Cómo Ser Analista SOC Sin Experiencia en 2026

Por qué el SOC Tier 1 es tu mejor puerta de entrada

Si no tienes experiencia en ciberseguridad y quieres entrar en el sector, el rol de Analista SOC Tier 1 es, con diferencia, tu opción más realista. No es una opinión subjetiva. Es una cuestión estructural del mercado: los SOCs (Security Operations Centers) funcionan 24 horas al día, 365 días al año. Cada turno necesita analistas. Y la rotación en posiciones Tier 1 es alta porque los buenos analistas ascienden a Tier 2 o se mueven a otros roles en uno o dos años.

Esa combinación genera un flujo constante de vacantes para perfiles de entrada. Los MSSPs (Managed Security Service Providers) en España tienen procesos de selección diseñados para candidatos sin experiencia laboral en ciberseguridad. No buscan personas que sepan todo. Buscan personas que puedan aprender rápido, seguir procedimientos con rigor y mantener la concentración durante un turno completo de monitorización.

El déficit europeo de profesionales de ciberseguridad supera las 300.000 posiciones según ENISA. En España, INCIBE estima que se necesitan más de 80.000 especialistas adicionales. Ese déficit se nota especialmente en los SOCs, donde la operativa continua amplifica la demanda. Las empresas no pueden esperar a candidatos con cinco años de experiencia. Forman a los que demuestran potencial y actitud.

Qué hace un analista SOC Tier 1 cada día

Antes de prepararte, entiende exactamente qué harás si te contratan. Esto te permite orientar tu formación y construir un portfolio relevante.

Monitorización de alertas

Tu herramienta principal es un SIEM (Splunk, QRadar, Microsoft Sentinel o Elastic Security). En tu pantalla aparecen alertas que se generan automáticamente cuando algo potencialmente sospechoso ocurre: un login fallido múltiple, una conexión a una IP en lista negra, una ejecución de PowerShell inusual o un archivo detectado como malware. Tu trabajo es revisar esas alertas una a una.

Triaje de alertas

Triaje significa investigar cada alerta y determinar si es una amenaza real o un falso positivo. Para cada alerta sigues un proceso:

1. Lees el contexto: qué ha disparado la alerta, en qué máquina, qué usuario, a qué hora.
2. Investigas: buscas logs relacionados, compruebas si el comportamiento es normal para ese usuario, verificas la reputación de IPs y dominios en herramientas como VirusTotal o AbuseIPDB.
3. Decides: falso positivo (cierras y documentas) o posible incidente (escalas a Tier 2 con tu análisis).
4. Documentas: registras todo en el sistema de tickets (ServiceNow, Jira o la plataforma SOAR del SOC).

Playbooks y procedimientos

Los SOCs operan con procedimientos estandarizados para cada tipo de alerta. Como Tier 1, sigues estos playbooks al pie de la letra. No se espera que improvises ni que tomes decisiones de alto nivel. Se espera que ejecutes con rigor, documentes con claridad y escales cuando corresponde.

Habilidades transferibles que ya tienes

No necesitas experiencia en TI para ser un buen analista SOC. Necesitas atención al detalle, capacidad de seguir procedimientos bajo presión, comunicación escrita clara y resistencia a la monotonía (muchas alertas son repetitivas). Varias carreras desarrollan exactamente estas competencias:

Atención al cliente y call centers. Gestionar un volumen alto de tickets con calidad constante es exactamente lo que requiere el SOC Tier 1. La experiencia en call centers demuestra capacidad de triaje, disciplina documental y habilidad para seguir scripts (playbooks) sin perder rigor.

Sanidad y enfermería. El triaje clínico es funcionalmente paralelo al triaje SOC: evaluar gravedad, seguir protocolos, escalar cuando se cumplen criterios y documentar todo. Los profesionales sanitarios también entienden la cultura de turnos rotativos.

Administración y contabilidad. Revisar transacciones en busca de anomalías es funcionalmente similar a revisar logs de seguridad. Atención al detalle, reconocimiento de patrones y cumplimiento normativo se transfieren directamente.

Fuerzas armadas y cuerpos de seguridad. Disciplina operativa, experiencia en turnos, capacidad de decisión bajo presión y conciencia situacional son requisitos del SOC. Perfiles con experiencia en inteligencia tienen alineación especialmente fuerte con análisis de amenazas.

Control de calidad y QA. Seguir procedimientos sistemáticamente, documentar hallazgos con precisión y distinguir problemas reales del ruido es exactamente lo que hace un analista SOC.

Tu ruta de preparación: 6 a 9 meses desde cero

Meses 1 a 3: Fundamentos y Security+

Si no tienes base técnica, dedica las primeras semanas a fundamentos de redes (TCP/IP, DNS, HTTP, firewalls) y sistemas operativos (logs de Windows, CLI de Linux, procesos, servicios). TryHackMe Pre-Security y Windows/Linux Fundamentals son recursos gratuitos y bien estructurados para esto.

CompTIA Security+ (SY0-701) es tu prioridad absoluta. Es el filtro que usan los reclutadores de SOC en toda Europa. Sin Security+, tu candidatura se queda en la bandeja de RRHH. Con Security+, pasas a evaluación técnica. Invierte 2 a 3 meses de estudio dedicado (15 a 20 horas semanales). El Bootcamp de Ciberseguridad de Unihackers incluye preparación estructurada para Security+ con mentoría y voucher de examen.

Meses 3 a 6: Herramientas SIEM y práctica de triaje

Una vez tengas Security+ (o estés en la recta final de preparación), enfócate en las herramientas que usarás cada día:

Splunk. Es el SIEM más extendido en SOCs corporativos. Aprende SPL (Search Processing Language): buscar eventos, filtrar por campos, crear tablas y estadísticas, leer dashboards. Splunk Education ofrece formación gratuita. Instala Splunk Free en tu laboratorio para practicar con datos reales.

Microsoft Sentinel. Dominante en entornos Azure. Si apuntas a empresas con ecosistema Microsoft (que son muchas en España), familiarizarte con KQL (Kusto Query Language) y la interfaz de Sentinel te diferencia de otros candidatos.

Wireshark. Análisis de capturas de red. Aprende a filtrar tráfico por protocolo, IP y puerto. Identifica patrones sospechosos: beacons, DNS tunneling, transferencias de datos inusuales.

Herramientas de reputación. VirusTotal, AbuseIPDB, URLscan.io, Shodan. Un analista SOC las usa docenas de veces al día para verificar si una IP, dominio o hash es malicioso.

Meses 6 a 9: Simulación SOC y portfolio

LetsDefend. Simula un entorno SOC real con alertas que llegan a tu dashboard. Investigas, decides y documentas como si estuvieras en turno. Es el recurso más directamente aplicable a tu futuro trabajo.

TryHackMe SOC Level 1. Ruta guiada que cubre monitorización, análisis de logs, SIEM y respuesta a incidentes. Complementa bien a LetsDefend con más teoría contextual.

Blue Team Labs Online. Retos de investigación forense y análisis de incidentes con escenarios realistas y datasets de producción.

Documenta cada reto completado como un informe profesional. Esos documentos son tu portfolio.

Certificaciones complementarias para SOC

CompTIA Security+ (SY0-701) - Obligatoria

Es la base. Aparece en más del 60% de ofertas para SOC Tier 1 según CyberSeek. Sin ella, tu candidatura no pasa el primer filtro.

Blue Team Level 1 (BTL1)

Certificación práctica de Security Blue Team centrada en habilidades de SOC: análisis de phishing, investigación SIEM, análisis de tráfico de red, análisis de endpoints y respuesta a incidentes. A diferencia de exámenes de opción múltiple, BTL1 exige investigar escenarios en un laboratorio real.

Splunk Core Certified User

Valida tus competencias en el SIEM más usado. Es rápida de preparar (2 a 3 semanas si ya manejas SPL) y tiene impacto directo en tu candidatura para SOCs que operan con Splunk.

Microsoft SC-200

Si los SOCs donde quieres trabajar usan Sentinel (muy común en España por la penetración de Azure), SC-200 te posiciona como especialista en el stack de seguridad de Microsoft.

Orden recomendado

Security+ primero (abre puertas), después BTL1 o Splunk Core (demuestra capacidad práctica), y CySA+ después de conseguir tu primer empleo (acelera la promoción a Tier 2).

Construir un portfolio sin experiencia laboral

Documentación de triaje en LetsDefend

Crea un repositorio en GitHub con tus investigaciones. Cada alerta investigada debe incluir:

• Captura del dashboard con la alerta original
• Logs relevantes que consultaste
• Tu proceso de análisis paso a paso
• Herramientas de reputación consultadas
• Decisión tomada y justificación
• Lecciones aprendidas

Laboratorio SIEM propio

Monta un entorno con Splunk Free o Elastic Security en tu máquina:

• Configura la ingesta de logs de Windows (Event Viewer) y Linux (syslog, auth.log)
• Genera tráfico normal y simula ataques básicos (brute force, lateral movement)
• Crea alertas y dashboards de monitorización
• Practica búsquedas e investigaciones como si estuvieras en turno
• Documenta la configuración y tus hallazgos

Playbooks propios

Escribe procedimientos operativos para tipos comunes de alertas: phishing, brute force, conexión saliente sospechosa, detección de malware, acceso no autorizado. Cada playbook incluye criterios de alerta, pasos de investigación, condiciones de escalación y acciones de respuesta. Esto demuestra que entiendes los procesos del SOC, no solo las herramientas.

Búsqueda de empleo: estrategia para España

Empresas objetivo

Los MSSPs son tu prioridad. Operan los SOCs más grandes y tienen más vacantes de Tier 1:

• S21sec (grupo Thales): SOC en múltiples ubicaciones, contratación recurrente.
• Telefónica Tech: SOC propio y gestionado. Programa de formación para nuevos analistas.
• NTT Data: SOC con operaciones internacionales desde España.
• Accenture Security: Alto volumen de contratación en seguridad.
• Deloitte Cyber, EY, KPMG, PwC: Las Big Four tienen prácticas de ciberseguridad con programas de entrada para junior.

SOCs internos de banca (Santander, BBVA, CaixaBank), telco (Telefónica, Vodafone) y energía (Iberdrola, Endesa) son más selectivos pero posibles como primer destino si tu perfil destaca.

El proceso de selección típico

1. Filtro RRHH: Verifican Security+ (o en proceso) y evidencia de interés en ciberseguridad.
2. Entrevista técnica: Te presentan un escenario de alerta y te piden que expliques tu proceso de investigación. No buscan perfección, buscan metodología.
3. Prueba práctica (en algunos): Acceso a un SIEM con alertas para que hagas triaje. Tu práctica en LetsDefend te prepara directamente.
4. Entrevista de encaje: Evalúan trabajo en equipo, comunicación clara y capacidad de gestionar turnos.

Consejos para la entrevista

• Explica tu proceso mental, no solo la conclusión. Los entrevistadores quieren ver cómo piensas.
• Es perfectamente válido decir "no lo sé, pero investigaría buscando X en la herramienta Y".
• Menciona tu portfolio y tus ejercicios de LetsDefend. Demuestra que ya has hecho triaje aunque sea en simulación.
• Pregunta por la formación interna. Muchos SOCs tienen onboarding de 2 a 4 semanas. Preguntar demuestra visión a largo plazo.

Salarios y expectativas en España

Rango salarial de entrada

• SOC Tier 1 sin experiencia: 22.000 a 28.000 EUR brutos anuales
• SOC Tier 1 con Security+ y 1 año: 26.000 a 32.000 EUR
• SOC Tier 2 (2 a 3 años): 32.000 a 42.000 EUR
• SOC Tier 3 / SOC Lead: 42.000 a 55.000 EUR

Los complementos por turnos nocturnos y festivos añaden entre 2.000 y 5.000 EUR anuales al salario base.

Turnos

La mayoría de SOCs operan con turnos rotativos: mañana, tarde y noche. Los turnos nocturnos y de fin de semana llevan complemento salarial. El horario no es cómodo, pero es temporal: la mayoría de analistas pasan a Tier 2 o a horarios diurnos en 1 a 2 años.

Progresión de carrera

Después de 1 a 2 años en Tier 1, las opciones incluyen:

• Ascenso a Tier 2 (investigación avanzada, threat hunting)
• Respuesta a incidentes (incident response)
• Inteligencia de amenazas (threat intelligence)
• Transición a pentesting (si desarrollas habilidades ofensivas en paralelo)
• GRC y auditoría (si te atrae la gobernanza)
• Ingeniería de seguridad (si prefieres infraestructura)

Recursos en España para empezar sin experiencia

INCIBE

Formación gratuita en ciberseguridad, eventos de networking (CyberCamp), catálogo de empresas del sector para buscar empleo y programa de Talento en Ciberseguridad que conecta nuevos profesionales con empleadores. Es un recurso que debes explorar activamente.

SEPE y formación financiada

Si estás desempleado, el SEPE financia cursos de ciberseguridad a través de Formación para el Empleo en tu comunidad autónoma. Busca certificados de profesionalidad en seguridad informática. Estas formaciones financiadas incluyen prácticas en empresa, lo que te da primer contacto laboral.

FUNDAE

Si trabajas actualmente (en cualquier sector), tu empresa puede financiar tu formación en ciberseguridad a través de la bonificación de FUNDAE sin coste para ti. Investiga esta opción antes de pagar de tu bolsillo.

Comunidad y networking

• Eventos presenciales: RootedCON, Navaja Negra, h-c0n, CyberCamp
• Comunidades online: Discord de TryHackMe, r/blueteamsec, grupos de Telegram de ciberseguridad España
• LinkedIn: sigue a responsables de SOC en empresas objetivo y participa en sus publicaciones

El networking no es opcional. La mayoría de primeros empleos en SOC llegan por contactos directos o recomendaciones internas, no por portales de empleo.

Tu siguiente paso

Empieza hoy. No la semana que viene. El Bootcamp de Ciberseguridad de Unihackers está diseñado para personas sin experiencia que quieren su primer empleo como analista SOC. Incluye preparación para Security+, práctica con herramientas SIEM reales y mentoría personalizada para acelerar tu transición.

Si prefieres la ruta autodidacta, abre TryHackMe hoy y empieza Pre-Security. Cada día que no empiezas es un día que podrías haber usado para acercarte a tu primer empleo en ciberseguridad.

El SOC te espera. El déficit de profesionales es real. Las empresas están contratando. La pregunta no es si hay sitio para ti. La pregunta es cuándo vas a estar preparado para ocuparlo.

Preguntas frecuentes