Analista SOC

Por Qué Importa

Los Analistas del Centro de Operaciones de Seguridad son la primera línea de defensa organizacional. Operando 24/7 en la mayoría de las empresas, los analistas SOC detectan amenazas cuando emergen, investigan actividad sospechosa y coordinan la respuesta a incidentes. Sin esta vigilancia continua, los ataques pasarían desapercibidos hasta que ocurra un daño significativo.

El rol de analista SOC proporciona uno de los puntos de entrada más accesibles a la ciberseguridad. Las organizaciones necesitan gran cantidad de analistas para cubrir operaciones las 24 horas, creando una fuerte demanda de talento junior dispuesto a aprender. El rol ofrece exposición a diversas tecnologías de seguridad y ataques del mundo real, construyendo habilidades fundamentales para carreras de seguridad avanzadas.

La posición combina análisis técnico con toma de decisiones rápida bajo presión. Los analistas SOC deben distinguir amenazas genuinas de falsos positivos, priorizar alertas en competencia y comunicarse efectivamente con stakeholders técnicos y no técnicos. Esta combinación de habilidades se transfiere a prácticamente cualquier especialización de seguridad.

Rol y Responsabilidades

Funciones Principales

Triaje e Investigación de Alertas

• Revisar alertas de seguridad de SIEM, EDR y otras herramientas
• Determinar si las alertas representan amenazas reales o falsos positivos
• Investigar actividad sospechosa para entender alcance e impacto
• Escalar incidentes confirmados a los equipos apropiados

Respuesta a Incidentes

• Seguir playbooks establecidos para tipos de incidentes comunes
• Contener amenazas activas para prevenir propagación
• Coordinar con equipos de TI para remediación
• Documentar incidentes y acciones de respuesta

Monitoreo Continuo

• Monitorear tráfico de red, logs del sistema y herramientas de seguridad
• Vigilar indicadores de compromiso (IOCs)
• Rastrear inteligencia de amenazas para riesgos emergentes
• Mantener conocimiento de activos organizacionales y líneas base

Día Típico de un Analista SOC:

08:00 - Cambio de turno, revisar alertas nocturnas
08:30 - Triaje de nuevas alertas, priorizar cola
09:00 - Investigar alertas de alta prioridad
10:30 - Escalar incidente de phishing confirmado
11:00 - Escribir reporte de incidente
12:00 - Almuerzo
13:00 - Continuar investigación de alertas
14:30 - Actualizar reglas de detección basado en nuevos IOCs
15:00 - Responder a email sospechoso reportado por usuario
16:00 - Documentar hallazgos, preparar cambio de turno

Estructura de Tiers del SOC

Tier 1 (Analista de Alertas)

• Revisión inicial y clasificación de alertas
• Investigación y documentación básica
• Escalamiento a tiers superiores
• Posición de nivel inicial

Tier 2 (Respondedor de Incidentes)

• Investigación profunda
• Contención y remediación de incidentes
• Fundamentos de análisis de malware
• Requiere 1-3 años de experiencia

Tier 3 (Threat Hunter/Analista Senior)

• Threat hunting proactivo
• Análisis avanzado de malware
• Ingeniería de detección
• Requiere 3-5+ años de experiencia

Habilidades Esenciales

Habilidades Técnicas

Requisitos Técnicos Fundamentales:

Fundamentos de Redes:
- Protocolos TCP/IP, DNS, HTTP/S
- Arquitectura y segmentación de red
- Conceptos de firewall y proxy
- Análisis de paquetes con Wireshark

Sistemas Operativos:
- Logs de eventos y artefactos de Windows
- Línea de comandos y logs de Linux
- Gestión de procesos y servicios
- Fundamentos de forensia de sistemas de archivos

Herramientas de Seguridad:
- SIEM (Splunk, QRadar, Sentinel)
- Plataformas EDR (CrowdStrike, Carbon Black)
- Sistemas IDS/IPS
- Plataformas de inteligencia de amenazas

Habilidades Analíticas

• Reconocimiento de patrones en datos de seguridad
• Razonamiento lógico y prueba de hipótesis
• Atención al detalle mientras se gestiona volumen
• Capacidad de priorizar bajo presión

Habilidades de Comunicación

• Documentación clara de incidentes
• Comunicación efectiva de escalamiento
• Redacción técnica para reportes
• Explicar hallazgos a audiencias no técnicas

Herramientas y Tecnologías

Plataformas SIEM

# Ejemplo de consulta Splunk para análisis de inicios de sesión fallidos
index=security sourcetype=WinEventLog:Security EventCode=4625
| stats count by src_ip, user
| where count > 10
| sort -count

Plataformas SIEM comunes:

• Splunk Enterprise Security
• Microsoft Sentinel
• IBM QRadar
• Elastic Security
• Google Chronicle

Endpoint Detection and Response (EDR)

• CrowdStrike Falcon
• Microsoft Defender for Endpoint
• SentinelOne
• Carbon Black

Herramientas Adicionales

• Análisis de red: Wireshark, Zeek
• Ticketing: ServiceNow, Jira
• Inteligencia de amenazas: MISP, ThreatConnect
• Orquestación: Plataformas SOAR

Ruta de Carrera

Puntos de Entrada

Rutas Comunes de Entrada a Analista SOC:

1. Soporte Técnico/Help Desk
 - Aprender sistemas y troubleshooting
 - Obtener certificación Security+
 - Aplicar a posiciones SOC Tier 1

2. Entrada Directa (Grado/Bootcamp)
 - Grado en ciberseguridad o TI
 - Certificaciones + experiencia en laboratorio casero
 - Internships si están disponibles

3. Cambio de Carrera
 - Aprovechar experiencia de dominio
 - Autoestudio y certificaciones
 - Programas de nivel inicial o rotacionales

Progresión

Año 0-1: Analista Tier 1

• Aprender herramientas y procesos
• Desarrollar reconocimiento de patrones
• Construir hábitos de documentación

Año 1-3: Tier 2 / Respuesta a Incidentes

• Liderar investigaciones
• Manejar incidentes complejos
• Mentorear analistas junior

Año 3-5: Especialización

• Threat hunting
• Ingeniería de detección
• Análisis de malware
• Ruta de liderazgo

Roles Futuros

• Ingeniero de Seguridad
• Analista de Inteligencia de Amenazas
• Líder de Respuesta a Incidentes
• Detection Engineer
• Arquitecto de Seguridad
• Manager de SOC

Certificaciones

Nivel Inicial

• CompTIA Security+: Fundamental, ampliamente reconocida
• CompTIA CySA+: Habilidades específicas de SOC
• Blue Team Level 1 (BTL1): Práctica hands-on

Intermedio

• GIAC Security Essentials (GSEC): Fundamento comprensivo
• GIAC Certified Incident Handler (GCIH): Enfoque en respuesta a incidentes
• Certified SOC Analyst (CSA): Certificación práctica de EC-Council

Avanzado

• GIAC Certified Enterprise Defender (GCED)
• GIAC Certified Intrusion Analyst (GCIA)
• OSCP: Si se pivota a seguridad ofensiva

Salario y Mercado Laboral

Factores del Mercado Laboral

• Alta demanda: Escasez persistente de talento en ciberseguridad
• Requisitos 24/7: Trabajo por turnos común, a veces con pago premium
• Opciones remotas: Cada vez más disponibles post-pandemia
• Contrato vs. FTE: Mix de contratación directa y posiciones MSSP

Cómo Empezar

Construye un Laboratorio Casero

Laboratorio SOC para Principiantes:

Entorno Virtual:
- VirtualBox o VMware
- VM de Windows 10/11
- VM de Linux (Ubuntu)
- Kali Linux para herramientas

Práctica de SIEM:
- Elastic Stack (gratis)
- Splunk Free (500MB/día)
- Security Onion

Generar Tráfico:
- Tests de Atomic Red Team
- Muestras de malware (en VM aislada)
- Patrones de uso normal

Plataformas de Práctica

• TryHackMe: Rutas de aprendizaje específicas de SOC
• LetsDefend: Simulaciones de analista SOC
• Blue Team Labs Online: Investigación de incidentes
• CyberDefenders: CTFs de blue team

Networking

• Únete a comunidades de seguridad (meetups locales, Discord, Twitter)
• Contribuye a proyectos open-source
• Comparte tu camino de aprendizaje y write-ups
• Asiste a conferencias (virtuales o presenciales)