De IT Support a SOC Analyst

Por Qué Esta Ruta Tiene Sentido

Los profesionales de soporte IT suelen infravalorar cuánto de su trabajo ya se parece a security operations. Ya lidias con endpoints, problemas de acceso, comportamiento de usuarios, escalado de tickets y la realidad de que los incidentes llegan desordenados. En un SOC cambian las herramientas y las preguntas, pero no desaparece la disciplina de investigar con cuidado.

Eso es lo que hace creíble esta ruta. No asume que partes de cero, pero tampoco finge que experiencia IT adyacente basta por sí sola. El objetivo es convertir un perfil operativo de soporte en uno preparado para seguridad añadiendo contexto, práctica estructurada y mejor evidencia.

Qué Se Transfiere Desde IT Support

Varias rutinas de soporte son directamente útiles en un rol SOC.

• Sabes hacer troubleshooting bajo presión.
• Estás acostumbrado a información incompleta de usuarios y sistemas.
• Ya trabajas con sistemas operativos, permisos y comportamiento de endpoints.
• Entiendes que la documentación importa cuando otra persona tiene que continuar la investigación.

No son ventajas pequeñas. El trabajo SOC junior rara vez es glamuroso. Gran parte consiste en triage metódico, lectura de contexto y decisión sobre qué merece escalado.

La Brecha de Seguridad que Todavía Debes Cerrar

Lo que aún necesitas no es madurez técnica general, sino encuadre de seguridad.

Necesitas entender mejor cómo se desarrollan ataques comunes, cómo se ve actividad sospechosa en logs y señales de endpoint y cómo encajan los flujos de monitoring dentro de un proceso real de incident response. Aquí es donde muchos perfiles de soporte se estancan: conocen bien los sistemas, pero todavía no los leen con una lógica de detección y respuesta.

Cómo Encaja el Bootcamp en Esta Transición

Para este perfil, el valor del bootcamp es la estructura. Los módulos más relevantes son los que conectan conocimiento de infraestructura con trabajo de seguridad:

• fundamentos de ciberseguridad
• networking y seguridad de red
• security operations y monitoring
• advanced security operations
• career coaching y preparación de certificaciones

El punto importante no es correr por correr. El punto importante es reemplazar estudio desconectado por una secuencia que sí lleve a alguna parte.

Qué Cuenta como Buena Evidencia Antes de Aplicar

Esta ruta se vuelve creíble cuando puedes enseñar algo más que motivación.

La evidencia útil suele incluir un pequeño ejercicio de análisis de logs, una nota corta de triage de alertas, un flujo simple de investigación o apuntes que muestren cómo razonaste sobre comportamiento sospechoso en un endpoint. Para un primer rol defensivo nadie necesita un lab ofensivo perfecto. Sí necesitan prueba de que puedes pensar con claridad sobre trabajo operativo de seguridad.

Qué Conviene Evitar

Los errores más comunes son perseguir demasiadas tools demasiado pronto, sobrevalorar contenido ofensivo antes de consolidar fundamentos defensivos y asumir que experiencia IT adyacente equivale automáticamente a estar listo para ser contratado.

Esta ruta funciona mejor cuando tratas tu experiencia en soporte como una base fuerte y luego le añades contexto de seguridad, práctica y evidencia.

Un Calendario Realista de 6 Meses Desde la Cola de Tickets al Primer Turno SOC

Un bootcamp de 360 horas no se convierte por sí solo en un rol SOC. La transición se vuelve realista cuando estudio, labs y aplicaciones siguen un ritmo constante. La estructura de abajo es la que funciona para la mayoría de personas que dejan una cola de soporte.

Las semanas 1 a 4 se centran en fundamentos. Vuelves sobre TCP/IP, DNS, HTTP, flujos de autenticación, el modelo de eventos de Windows y los internals básicos de Linux. El objetivo no es memorizar comandos. Es leer qué está haciendo un sistema cuando algo huele raro.

Las semanas 5 a 10 introducen workflows defensivos. Empiezas a trabajar con logs a escala, escribes tus primeras notas de detección y aprendes cómo se mueven las alertas dentro de un proceso de triage. Al final de la semana 10 deberías ser capaz de tomar una alerta de ejemplo y explicar, por escrito, qué significa probablemente y qué contexto buscarías a continuación.

Las semanas 11 a 16 conectan todo con incident response. Practicas mapear eventos a técnicas de MITRE ATT&CK, redactar writeups breves y usar una plantilla simple de investigación. Aquí también suele encajar la preparación de Security+, porque el examen refuerza el vocabulario que esperan los recruiters.

Las semanas 17 a 22 son de profundidad de portfolio. Repites ejercicios de lab con tus propias palabras, los documentas como si una compañera tuviera que continuar tu trabajo y empiezas a ajustar tu CV con lenguaje defensivo en lugar de términos IT genéricos.

Las semanas 23 a 26 son de aplicación. Te postulas a roles SOC junior, posiciones MSSP y programas trainee de detection engineering. La mayoría de candidatos que reciben una primera oferta en esta ventana tienen un perfil sin experiencia más razonamiento visible, no una lista larga de certificaciones.

Las Herramientas Que Verás en Tu Primer Rol SOC

El primer día en un SOC rara vez exige uso experto de una sola herramienta. Exige soltura moviéndote entre varias. Splunk y el ELK Stack (Elasticsearch, Logstash, Kibana) dominan como plataformas SIEM en operaciones EU, con creciente adopción de Microsoft Sentinel en entornos cloud-first. Pasarás tiempo escribiendo queries de búsqueda, guardando vistas y montando dashboards básicos.

Wireshark y tshark aparecen cuando importa la evidencia a nivel de paquete, sobre todo ante sospecha de exfiltración o tráfico saliente inusual. Sysmon, la herramienta de Sysinternals, es el estándar para telemetría más rica de endpoints Windows. Saber leer un Sysmon Event ID 1 (process create) frente a un Event ID 3 (network connection) es más una habilidad diaria que un nicho.

Las consolas EDR como CrowdStrike Falcon, SentinelOne o Microsoft Defender for Endpoint completan el cuadro. No las dominarás estudiando, pero sí debes reconocer cómo aparecen las detecciones, cómo funciona el aislamiento y cómo se construyen las timelines de investigación.

Plataformas de ticketing como Jira y ServiceNow sostienen el ritmo operativo. El trabajo SOC sin ticketing disciplinado se convierte rápido en caos, y por eso tu base de soporte resulta genuinamente útil.

Qué Aspecto Tiene el Trabajo SOC Tier 1 vs Tier 2

La mayoría de primeros roles están en Tier 1. El trabajo es triage de alertas: recibir eventos del SIEM, validar contexto, separar ruido de señal y cerrar como benigno o escalar con un resumen claro. El éxito en Tier 1 es sobre todo disciplina, no creatividad. El equipo necesita que gestiones volumen sin perder precisión.

Tier 2 empieza donde acaba el triage. Las analistas de este nivel reciben escalados, hacen investigaciones más profundas, correlacionan evidencia entre endpoint, red e identidad y proponen lógica de detección nueva. Tier 2 también redacta reportes internos y trabaja más cerca de los incident responders cuando algo se convierte en incidente real.

No apuntas a Tier 2 en tu primer empleo. Apuntas a ser la persona Tier 1 en quien Tier 2 confía.

Categorías Comunes de Alerta Que Debes Reconocer

Un número pequeño de categorías cubre la mayoría de lo que ve un SOC junior. Los eventos relacionados con phishing dominan, incluyendo robo de credenciales, clics en enlaces sospechosos y emails reportados reenviados al buzón del SOC. Las alertas de ejecución de malware llegan después, a menudo como procesos hijos sospechosos desde aplicaciones Office o binarios sin firmar ejecutándose desde directorios escribibles por usuario.

La actividad de fuerza bruta aparece contra VPN, RDP y proveedores de identidad, donde fallos repetidos desde un único origen o un patrón de viaje imposible disparan una regla. Las señales de movimiento lateral son más sutiles, normalmente una cadena de logons remotos, creaciones de servicios o tráfico SMB inusual entre endpoints de usuario. Las alertas de exfiltración de datos suelen aflorar como transferencias salientes grandes, volúmenes anómalos de subida a cloud o indicadores de DNS tunneling.

Si puedes describir cada una de estas categorías en lenguaje claro y explicar qué evidencia recogerías primero, ya estás por delante de la mayoría de candidatos.

Realidad Salarial: De Helpdesk a SOC Junior a SOC Senior

El argumento financiero de esta transición es honesto, no dramático. Las medias EU sitúan helpdesk y soporte IT Tier 1 en el rango EUR 22.000 a 28.000, según país y tamaño de empresa. Las analistas SOC junior aterrizan habitualmente entre EUR 30.000 y 40.000, con roles cloud-heavy o del sector financiero alcanzando cifras superiores.

Los puestos de SOC senior y lead detection engineering se sitúan habitualmente en el tramo EUR 55.000 a 75.000 después de varios años, con perfiles top en industrias reguladas por encima. La foto completa, incluyendo cómo tooling, estructura de on-call y certificaciones interactúan con estos números, está cubierta en si el bootcamp merece la pena.

La conclusión relevante no es la cifra absoluta. Es que la trayectoria SOC tiene una pendiente más pronunciada que el soporte IT genérico, con más palanca de certificaciones y habilidad de investigación demostrada.

Certificaciones por las Que los Recruiters Realmente Filtran

Los recruiters usan certificaciones como filtros más que como criterios de decisión. El primer filtro, sobre todo en EU, es CompTIA Security+. Es el estándar de entrada que la mayoría de sistemas ATS busca, y viene incluido con el bootcamp Unihackers.

El siguiente filtro es CySA+, que se inclina hacia el workflow de analista con preguntas de detección, threat intelligence y response. Es el siguiente paso natural cuando ya tienes experiencia hands on de la que hablar.

Más allá de CompTIA, dos alternativas prácticas ganan tracción. BTL1 (Blue Team Level 1) de Security Blue Team enfoca habilidades defensivas hands on con un examen práctico. CCD (Certified CyberDefender) de Zero Point Security profundiza en metodología de investigación. Ninguna sustituye a Security+, pero cualquiera de las dos puede afinar un CV que ya tenga lo básico.

Cómo Mostrar Razonamiento, No Solo Curso Terminado

Cada recruiter ha visto candidatos que terminaron un bootcamp y se quedaron ahí. Las personas que destacan se ven distintas en papel. Muestran razonamiento.

Un portfolio útil incluye tres a cinco writeups breves de lab en un repositorio público de GitHub. Cada writeup describe el escenario, la evidencia revisada, las hipótesis consideradas y la conclusión. Mapear las técnicas a MITRE ATT&CK al final de cada writeup señala que ya hablas el lenguaje operativo usado en entrevistas para SOC analyst.

Un segundo artefacto útil es un cuaderno personal de detecciones. Lista categorías de alerta que entiendes, las fuentes de datos usadas para validarlas y las preguntas que harías a una analista Tier 2 al escalar. Nada de esto requiere herramientas avanzadas. Requiere claridad.

El currículo del bootcamp está diseñado para alimentar exactamente este tipo de evidencia en lugar de dejarte con certificados aislados. Combinado con el ritmo de arriba, es lo que convierte una base de soporte IT en una candidatura SOC creíble.