How to Become a Analista SOC

¿Por Qué Convertirse en Analista SOC?

El rol de Analista SOC es uno de los puntos de entrada más accesibles a la ciberseguridad, ofreciendo exposición real a amenazas cibernéticas mientras construyes habilidades fundamentales que se transfieren a prácticamente cualquier especialidad de seguridad.

Lo que hace atractivo este rol:

• Alta demanda: Organizaciones de todos los tamaños necesitan monitoreo de seguridad
• Experiencia real: Manejas incidentes de seguridad reales diariamente
• Progresión de carrera clara: Camino bien definido desde Tier 1 hasta roles especializados
• No se requiere título: Las habilidades y certificaciones a menudo superan la educación formal
• Aprendizaje continuo: Cada día trae nuevas amenazas y técnicas por entender

¿Qué Hace Realmente un Analista SOC?

Como Analista SOC, tu responsabilidad principal es monitorear alertas de seguridad e investigar amenazas potenciales. Un día típico puede incluir:

• Triaje de alertas: Revisar alertas del SIEM y determinar cuáles requieren investigación
• Investigación: Analizar logs, tráfico de red y datos de endpoints para entender actividad sospechosa
• Escalamiento: Documentar hallazgos y escalar amenazas confirmadas a analistas senior
• Reportes: Crear tickets de incidentes y documentar pasos de investigación
• Ajuste: Proporcionar retroalimentación sobre falsos positivos para mejorar las reglas de detección

Los Niveles de Analista SOC

La mayoría de los SOCs organizan a los analistas en niveles según la experiencia:

Lo que Hace un Analista SOC Hora a Hora

Un turno real rara vez coincide con la versión idealizada que describen los reclutadores. Un analista T1 en un turno diurno de 12 horas suele dedicar los primeros 30 minutos a leer el ticket de relevo, revisar dashboards en Splunk, Microsoft Sentinel o QRadar, y confirmar que las pipelines críticas de detección están operativas. Las siguientes horas alternan entre triaje de alertas, actualización de tickets en Jira o ServiceNow, y revisiones cortas entre pares sobre casos sospechosos. La comida se suele escalonar para que la cola nunca quede desatendida.

A media tarde aumentan los reportes de phishing. Los usuarios reenvían correos sospechosos, el analista detona las URLs en un sandbox como Any.Run o Joe Sandbox, contrasta el remitente con feeds de threat intel (MISP, OpenCTI, AlienVault OTX) y actualiza listas de bloqueo en el gateway de correo. Al final del turno, el analista redacta un relevo estructurado para el equipo nocturno con investigaciones abiertas, notas de tuning y escalaciones enviadas al equipo de respuesta a incidentes.

Este ritmo importa porque define qué habilidades debes construir primero. Velocidad de triaje, comunicación escrita clara y disciplina documental no son negociables. Sin ellas, ni siquiera unas buenas habilidades técnicas compensan.

El Modelo de Tiers SOC: T1 vs T2 vs T3 vs SOC Engineer

El modelo de tiers es más que una jerarquía, define el tipo de trabajo que harás cada día y qué detecciones puedes cerrar.

Tier 1 (T1) se centra en volumen. El analista procesa cientos de alertas por turno, la mayoría benignas, y aprende a reconocer patrones de falso positivo a velocidad. Métricas habituales: alertas por hora, tiempo medio de triaje (MTTT) y precisión de escalación.

Tier 2 (T2) recibe escalaciones del T1. El trabajo pasa del triaje a la investigación: pivotando entre logs SIEM, telemetría EDR y capturas de red para reconstruir la línea temporal de un ataque. Los T2 también empiezan a hacer tuning de detecciones, a escribir exclusiones y a contribuir a runbooks.

Tier 3 (T3) lidera campañas de threat hunting, dirige incidentes mayores y desarrolla nuevo contenido de detección. Escriben reglas Sigma, construyen búsquedas de correlación personalizadas y colaboran con threat intel para traducir TTPs adversarias en cobertura. El MTTD y el MTTR del equipo son en parte responsabilidad suya.

SOC Engineer es una vía paralela centrada en la plataforma: onboarding de logs, desarrollo de parsers, playbooks SOAR y ciclo de vida de contenido. Muchos T2/T3 acaban en este rol cuando prefieren construir detecciones a operarlas.

Si partes desde cero sin experiencia tecnológica, la vía sin experiencia explica cómo un bootcamp estructurado comprime el camino de cero a T1.

El Conjunto Esencial de Habilidades SIEM

Un analista SOC vive dentro de un SIEM. La plataforma cambia según el empleador, pero las habilidades subyacentes se transfieren.

SPL de Splunk usa una sintaxis basada en pipes. Una caza típica de logons fallidos seguidos de uno exitoso desde la misma fuente:

index=wineventlog EventCode=4625 OR EventCode=4624
| stats count(eval(EventCode=4625)) as failed, count(eval(EventCode=4624)) as success by src_ip, user
| where failed > 10 AND success > 0

KQL (Kusto Query Language) es el motor de Microsoft Sentinel y Defender. La misma lógica en KQL:

SecurityEvent
| where EventID in (4624, 4625)
| summarize failed = countif(EventID == 4625), success = countif(EventID == 4624) by IpAddress, Account
| where failed > 10 and success > 0

Lucene se usa en Elastic y Wazuh. Las consultas son más planas y orientadas a strings, útiles para búsquedas de texto libre sobre índices normalizados.

Apunta a ser operativo en un lenguaje de consulta en tres meses y conversacional en un segundo en un año. La mayoría de roles SOC senior en la UE esperan fluidez en SPL o KQL.

MITRE ATT&CK como tu Mapa Diario

ATT&CK es el vocabulario compartido de la defensa moderna. Cada alerta que merece investigación se mapea a una o varias tácticas (Initial Access, Execution, Persistence, Privilege Escalation, Defense Evasion, Credential Access, Discovery, Lateral Movement, Collection, Command and Control, Exfiltration, Impact) y a técnicas y subtécnicas concretas.

Uso práctico de ATT&CK en un SOC:

• Etiquetar detecciones con IDs de técnica (por ejemplo T1059.001 para ejecución de PowerShell)
• Revisar gaps de cobertura usando ATT&CK Navigator
• Leer reportes de red team con lente ATT&CK para extraer IOCs y comportamientos
• Escribir notas de investigación que referencien técnicas para que otros analistas pivoten rápido

Memorizar la matriz no es el objetivo. Reconocer qué técnicas son más relevantes en tu entorno sí lo es.

EDR y el Bucle de Investigación de Endpoints

Las plataformas EDR (CrowdStrike Falcon, SentinelOne, Microsoft Defender for Endpoint, Cortex XDR) generan una buena parte de las alertas de alta fidelidad. Cada una espera que sigas un bucle: leer la alerta, pivotar al árbol de procesos, examinar relaciones padre e hijo, revisar argumentos de línea de comandos, buscar binarios sin firmar y correlacionar con eventos Sysmon o auditd en el host.

Preguntas típicas durante el triaje de endpoint:

• ¿Tiene sentido el proceso padre? (Word lanzando PowerShell es sospechoso)
• ¿Estaba firmado el binario y por quién?
• ¿Contactó el host con un dominio externo poco habitual tras la ejecución?
• ¿Hay procesos hermanos en otros hosts haciendo lo mismo?

La práctica en entornos como LetsDefend, Blue Team Labs Online o los laboratorios del currículo de Unihackers es la vía más rápida para interiorizar este bucle.

La Mentalidad de Ingeniería de Detección

Aunque seas T1, debes interesarte en cómo se construyen las detecciones. Sigma es el estándar abierto para escribir reglas en YAML neutro al fabricante, que se convierte a SPL, KQL, Lucene y otros. Leer y contribuir a repositorios públicos de Sigma enseña qué aspecto tiene una buena regla: lógica clara, baja tasa de falsos positivos, mapeada a ATT&CK y acompañada de un runbook de triaje.

Una buena detección tiene tres propiedades:

1. Dispara sobre el comportamiento, no sobre el artefacto (sobrevive a pequeños cambios del adversario).
2. Su tasa de falsos positivos es lo bastante baja para que los analistas confíen en ella.
3. Está documentada para que un analista cansado a las 3 AM aún pueda actuar.

Trae esta mentalidad pronto y saldrás de T1 antes que compañeros que solo triajean lo que les llega.

Realidad de los Turnos y Prevención del Burnout

La mayoría de SOCs en la UE operan 24/7 con uno de dos patrones: rotaciones de 8 horas en tres turnos (8x3) o rotaciones de 12 horas día y noche con cadencia fija (por ejemplo dos días, dos noches, cuatro libres). Ambos tienen contrapartidas. El 8x3 reparte la cobertura más uniformemente pero genera más relevos. El 12 horas da más días libres pero turnos individuales más duros.

El burnout es un problema real y medible en el trabajo SOC. La combinación de fatiga de alertas, alteración del ritmo circadiano y decisiones críticas desgasta. Contramedidas eficaces:

• Relevos estrictos al final de turno para no llevarte investigaciones a casa
• Rotación entre triaje y trabajo de proyecto (tuning, documentación, hunts)
• Sprints periódicos de tuning para reducir volumen de alertas en origen
• Conversaciones honestas con la dirección sobre la salud de la cola

Los empleadores que se toman esto en serio retienen analistas. Los que no, los pierden en menos de 18 meses.

Categorías Comunes de Alerta y Cómo Triagearlas

Cinco categorías cubren la mayor parte de lo que ve un T1:

Phishing: Reportes de usuario o alertas del gateway. Inspecciona cabeceras, detona URLs y adjuntos en sandbox, comprueba reputación del remitente y extrae destinatarios del servidor de correo. Bloquea al remitente, recupera el correo si es posible y busca clics o descargas en el SIEM.

Malware: Alertas EDR sobre escritura de archivo, ejecución o inyección en memoria. Pon en cuarentena el host, extrae el binario para análisis (VirusTotal, hybrid analysis), revisa el árbol de procesos y busca movimientos laterales.

Brute force y password spraying: Fallos repetidos de autenticación entre cuentas o IPs. Confirma si hay MFA, busca cualquier logon exitoso y coordina con el equipo de identidad para bloqueos o cambios de acceso condicional.

Movimiento lateral: Actividad inusual SMB, RDP o WMI, especialmente de workstation a servidor. Reconstruye el origen, comprueba si la cuenta originadora apareció en algún caso reciente de phishing y escala a T2 rápido.

Exfiltración: Transferencias salientes grandes, patrones de tunneling DNS o subidas inusuales a almacenamiento en la nube. Casi siempre escalación a T2/T3, pero el T1 debe reconocer la señal pronto.

Una plantilla de triaje consistente (fuente de la alerta, comportamiento observado, IOCs clave, mapeo ATT&CK, acción recomendada) mantiene tus tickets legibles y tu turno avanzando.

Certificaciones que Realmente Mueven Decisiones de Contratación

No todas las certificaciones pesan igual en los paneles de contratación de la UE.

• CompTIA Security+ (detalles) es el suelo. Casi toda oferta la pide o la prefiere. El Bootcamp de Ciberseguridad de Unihackers incluye preparación de Security+ y un voucher de Certiprof.
• CompTIA CySA+ (detalles) es la continuación natural y se alinea directamente con tareas de analista SOC (analítica de comportamiento, gestión de vulnerabilidades, respuesta a incidentes).
• Blue Team Level 1 (BTL1) es práctica y muy respetada porque el examen te obliga a investigar artefactos reales.
• Certified CyberDefender (CCD) es más avanzada y útil para apuntar a roles T2/T3.
• Certificaciones de fabricante como Splunk Core Certified User, Microsoft SC-200 o Elastic Certified Analyst ayudan cuando el empleador usa esa plataforma.

Apílalas en este orden: Security+, después CySA+ o BTL1, y luego una de fabricante alineada con el stack del puesto.

Realidad Salarial en la UE: De Junior a Senior

Las cifras de EE. UU. dominan internet pero rara vez encajan con la UE. Rangos realistas en 2026:

• Analista SOC Junior / T1: EUR 30.000 a 40.000 al año, con diferenciales por turno que añaden un 10 a 20 por ciento por cobertura nocturna y de fin de semana.
• Analista SOC Mid / T2: EUR 42.000 a 55.000 al año, según país y especialización SIEM.
• Analista SOC Senior / T3 o SOC Engineer: EUR 60.000 a 80.000 al año, con ingeniería de detección y threat hunting en la parte alta.

Madrid, Barcelona y los grandes hubs alemanes se sitúan en torno a la mitad de estos rangos. Suiza, Luxemburgo y partes de los Nórdicos pagan más. Roles remotos para MSSPs globales pueden estirar la banda senior. El desglose completo está en la guía de salarios en ciberseguridad.

Cómo Mapea el Bootcamp de Unihackers a Este Rol

El Bootcamp de Ciberseguridad de Unihackers es un programa de 360 horas y 6 meses construido alrededor de las habilidades descritas. Tres módulos son especialmente relevantes para este rol:

• Módulo 7 (Operaciones Defensivas): Laboratorios prácticos con plataformas SIEM, análisis de logs y consultas SPL/KQL.
• Módulo 8 (Detección y Respuesta a Incidentes): Mapeo MITRE ATT&CK, flujos de investigación EDR y playbooks de triaje.
• Módulo 12 (Capstone): Simulación SOC de varios días que reproduce un turno T1 real, con relevos, escalaciones y reportes post incidente.

Incluye preparación del examen Security+ y un voucher de Certiprof. La vía estructurada de soporte IT a analista SOC es la ruta más común para quienes cambian de carrera.

Habilidades que Más Importan

Mientras el camino de certificaciones proporciona estructura, estas habilidades prácticas harán la mayor diferencia en tu éxito:

Habilidades Técnicas

1. Análisis de Logs: Entender lo que los logs te dicen es tu superpoder. Practica leyendo logs de eventos de Windows, logs de firewall y logs de servidores web.

2. Fundamentos de Redes: Conoce cómo funcionan las redes, incluyendo protocolos comunes, patrones de tráfico normales vs. anormales, y cómo los atacantes se mueven lateralmente.

3. Dominio de SIEM: Conviértete en fluido en al menos una plataforma SIEM. Splunk es la más común, pero Microsoft Sentinel está creciendo rápidamente.

4. Fundamentos de Scripting: Las habilidades de Python o PowerShell te permiten automatizar tareas repetitivas y realizar análisis más sofisticados.

Habilidades Blandas que te Distinguen

• Curiosidad: Los mejores analistas son naturalmente curiosos sobre cómo funcionan las cosas y por qué ocurrieron los eventos
• Comunicación: Necesitarás explicar hallazgos técnicos a partes interesadas no técnicas
• Resiliencia: La fatiga de alertas es real, necesitas estrategias para mantenerte enfocado durante turnos largos

La Búsqueda de Empleo

Cuando estés listo para aplicar, enfócate en estas estrategias:

Construyendo tu Currículum

• Destaca certificaciones y experiencia práctica de laboratorios
• Lista herramientas específicas que has usado (Splunk, Wireshark, etc.)
• Incluye proyectos personales o participación en CTFs
• Cuantifica logros cuando sea posible

Preparación para Entrevistas

Espera una mezcla de preguntas técnicas y conductuales:

• "Guíame a través de cómo investigarías una alerta de phishing"
• "¿Cuál es la diferencia entre cifrado y hashing?"
• "Describe una situación donde tuviste que trabajar bajo presión"
• "¿Cómo priorizarías múltiples alertas de alta severidad?"

Dónde Encontrar Trabajos

• LinkedIn Jobs
• Indeed (filtra por roles de seguridad de nivel inicial)
• Páginas de carreras de empresas (especialmente MSSPs)
• Bolsas de trabajo enfocadas en seguridad como CyberSecJobs
• Meetups y conferencias locales de ciberseguridad

Desafíos Comunes y Cómo Superarlos

Fatiga de Alertas

El problema: Los entornos de alto volumen pueden ser abrumadores. La solución: Desarrolla procesos sistemáticos de triaje, toma descansos y aboga por mejor ajuste de alertas.

Trabajo por Turnos

El problema: Los turnos nocturnos y de fin de semana afectan el equilibrio vida-trabajo. La solución: Algunos empleadores ofrecen horarios 4x10 o rotaciones. Esto mejora con la antigüedad.

Síndrome del Impostor

El problema: Sentir que no sabes suficiente comparado con colegas experimentados. La solución: Todos empiezan en algún lugar. Enfócate en aprender algo nuevo cada día.

¿Listo para Empezar?

El camino para convertirse en Analista SOC es desafiante pero alcanzable. Con esfuerzo consistente durante 6-12 meses, puedes construir las habilidades necesarias para conseguir tu primer rol. Recuerda:

1. Comienza con los fundamentos (redes, bases de seguridad)
2. Obtén certificaciones (Security+ es tu primer hito)
3. Practica constantemente (TryHackMe, Blue Team Labs, LetsDefend)
4. Construye un portafolio de tu trabajo
5. Haz networking con profesionales del campo

La industria de ciberseguridad necesita más defensores. Tu futuro equipo está esperando.