tardes y noches, lo que significa que siempre hay alguien despierto pero también siempre trabajando contra su ritmo circadiano. La segunda es follow-the-sun: equipos en husos horarios distintos trabajan cada uno su propio horario diurno y se pasan el testigo en las fronteras, de modo que nadie trabaja de noche, pero requiere varios equipos regionales y traspasos impecables.

Sé honesto sobre el coste. El Nivel 1 en particular acarrea un riesgo real de burnout: mucho volumen, triaje repetitivo, turnos de noche y el peso de "si se me escapa una, es una brecha". La rotación en los SOC es notoriamente alta justo por estas razones. Los equipos que retienen a la gente la sacan del triaje puro, automatizan para que las personas se ocupen del criterio y no del volumen, limitan los turnos de noche consecutivos y tratan la progresión al N2 como un camino real y visible. Una oferta que es todo turnos de noche sin historia de crecimiento es una señal.

Cómo entrar, y un camino realista hacia arriba

El Nivel 1 es uno de los puntos de entrada genuinos más accesibles de la seguridad, que es justo por lo que es competitivo. Lo que hace que contraten a alguien refleja el campo en general: fundamentos sólidos de redes y Linux, un home lab documentado, práctica manos a la obra en TryHackMe o Hack The Box (sobre todo labs de blue team) y la capacidad de explicar tu razonamiento en voz alta. Un primer lenguaje de consulta de SIEM y familiaridad con ATT&CK te ponen por delante de la mayoría de los candidatos. Nuestra guía de cómo aprender ciberseguridad cubre los cimientos.

Una trayectoria realista: de 6 a 18 meses en Nivel 1 para volverte rápido y de fiar, luego Nivel 2 a medida que empiezas a ser dueño de investigaciones, y después una bifurcación —hunting, ingeniería de detección, IR, DFIR, CTI o ingeniería de plataforma— según hacia dónde no dejaste de gravitar. El liderazgo es una rama aparte, no el único "hacia arriba". Es una secuencia, no un reloj fijo.

Sobre el salario, una nota honesta: la retribución de estos roles varía enormemente según país, coste de vida, sector, tamaño de la empresa y antigüedad; un salario de Nivel 1 en un mercado puede superar a uno de Nivel 3 en otro. Cualquiera que dé una única cifra global está adivinando. Consulta fuentes reales y actuales de tu región: agregadores públicos como Glassdoor y Levels.fyi, guías salariales de reclutadores como la de Robert Half y estudios del sector como el anual ISC2 Cybersecurity Workforce Study. Mira tu ciudad y tu antigüedad, no una cifra de titular.

Los roles de un vistazo

Rol Nivel o capa Enfoque Herramientas típicas Siguiente paso habitual
Analista SOC N1 Nivel 1 Triaje de alertas y monitorización SIEM, consola EDR, ticketing, búsquedas de intel Analista de Nivel 2
Analista SOC N2 Nivel 2 Investigación y respuesta de primera línea SIEM + EDR en profundidad, SOAR, ATT&CK Hunting / detección / IR
Analista SOC N3 Nivel 3 Casos difíciles, hunting, mentoría Stack completo, sandboxes, herramientas de análisis DFIR / detection lead / liderazgo
Respondedor de incidentes Respuesta Mandar, contener, erradicar, recuperar EDR, marcos de IR, NIST 800-61 IR lead / SOC manager
Threat Hunter Nivel 3 / hunt Búsqueda proactiva guiada por hipótesis Data lake, telemetría EDR, ATT&CK Hunter sénior / investigación
Ingeniero de detección Ingeniería Detection-as-code: crear/afinar reglas Sigma, reglas de SIEM, Git/CI, emulación Detection lead / ing. de seguridad
Ingeniero de SIEM Plataforma Pipelines de datos, parsing, disponibilidad SIEM, log shippers, SOAR, IaC Arquitecto de seguridad / plataforma
Analista CTI Inteligencia Quién nos ataca, cómo y qué hacer Plataformas de TI, feeds, ATT&CK CTI sénior / investigación de amenazas
DFIR / forense Respuesta Reconstrucción forense profunda Suites forenses, Volatility, imaging DFIR sénior / consultoría
SOC Manager Liderazgo Personas, procesos, métricas Cuadros de mando de métricas, herramientas de planificación Head of SecOps / vía CISO

Una alerta, tres puestos: un ejemplo trabajado

Así viaja una sola detección por el edificio. A las 02:14 salta el EDR: Microsoft Word ha lanzado powershell.exe con un comando codificado. Aterriza en la cola del Nivel 1.

[ALERT] EDR-1188  severity: medium  host: FIN-WKS-042  user: j.doe
parent: WINWORD.EXE  ->  child: powershell.exe
cmdline: powershell -nop -w hidden -enc SQBFAFgAKABOAGUAdwAt...

El Nivel 1 la reclama. Que Office lance PowerShell oculto y codificado es un patrón clásico de malware por macros, no una tarea programada benigna. El N1 hace el primer enriquecimiento —el usuario es de Finanzas, es plena madrugada y este host no tiene historial de scripting—, decodifica el comando lo justo para ver que está contactando con una URL y escala en minutos con notas limpias. El N1 no toca la máquina; esa no es su decisión.

El Nivel 2 la coge e investiga. Saca el árbol de procesos completo y ve que PowerShell lanza un proceso hijo que hace una conexión saliente repetida a un dominio desconocido: un beacon de command-and-control. Es un verdadero positivo confirmado. El N2 tiene autoridad para actuar: aísla FIN-WKS-042 a través del EDR (contenido en red pero aún accesible para el análisis), deshabilita las sesiones del usuario, bloquea el dominio y abre un incidente formal. Luego comprueba si algún otro host ha hablado con ese dominio, y dos lo han hecho. El alcance es ahora desconocido, puede haber un atacante activo, así que el N2 escala al Nivel 3 / IR.

El Nivel 3, IR y los especialistas lo toman a partir de aquí en paralelo. El respondedor de incidentes asume el mando y coordina la contención en los tres hosts. Un threat hunter barre el entorno en busca de los mismos TTP para asegurarse de que han encontrado todas las máquinas afectadas, no solo las que hicieron beacon. DFIR saca imagen de la memoria de la primera estación de trabajo para recuperar exactamente qué hizo la carga inicial y si se robaron credenciales. El analista de CTI asocia el dominio y las herramientas a una campaña de phishing conocida y aporta más indicadores que buscar. Por último, el ingeniero de detección escribe una regla Sigma nueva y más ajustada para este patrón exacto de Office a PowerShell codificado, la prueba y la despliega, para que la próxima vez salte más fuerte y más pronto. Una alerta, y casi todos los roles del SOC la tocaron.

Preguntas frecuentes

¿Cuál es la diferencia entre un analista de SOC de Nivel 1 y uno de Nivel 2?
El Nivel 1 tría: trabaja la cola de alertas contra playbooks, decide qué es un falso positivo, hace el primer enriquecimiento y escala las de verdad; trabajo de primera línea, rápido y de mucho volumen. El Nivel 2 investiga de principio a fin lo que el N1 escala, pivotando entre fuentes de datos para confirmar si es un incidente genuino, y toma las primeras acciones de contención como aislar un host o deshabilitar una cuenta. En resumen: el N1 decide si algo merece una mirada más de cerca; el N2 hace esa mirada de cerca y empieza a responder.
¿Hace falta un título para trabajar en un SOC?
No. Un título puede ayudarte a pasar algunos filtros de RR. HH., pero no es un requisito imprescindible, y muchos analistas de SOC vienen del soporte de IT, del autoaprendizaje o de cambios de carrera. Lo que importa de forma consistente es la capacidad demostrable: fundamentos sólidos de redes y Linux, un home lab documentado, práctica manos a la obra en labs de blue team, familiaridad con un lenguaje de consulta de SIEM y con MITRE ATT&CK, y la capacidad de explicar tu razonamiento con claridad. Razona bien sobre un escenario y le ganarás a un título sin destreza aplicada.
¿Cuál es la diferencia entre un analista de SOC y un respondedor de incidentes?
Un analista de SOC trabaja sobre todo el flujo continuo: monitorizar, triar e investigar alertas según llegan, día tras día. Un respondedor de incidentes entra en escena (o da un paso al frente) una vez que se confirma que algo es un incidente real, y su trabajo es tomar el mando: coordinar la contención, la erradicación y la recuperación, mantener la línea temporal e informar a los interesados. Los analistas suelen escalar a los respondedores. Mucha gente pasa a ser respondedora de incidentes tras un tiempo como analista de Nivel 2 o Nivel 3, así que los roles se solapan en destrezas pero difieren en enfoque y momento.
¿Qué hace en realidad un threat hunter?
Un threat hunter busca de forma proactiva a los atacantes que las detecciones automáticas se perdieron, en vez de esperar a las alertas. Parte de una hipótesis —a menudo basada en una técnica de MITRE ATT&CK— como "si alguien estuviera robando credenciales aquí, ¿qué aspecto tendría en nuestra telemetría?", la traduce a consultas sobre los datos del SOC y criba los resultados. Un hunt acaba de una de dos formas útiles: saca a la luz una intrusión real que pasar a respuesta a incidentes, o produce una idea de detección nueva para el equipo de ingeniería. Es un rol sénior, movido por la curiosidad y construido sobre un conocimiento profundo tanto del tradecraft del atacante como de los propios datos de la organización.
¿Es analista de SOC un buen primer empleo?
Sí, con los ojos abiertos. El Nivel 1 es uno de los puntos de entrada genuinos más accesibles a la seguridad, te expone rápido a ataques reales y a todo el stack defensivo, y abre caminos claros hacia el hunting, la ingeniería de detección, la respuesta a incidentes y más. Las contrapartidas también son reales: puede ser de mucho volumen y repetitivo, y los SOC 24x7 implican turnos y rotaciones de noche que disparan el burnout y la rotación. Los buenos automatizan la parte pesada, sacan a la gente del triaje puro y tratan la progresión al Nivel 2 como un camino real; busca esos.
¿Cuál es la diferencia entre un ingeniero de detección y un analista de SOC?
Un analista de SOC consume detecciones: responde a las alertas que generan las reglas. Un ingeniero de detección construye y mantiene esas reglas: decide qué debería convertirse en alerta en primer lugar, escribe y afina la lógica de detección (cada vez más como "detection-as-code", versionada y probada como software), mapea la cobertura a MITRE ATT&CK y retira las reglas que se han convertido en ruido. Los analistas viven en la cola de alertas; los ingenieros de detección viven en las reglas y los pipelines que la crean. Muchos ingenieros de detección empezaron como analistas, que es justo por lo que saben qué alertas eran útiles y cuáles eran solo ruido.