De SOC Analyst a Incident Responder: la ruta del especialista defensivo

Por qué esta transición es el siguiente paso natural

Para la mayoría de SOC analysts que quieren profundizar más que cambiar de rama, incident response es el siguiente rol obvio. Te quedas en defensa, mantienes la misma disciplina investigativa, pero la profundidad y la propiedad cambian de forma importante. Donde el trabajo SOC termina en escalada, el trabajo IR empieza en escalada.

La transición es más corta que de SOC a pentesting porque la mentalidad es la misma. Lo que construyes es profundidad técnica, no un nuevo modelo mental.

Qué se traslada

Casi todos los hábitos SOC se trasladan:

1. Disciplina de triage. Ya sabes separar señal de ruido. El trabajo ahora es llevar la señal más lejos, no solo etiquetarla.

2. Rigor en documentación. Los informes de incidente exigen la misma claridad que las notas SOC, solo con más amplitud. Ya tienes la mayor parte de la habilidad.

3. Comunicación bajo presión. Ya escribes rápido. La comunicación de incidente es similar pero llega a más stakeholders.

Qué tienes que construir

La brecha está en profundidad técnica y propiedad:

• Forense de memoria. Volatility, Rekall, análisis básico de artefactos de memoria. La mayoría de SOC analysts nunca ha abierto un volcado de memoria.
• Forense de disco. Timelines de filesystem, artefactos de registro, prefetch, shimcache. Las fuentes de datos estándar de IR en Windows.
• Forense de red. Análisis de captura de paquetes completa, reconstrucción a nivel de protocolo, detección de movimiento lateral.
• Propiedad del caso. Llevar un incidente desde la alerta inicial al informe final, incluyendo comunicación con stakeholders. Más sobre disciplina que sobre técnica.

Stack de certificaciones

GCIH (GIAC Certified Incident Handler) de SANS es la credencial estándar para roles IR serios. El curso es caro pero la certificación pesa. CySA+ de CompTIA funciona como un paso más accesible que algunos empleadores reconocen. Las certificaciones EDR de fabricante (CrowdStrike, SentinelOne, Microsoft Defender) añaden peso si conoces el stack objetivo.

Dónde encaja el bootcamp

El Bootcamp de Ciberseguridad de Unihackers cubre la base SOC y de manejo de incidentes en los módulos m7 (Security Operations and Monitoring) y m8 (Advanced Security Operations). Para SOC analysts que ya tienen esos fundamentos, el bootcamp es excesivo. Para career changers que se construyen hacia IR, es el punto de partida único más eficiente. Mira el programa del bootcamp para detalles.

Frenos comunes

Tres patrones explican la mayoría de transiciones SOC a IR estancadas:

1. Apilar certificaciones sin práctica de casos. Tres certificaciones IR y cero write-ups documentados de incidente señalan habilidad de examen, no capacidad de respuesta.

2. Evitar profundidad forense. El mayor gap de habilidad es la técnica forense. Evitar forense de memoria y disco significa que te quedas en triage de alertas, no en incident response.

3. Subestimar la guardia. La rotación de guardia es real y te cambia la vida. Quien no se prepara, quema en doce meses.

La transición es más rápida que SOC a pentest y premia los mismos hábitos pacientes de documentación que ya tienes. Lee el guía de salario para contexto de compensación de incident responder.

El ciclo de vida NIST de respuesta a incidentes en el que vivirás

Como SOC analyst, el ciclo de vida termina en detección y escalada. Como incident responder, vives dentro del ciclo completo NIST 800-61: Preparación, Identificación, Contención, Erradicación, Recuperación y Lecciones Aprendidas. SANS encuadra el mismo flujo como PICERL (Preparation, Identification, Containment, Eradication, Recovery, Lessons Learned). El ciclo de vida de ataque de Mandiant, que usan la mayoría de los informes de inteligencia de amenazas, mapea el lado adversario del mismo cuadro.

Cada fase tiene dueños, entregables y puntos de decisión que un SOC L1 raramente ve:

• Preparación es todo lo que haces antes del incidente: runbooks, ejercicios de tabletop, retainers, IR Jump Kit, árboles de contacto, mapas jurisdiccionales. Los SOC analysts los heredan. Los analistas IR los mantienen.
• Identificación es donde SOC e IR se solapan. El cambio es pasar de "¿esto es real?" a "¿cuál es el alcance?".
• Contención es a corto plazo (aislar hosts, bloquear IPs en el firewall) y a largo plazo (segmentar, rotar credenciales, revocar tokens). IR posee ambas.
• Erradicación elimina al adversario y la causa raíz. Reconstrucciones, resets completos de credenciales, limpieza de persistencia.
• Recuperación vuelve a poner sistemas en producción con la monitorización ajustada para detectar reentrada.
• Lecciones Aprendidas es el postmortem con stakeholders. Aquí se hacen y se pierden las carreras.

Cuando hablas con fluidez de cada fase con ejemplos concretos de tu home lab, suenas a candidato IR, no a candidato SOC.

Del mindset de triage al mindset de investigación (el cambio real)

A un SOC analyst se le recompensa por cerrar tickets con precisión y rapidez. A un incident responder se le recompensa por no parar hasta entender el alcance completo. Ese es el cambio cognitivo real.

En la práctica se ve así. Un SOC analyst ve una detección de beacon Cobalt Strike en un endpoint, valida, escala con contexto completo y pasa al siguiente ticket. Un incident responder coge la misma alerta y pregunta: qué otros hosts hicieron beacon al mismo C2 en los últimos 90 días, qué credenciales tenía el usuario, contra qué se autenticó, qué señales de movimiento lateral vemos, cuál es el dwell time. La investigación no para en un host porque los adversarios no paran en un host.

Construir este mindset requiere práctica deliberada. Reabre casos SOC viejos que cerraste y hazte las preguntas IR encima. Encontrarás alcance que se te escapó.

Las herramientas IR que añades sobre tu base de SIEM

Tus habilidades de SIEM (Splunk, Sentinel, QRadar, Elastic) se trasladan directamente. Encima, los equipos IR usan típicamente:

• TheHive como plataforma de gestión de casos de incidente, con tareas estructuradas, observables y TTPs.
• Cortex para enriquecimiento automatizado de observables (IPs, hashes, dominios) contra fuentes de inteligencia de amenazas.
• Splunk SOAR (antes Phantom) o Tines para orquestar playbooks de contención entre EDR, firewall, IAM y ticketing.
• Velociraptor para visibilidad de endpoint a escala y recolección forense en vivo en miles de hosts.
• KAPE (Kroll Artifact Parser and Extractor) para recolección de triage de los artefactos Windows más útiles en minutos.
• FTK Imager y Magnet AXIOM para imagen completa de disco cuando un incidente escala a preservación forense.
• Volatility 3 para análisis de memoria cuando se sospecha ransomware, malware fileless o persistencia avanzada.

No necesitas profundidad experta en todas el día uno. Necesitas tiempo de lab en TheHive, Cortex, KAPE y Velociraptor antes de entrevistar, porque son las herramientas que te pedirán demostrar.

Threat hunting: por qué es tu skill puente

Threat hunting es el puente más limpio del trabajo SOC reactivo al trabajo IR proactivo. Un hunt empieza con una hipótesis ("los adversarios están abusando tareas programadas para persistencia"), la traduce a fuentes de datos (eventos de proceso EDR, eventos de creación de registro, AutoRuns), corre queries y confirma o descarta.

Construye fluidez de hunting con MITRE ATT&CK Navigator. Coge una táctica (digamos, TA0003 Persistence), coge una técnica (T1053.005 Scheduled Task) y escribe la lógica de detección en tu SIEM. Repítelo en diez técnicas y tienes un portfolio de hunts pequeño pero real. A los reclutadores les encanta porque demuestra que piensas proactivamente, que es el mindset IR.

El threat hunting es también donde la inteligencia de amenazas se vuelve práctica. Sacar TTPs adversarios de un informe de fabricante y convertirlos en hunts es exactamente lo que hace un analista IR cuando sale un aviso de CISA.

Escribir runbooks IR y postmortems que les importan a los reclutadores

Dos artefactos marcan el cambio en tu portfolio: un runbook IR y un postmortem.

Un runbook IR codifica cómo el equipo gestiona una clase de incidentes (ransomware, business email compromise, exfiltración de datos por insider, web shell en un servidor público). Define triggers, roles vía una matriz RACI, puntos de decisión, plantillas de comunicación y rutas de rollback. Coge tres clases de incidente y escribe runbooks para cada una. Incluso en calidad de lab, esto señala pensamiento sénior.

Un postmortem documenta un incidente único: qué pasó, cuándo, quién hizo qué, qué funcionó, qué no y qué cambios siguen. La sección de lecciones aprendidas es la parte más leída del documento. Practica escribirlos en incidentes de tu home lab. La disciplina es la misma que una nota de investigación SOC, pero la audiencia es más amplia y las consecuencias mayores.

Realidad salarial: SOC L1 a SOC L2 a IR L2 en la UE

La compensación en la UE sigue una curva predecible. SOC L1 arranca alrededor de 32 a 40 mil euros. SOC L2 se sitúa en el rango 38 a 50. IR L2 típicamente cotiza en 45 a 60, con roles IR de consultora y retainers de respuesta a brecha llegando más alto con primas de guardia y componentes de bonus. Londres y Suiza sesgan al alza. Europa del Este sesga a la baja.

El salto salarial es real, pero no es el titular. El titular es la pendiente. Los roles SOC se estancan en L3 a no ser que te especialices. Los roles IR componen: cada engagement añade una historia, cada nueva herramienta añade profundidad, cada vertical nuevo (finanzas, salud, OT) abre un nuevo mercado. Cinco años dentro de IR, la curva pinta muy distinta a cinco años dentro de SOC.

El guía de salario da el desglose actualizado por región y seniority.

Certificaciones que mapean a esta transición

La escalera de certs para el movimiento SOC a IR está bastante bien definida:

• Security+ es tu base si aún no la tienes. La mayoría de SOC analysts ya la tienen. Ancla el vocabulario fundacional.
• CySA+ es la credencial natural de gama media. Tiende un puente entre operaciones SOC y análisis IR con foco en detección de amenazas, respuesta a incidentes y gestión de vulnerabilidades. Una CySA+ sólida es la señal correcta para un primer rol alineado a IR.
• GCIH de SANS es el estándar de oro para el especialista IR. Cara, pero con alta señal en consultoras y retainers.
• BTL1 (Blue Team Level 1) de Security Blue Team es cada vez más reconocida como alternativa práctica para profesionales blue team con presupuesto más ajustado.
• ECIH de EC-Council también es aceptada en algunos mercados, pero pesa menos que GCIH o BTL1.

Empareja una certificación con un artefacto fuerte de portfolio (un runbook, un hunt, un write-up forense). Uno más uno gana a tres más cero siempre.

Un plan realista de promoción a 9 meses

Un plan a nueve meses, corriendo en paralelo a tu rol SOC actual, se ve así:

1. Meses 1 a 2. Audita tus casos SOC actuales por alcance perdido. Coge cinco y reescríbelos con pensamiento IR completo. Monta un home lab con TheHive, Cortex y un servidor Velociraptor.
2. Meses 3 a 4. Trabaja CySA+ si aún no la tienes. En paralelo, escribe tus tres primeros runbooks IR (ransomware, BEC, web shell) usando un RACI claro.
3. Meses 5 a 6. Corre un tabletop sobre cada runbook con un par. Construye tres threat hunts mapeados a técnicas MITRE ATT&CK. Empieza preparación de BTL1 o GCIH.
4. Meses 7 a 8. Toma un rol activo en incidentes reales en tu empleador actual: pide hacer shadow de retainers IR, voluntáriate para cobertura fuera de horario, escribe la sección de lecciones aprendidas de cualquier incidente que tocaste.
5. Mes 9. Aplica a roles IR o presiona por un movimiento interno. Trae un portfolio de tres runbooks, tres hunts y un write-up forense.

Esto es conservador. Con habilidades forenses fuertes ya en su sitio, el movimiento puede pasar más rápido. El punto es la estructura: las certificaciones nunca reemplazan a los artefactos, los artefactos nunca reemplazan a las reps operacionales. Las tres juntas cambian la conversación con los hiring managers de "potencialmente" a "sí".