Roles y niveles de un equipo SOC.
Dentro de un SOC: el modelo de niveles, cada rol del analista N1 al SOC manager, cómo escalan las alertas, los turnos y la carrera real.
Un Security Operations Center parece una sola cosa desde fuera: una sala llena de pantallas y de gente vigilando alertas. Desde dentro es una máquina por capas, y cada capa es un trabajo distinto con un conjunto de destrezas distinto, un día distinto y un siguiente paso distinto. "Analista de SOC" no es un rol: es la puerta de entrada a por lo menos seis o siete de ellos. Esto es un mapa de quién hace qué, qué se escala entre unos y otros, y cómo se mueve de verdad una carrera por el edificio.
Si aún estás decidiendo si el lado defensivo es lo tuyo, nuestro desglose de equipos red, blue y purple y la guía de hoja de ruta y carreras en ciberseguridad cubren la bifurcación anterior a esta. Este artículo da por hecho que ya has apuntado a "blue team, SOC" y quieres saber qué hay dentro.
El modelo de niveles: cómo se estructura un SOC por capas
La mayoría de los SOC organizan a los analistas en niveles, normalmente tres. Los niveles existen para proteger los dos recursos más escasos del edificio: la atención y la experiencia. No quieres a tu mejor respondedor de incidentes leyendo alertas de fallo de login todo el día, ni a un analista de su primera semana decidiendo desconectar de la red un servidor de producción. Los niveles enrutan cada pieza de trabajo al nivel más barato que puede gestionarla con seguridad, y solo escalan lo que necesita un cerebro más caro.
Nivel 1: triaje y monitorización
La puerta de entrada. El Nivel 1 trabaja la cola de alertas: cada detección que arrojan el SIEM, el EDR y las demás herramientas aterriza aquí primero. El trabajo es triaje rápido y disciplinado: ¿esto es un falso positivo, un verdadero positivo benigno o algo real? El N1 sigue playbooks, hace el primer enriquecimiento (quién es este usuario, es esta IP conocida como maliciosa, es esta una hora de login normal) y o bien cierra la alerta o la escala con notas. El volumen es alto y el reloj corre siempre.
Nivel 2: investigación y respuesta
El Nivel 2 coge lo que el N1 escala y lo investiga de verdad. Eso significa pivotar entre fuentes de datos, reconstruir qué pasó en un host, decidir si un incidente es real y tomar las primeras acciones de contención: aislar una máquina, deshabilitar una cuenta, bloquear un dominio. El N2 es donde "una alerta" se convierte en "un incidente con una línea temporal". También alimenta el bucle de mejora del SOC, señalando reglas ruidosas y lagunas de vuelta a los ingenieros.
Nivel 3: threat hunting y análisis avanzado
El Nivel 3 es la capa técnica sénior: threat hunting, análisis profundo de los casos difíciles, ingeniería inversa de binarios sospechosos y gestión de los incidentes que el N2 no puede cerrar solo. Y lo crucial: el N3 no se limita a esperar escalaciones, sino que sale a buscar lo que las alertas se perdieron, formulando hipótesis ("si un atacante estuviera aquí usando las herramientas del propio sistema —living off the land—, ¿qué aspecto tendría?") y cazando en los datos para probarlas o descartarlas.
Qué se escala, y cuándo
La regla general: el trabajo sube de nivel cuando supera la autoridad, el conocimiento o el presupuesto de tiempo del nivel actual. El N1 escala cuando una alerta no se puede cerrar desde el playbook, cuando el enriquecimiento apunta a una amenaza real o cuando hace falta una contención que el N1 no está autorizado a ejecutar. El N2 escala al N3 o a un respondedor dedicado cuando el alcance es desconocido, hay varios hosts implicados, el atacante sigue activo o el caso necesita forense o análisis de malware. Los buenos SOC también vigilan lo que no se escala: una regla que genera 500 alertas a la semana que se cierran todas como falsos positivos es un problema de ingeniería de detección, no de plantilla.
Los roles, un puesto cada vez
Analista de SOC — Nivel 1
Qué hacen: monitorizar y triar alertas contra playbooks, escalar las de verdad. Un día: reclamar la siguiente alerta de la cola, revisar el árbol de procesos o el contexto de login, confirmar que es una tarea programada que todo el mundo había olvidado, cerrarla, repetir; salpicado por la ocasional que pone los pelos de punta y se documenta para el N2. Destrezas clave: fundamentos de redes y de sistemas operativos, reconocimiento de patrones con calma, notas escritas claras, resistencia a la fatiga de alertas. Herramientas: el SIEM, la consola del EDR, un sistema de ticketing, búsquedas de inteligencia de amenazas como VirusTotal. Progresión: volverse rápido y preciso, aprender a fondo un lenguaje de consulta y luego pasar al N2.
Analista de SOC — Nivel 2
Qué hacen: investigar las escalaciones de principio a fin y ejecutar la respuesta de primera línea. Un día: coger una escalación del N1 sobre PowerShell sospechoso, sacar el árbol de procesos completo y las conexiones de red, correlacionar contra otros hosts, confirmar un beacon activo, aislar el endpoint y abrir un incidente en condiciones. Destrezas clave: correlación de logs entre fuentes, tradecraft del atacante (el marco MITRE ATT&CK pasa a ser una referencia diaria), scripting para acelerar lo aburrido. Herramientas: SIEM + EDR en profundidad, playbooks de SOAR, análisis de paquetes y de logs. Progresión: especializarse hacia hunting, ingeniería de detección o respuesta a incidentes dedicada.
Analista de SOC — Nivel 3 / Analista sénior
Qué hacen: hacerse cargo de las investigaciones más difíciles, mentorizar a los niveles inferiores y cazar de forma proactiva. Un día: la mitad cerrando un caso feo de varios hosts, la otra mitad ejecutando un hunt guiado por hipótesis de robo de credenciales que ninguna regla pilla ahora mismo. Destrezas clave: conocimiento profundo de las tripas de los sistemas, triaje de malware, capacidad de trabajar sin playbook. Herramientas: todo el stack más sandboxes y herramientas de análisis. Progresión: hacia threat hunting, DFIR, ingeniería de detección o liderazgo del SOC.
Respondedor de incidentes (IR)
Qué hacen: tomar el mando cuando algo se confirma como malo y coordinar la contención, erradicación y recuperación. Un día: durante un incidente, dirigir la respuesta —asignar tareas, mantener la línea temporal, decidir cuándo aislar y cuándo observar, informar a dirección—; entre incidentes, escribir y ensayar playbooks. Destrezas clave: cabeza fría bajo presión, metodología estructurada, comunicación con interlocutores no técnicos. Herramientas: EDR para la contención, marcos forenses y de IR; la guía de gestión de incidentes NIST SP 800-61 es la referencia estándar. Nuestra checklist de las primeras 24 horas de un incidente es este rol en la práctica. Progresión: IR lead, consultor DFIR o SOC manager.
Threat Hunter
Qué hacen: asumir una brecha que las herramientas se perdieron y salir a encontrarla. El hunting es proactivo y guiado por hipótesis, no por alertas. Un día: elegir una técnica de ATT&CK, traducir "¿qué aspecto tendría esto en nuestra telemetría?" a consultas, cribar los resultados y, o bien pasar un hallazgo a IR, o bien pasar una idea de detección nueva a los ingenieros. Destrezas clave: mentalidad de atacante, fluidez en el lenguaje de consulta del SIEM, estadística y baselining. Herramientas: el data lake, la telemetría del EDR, notebooks, ATT&CK. Progresión: hunter sénior, ingeniería de detección o investigación.
Ingeniero de detección / de contenido (detection-as-code)
Qué hacen: construir y mantener las detecciones que hacen funcionar todo el SOC: las reglas que deciden qué se convierte en alerta. Los equipos modernos las tratan como detection-as-code: las reglas viven en control de versiones, se revisan y prueban como software y se despliegan por un pipeline. Un día: escribir una regla nueva en un formato como Sigma, probarla contra datos reales y simulados, medir su tasa de falsos positivos y retirar una regla que se ha vuelto ruido. Destrezas clave: lógica de detección profunda, mapeo a ATT&CK, Git y CI, y suficiente disciplina de software para mantener cientos de reglas manejables. Herramientas: Sigma, el motor de reglas del SIEM, Git, herramientas de emulación de adversarios como Atomic Red Team. Progresión: detection lead o roles de ingeniería de seguridad.
Ingeniero de SIEM / Ingeniero de plataforma de SOC
Qué hacen: mantener la plataforma viva y alimentada. Si el ingeniero de detección escribe las reglas, el ingeniero de SIEM se asegura de que los datos que esas reglas necesitan estén realmente fluyendo, parseados y normalizados. Un día: incorporar una fuente de logs nueva, arreglar un parser roto que descartaba en silencio un campo, afinar la ingesta para que la factura de licencia no se dispare, mantener funcionando cuadros de mando e integraciones. Destrezas clave: la plataforma SIEM en profundidad, pipelines de datos, regex y parsing, infraestructura y automatización. Herramientas: el SIEM, log shippers y colectores, SOAR, infraestructura como código. Progresión: arquitectura de seguridad o ingeniería de seguridad con enfoque de plataforma/DevOps. Mira nuestra guía del stack SIEM, SOAR y EDR para ver cómo encajan estas piezas.
Analista de inteligencia de amenazas (CTI)
Qué hacen: responder a "quién podría atacarnos, cómo, y qué deberíamos hacer al respecto antes de que lo hagan". La CTI convierte el reporte en bruto en decisiones: alimentar indicadores a las detecciones, priorizar el parcheo según lo que de verdad se está explotando e informar a dirección. Un día: seguir el cambio de herramientas de un grupo de amenaza, mapear sus TTP a ATT&CK, empujar indicadores nuevos al SIEM y escribir una valoración breve que sirva tanto al SOC como a los ejecutivos. Destrezas clave: escritura analítica, evaluación de fuentes, amplitud a caballo entre geopolítica y malware, evitar la sobrecarga de indicadores. Herramientas: plataformas de inteligencia de amenazas, feeds de código abierto, ATT&CK, marcos estructurados. Progresión: CTI sénior, investigación de amenazas o asesoramiento de estrategia.
Analista DFIR / forense
Qué hacen: la parte forense profunda de la respuesta: adquirir y analizar imágenes de disco y de memoria, reconstruir exactamente qué hizo un atacante y producir hallazgos que aguanten el escrutinio (a veces en un juicio). Un día: sacar imagen de un portátil comprometido, tallar el volcado de memoria en busca de código inyectado, construir una línea temporal minuto a minuto a partir de los artefactos y documentar la cadena de custodia. Destrezas clave: tripas del sistema de archivos y del SO, manejo de evidencias, documentación meticulosa. Herramientas: suites forenses, marcos de análisis de memoria como Volatility, herramientas de imagen de disco. Progresión: DFIR sénior, consultoría o trabajo como perito.
SOC Manager / Lead
Qué hacen: dirigir la operación: personas, procesos y métricas. Son dueños de la dotación y la cobertura de turnos, de las métricas que demuestran que el SOC funciona (tiempo medio de detección y de respuesta), de las rutas de escalación y de la relación con el resto del negocio. Un día: menos manos en el teclado y más planificación de turnos, post-mortems de incidentes, contratación, llamadas con proveedores y defensa del presupuesto. Destrezas clave: liderazgo, calma durante los incidentes grandes, traducir el riesgo técnico a lenguaje de negocio y proteger al equipo del burnout. Progresión: responsable de operaciones de seguridad y, después, roles en la vía CISO.
Donde el SOC se encuentra con el red team: purple teaming
El SOC es el hogar del blue team. Su contraparte es el red team, que simula ataques reales bajo autorización firmada. Los dos solo mejoran juntos cuando cierran el bucle, y ese bucle es lo que nombra el "purple team". En un ejercicio de purple team, el red team ejecuta una técnica concreta y lo dice en tiempo real; el SOC comprueba si la detección saltó y, si no lo hizo, el ingeniero de detección escribe una en el acto. Es la forma más rápida en que mejora un SOC: en vez de esperar semanas a un informe del red team, los defensores descubren de inmediato cuáles de sus detecciones tienen agujeros. El purple team suele ser una práctica, no un puesto permanente, pero es donde los ingenieros de detección, los hunters y la CTI se ganan el sueldo.
Trabajo por turnos, guardias y el coste humano
Las amenazas no tienen horario de oficina, así que la mayoría de los SOC maduros funcionan 24x7. Hay dos formas habituales de cubrir el reloj. La primera son los turnos rotativos: los analistas van rotando por mañanas, tardes y noches, lo que significa que siempre hay alguien despierto pero también siempre trabajando contra su ritmo circadiano. La segunda es follow-the-sun: equipos en husos horarios distintos trabajan cada uno su propio horario diurno y se pasan el testigo en las fronteras, de modo que nadie trabaja de noche, pero requiere varios equipos regionales y traspasos impecables.
Sé honesto sobre el coste. El Nivel 1 en particular acarrea un riesgo real de burnout: mucho volumen, triaje repetitivo, turnos de noche y el peso de "si se me escapa una, es una brecha". La rotación en los SOC es notoriamente alta justo por estas razones. Los equipos que retienen a la gente la sacan del triaje puro, automatizan para que las personas se ocupen del criterio y no del volumen, limitan los turnos de noche consecutivos y tratan la progresión al N2 como un camino real y visible. Una oferta que es todo turnos de noche sin historia de crecimiento es una señal.
Cómo entrar, y un camino realista hacia arriba
El Nivel 1 es uno de los puntos de entrada genuinos más accesibles de la seguridad, que es justo por lo que es competitivo. Lo que hace que contraten a alguien refleja el campo en general: fundamentos sólidos de redes y Linux, un home lab documentado, práctica manos a la obra en TryHackMe o Hack The Box (sobre todo labs de blue team) y la capacidad de explicar tu razonamiento en voz alta. Un primer lenguaje de consulta de SIEM y familiaridad con ATT&CK te ponen por delante de la mayoría de los candidatos. Nuestra guía de cómo aprender ciberseguridad cubre los cimientos.
Una trayectoria realista: de 6 a 18 meses en Nivel 1 para volverte rápido y de fiar, luego Nivel 2 a medida que empiezas a ser dueño de investigaciones, y después una bifurcación —hunting, ingeniería de detección, IR, DFIR, CTI o ingeniería de plataforma— según hacia dónde no dejaste de gravitar. El liderazgo es una rama aparte, no el único "hacia arriba". Es una secuencia, no un reloj fijo.
Sobre el salario, una nota honesta: la retribución de estos roles varía enormemente según país, coste de vida, sector, tamaño de la empresa y antigüedad; un salario de Nivel 1 en un mercado puede superar a uno de Nivel 3 en otro. Cualquiera que dé una única cifra global está adivinando. Consulta fuentes reales y actuales de tu región: agregadores públicos como Glassdoor y Levels.fyi, guías salariales de reclutadores como la de Robert Half y estudios del sector como el anual ISC2 Cybersecurity Workforce Study. Mira tu ciudad y tu antigüedad, no una cifra de titular.
Los roles de un vistazo
| Rol | Nivel o capa | Enfoque | Herramientas típicas | Siguiente paso habitual |
|---|---|---|---|---|
| Analista SOC N1 | Nivel 1 | Triaje de alertas y monitorización | SIEM, consola EDR, ticketing, búsquedas de intel | Analista de Nivel 2 |
| Analista SOC N2 | Nivel 2 | Investigación y respuesta de primera línea | SIEM + EDR en profundidad, SOAR, ATT&CK | Hunting / detección / IR |
| Analista SOC N3 | Nivel 3 | Casos difíciles, hunting, mentoría | Stack completo, sandboxes, herramientas de análisis | DFIR / detection lead / liderazgo |
| Respondedor de incidentes | Respuesta | Mandar, contener, erradicar, recuperar | EDR, marcos de IR, NIST 800-61 | IR lead / SOC manager |
| Threat Hunter | Nivel 3 / hunt | Búsqueda proactiva guiada por hipótesis | Data lake, telemetría EDR, ATT&CK | Hunter sénior / investigación |
| Ingeniero de detección | Ingeniería | Detection-as-code: crear/afinar reglas | Sigma, reglas de SIEM, Git/CI, emulación | Detection lead / ing. de seguridad |
| Ingeniero de SIEM | Plataforma | Pipelines de datos, parsing, disponibilidad | SIEM, log shippers, SOAR, IaC | Arquitecto de seguridad / plataforma |
| Analista CTI | Inteligencia | Quién nos ataca, cómo y qué hacer | Plataformas de TI, feeds, ATT&CK | CTI sénior / investigación de amenazas |
| DFIR / forense | Respuesta | Reconstrucción forense profunda | Suites forenses, Volatility, imaging | DFIR sénior / consultoría |
| SOC Manager | Liderazgo | Personas, procesos, métricas | Cuadros de mando de métricas, herramientas de planificación | Head of SecOps / vía CISO |
Una alerta, tres puestos: un ejemplo trabajado
Así viaja una sola detección por el edificio. A las 02:14 salta el EDR: Microsoft Word ha lanzado powershell.exe con un comando codificado. Aterriza en la cola del Nivel 1.
[ALERT] EDR-1188 severity: medium host: FIN-WKS-042 user: j.doe
parent: WINWORD.EXE -> child: powershell.exe
cmdline: powershell -nop -w hidden -enc SQBFAFgAKABOAGUAdwAt...
El Nivel 1 la reclama. Que Office lance PowerShell oculto y codificado es un patrón clásico de malware por macros, no una tarea programada benigna. El N1 hace el primer enriquecimiento —el usuario es de Finanzas, es plena madrugada y este host no tiene historial de scripting—, decodifica el comando lo justo para ver que está contactando con una URL y escala en minutos con notas limpias. El N1 no toca la máquina; esa no es su decisión.
El Nivel 2 la coge e investiga. Saca el árbol de procesos completo y ve que PowerShell lanza un proceso hijo que hace una conexión saliente repetida a un dominio desconocido: un beacon de command-and-control. Es un verdadero positivo confirmado. El N2 tiene autoridad para actuar: aísla FIN-WKS-042 a través del EDR (contenido en red pero aún accesible para el análisis), deshabilita las sesiones del usuario, bloquea el dominio y abre un incidente formal. Luego comprueba si algún otro host ha hablado con ese dominio, y dos lo han hecho. El alcance es ahora desconocido, puede haber un atacante activo, así que el N2 escala al Nivel 3 / IR.
El Nivel 3, IR y los especialistas lo toman a partir de aquí en paralelo. El respondedor de incidentes asume el mando y coordina la contención en los tres hosts. Un threat hunter barre el entorno en busca de los mismos TTP para asegurarse de que han encontrado todas las máquinas afectadas, no solo las que hicieron beacon. DFIR saca imagen de la memoria de la primera estación de trabajo para recuperar exactamente qué hizo la carga inicial y si se robaron credenciales. El analista de CTI asocia el dominio y las herramientas a una campaña de phishing conocida y aporta más indicadores que buscar. Por último, el ingeniero de detección escribe una regla Sigma nueva y más ajustada para este patrón exacto de Office a PowerShell codificado, la prueba y la despliega, para que la próxima vez salte más fuerte y más pronto. Una alerta, y casi todos los roles del SOC la tocaron.
