La respuesta directa
Un analista de SOC monitorea las redes y sistemas de una organización en busca de alertas de seguridad, investiga si cada alerta es una amenaza real o un falso positivo, y la cierra o la escala para investigación y respuesta más profunda. Es un rol defensivo (blue team) centrado en logs, alertas y una cola de tickets - no la imagen de Hollywood de escenas de tipeo rápido de hackeo.
La mayor parte del día de un analista de SOC es triaje: una herramienta de Security Information and Event Management (un SIEM - ver mi guía SIEM para principiantes) marca algo inusual, y el analista trabaja para determinar si es un servidor mal configurado, un clic de phishing que no llegó a ningún lado, o un compromiso genuino que necesita escalación inmediata.
Los tres niveles, y qué cambia en cada uno
| Nivel | Enfoque | Tareas típicas | Escala a |
|---|---|---|---|
| Nivel 1 | Triaje de alertas | Revisión de alertas SIEM, cierre de falsos positivos, documentación de tickets, seguimiento de runbooks | Nivel 2 para cualquier cosa poco clara o confirmada |
| Nivel 2 | Investigación | Correlación profunda de logs, análisis básico de malware, confirmación y alcance de incidentes | Nivel 3 / equipo de respuesta a incidentes para incidentes mayores |
| Nivel 3 | Threat hunting y respuesta | Búsqueda proactiva de amenazas no detectadas por reglas existentes, liderazgo de respuesta a incidentes, ajuste de reglas de detección | Trabaja con gestión/legal en brechas mayores |
La mayoría de la gente que lee esto apunta al Nivel 1 - es el punto de entrada estándar, y mi guía sobre cómo convertirse en un analista de SOC cubre cómo llegar allí.
Un turno típico, tarea por tarea
- Relevo de inicio de turno - revisar lo que el turno anterior marcó o dejó abierto.
- Trabajar a través de la cola de alertas SIEM, priorizando por severidad.
- Investigar cada alerta: verificar la IP de origen, la cuenta de usuario involucrada, si el comportamiento coincide con un patrón conocido.
- Cerrar falsos positivos con una razón documentada (esta documentación importa más de lo que esperan los analistas nuevos - es lo que se audita).
- Escalar incidentes genuinos o ambiguos al Nivel 2 con tus hallazgos hasta ahora.
- Actualizar tickets, ejecutar verificaciones programadas (estado de parches, reportes de fallos de login), y manejar cualquier solicitud ad hoc de otros equipos.
- Relevo de fin de turno al siguiente analista.
Si el equipo corre cobertura 24/7, esto se repite en turnos de día, tarde y noche en rotación - vale la pena preguntar en la entrevista si los patrones de turno te importan.
Lo que le digo a mis estudiantes
El concepto erróneo más grande que corrijo constantemente: la gente espera que el trabajo en SOC se sienta como el lado ofensivo de la seguridad - "cazando hackers" activamente. El trabajo de Nivel 1 es más cercano a ser una enfermera de triaje muy bien informada. La mayoría de las alertas son ruido. Tu trabajo es saber cuáles no lo son, y esa habilidad se construye a través de repetición y reconocimiento de patrones, no de brillantez técnica pura. Si encuentras aburrido el trabajo repetitivo y pesado en detalles, sé honesto contigo mismo sobre eso antes de comprometerte - importa más para la satisfacción laboral de lo que admiten la mayoría de guías de estudio.
La otra cara: esta repetición es exactamente cómo aprendes rápido. Seis meses de triaje de alertas de Nivel 1 te enseñan más sobre cómo se comportan realmente las redes reales que un año de cursos de auto-estudio, porque estás viendo tráfico genuino, configuraciones erróneas genuinas, e incidentes genuinos (aunque raros).
También les digo a los estudiantes que no subestimen cuánto del trabajo es escritura. Las notas de incidentes claras y concisas son una habilidad en sí mismas, y una gran parte de tu reputación en un equipo de SOC viene de qué tan bien documentes lo que encontraste, no solo si lo encontraste.
Herramientas que típicamente usarás
- Plataformas SIEM - Splunk, Microsoft Sentinel, QRadar, u opciones de código abierto como Wazuh.
- Sistemas de ticketing - ServiceNow, Jira, o similar, para rastrear y escalar incidentes.
- Herramientas EDR - software de endpoint detection and response (CrowdStrike, Defender for Endpoint, SentinelOne) para investigar máquinas individuales.
- Feeds de threat intelligence - para verificar si una IP o hash de archivo ya es conocido como malicioso.
Si estás evaluando si este camino de carrera te conviene antes de dedicar tiempo y dinero, reserva una lección de prueba y podemos hablar sobre cómo se ve realmente una semana realista basada en tu trasfondo.
FAQ
¿Es el trabajo de analista de SOC estresante?
Puede serlo, particularmente durante un incidente genuino o un turno inusualmente ocupado, pero día a día es trabajo constante y basado en procesos en lugar de crisis continua. Los patrones de turno (incluyendo noches, en algunos empleadores) suelen ser el factor estresante más grande que el contenido técnico en sí.
¿Escriben código los analistas de SOC?
Normalmente no en Nivel 1. Scripts básicos (Python, PowerShell) se vuelven útiles en Nivel 2 y superior para automatizar tareas de investigación repetitivas, pero no es un requisito del día uno.
¿Cuál es la diferencia entre un analista de SOC y un penetration tester?
Un analista de SOC defiende y monitorea; un penetration tester ataca sistemas con permiso para encontrar debilidades primero. Comparación completa en blue team vs red team.
¿Cómo sé si el trabajo en SOC es adecuado para mí?
Si te gusta el trabajo de investigación estructurado y metódico y no te importa la repetición al servicio de mejorar en el reconocimiento de patrones, es un punto de entrada fuerte. Si te atrae la seguridad puramente por contenido ofensivo/hackeo que has visto en línea, vale la pena entender primero la realidad día a día - que es exactamente para qué sirve este artículo.