Agentes de IA en el SOC: del bombo publicitario de la IA a la realidad operativa
Leer el blog
Vectra AI, nombrada una de las empresas líderes en el Cuadrante Mágico de Gartner sobre NDR de 2026
Leer el informe
Icono de hamburguesa línea superior
Icono de hamburguesa línea media
Icono de hamburguesa línea inferior
  1. Blogs
    >
  2. Detección de amenazas mediante IA

Agentes de IA en el SOC: del bombo publicitario de la IA a la realidad operativa

June 24, 2026
6/24/2026
Fabien Guillot
Director de Marketing Técnico de Vectra
Agentes de IA en el SOC: del bombo publicitario de la IA a la realidad operativa

¡Hace unas semanas celebramos en Múnich nuestra mayor conferencia de usuarios hasta la fecha! El último día organizamos una competición CTF centrada en la detección de amenazas y las investigaciones. ¿Adivinas quién fue capaz de resolver el reto más complicado en menos tiempo? La IA.

No era la pregunta más fácil. No se trataba de una simple búsqueda. Era la más difícil. La resolvió en menos de dos minutos. Para ello, tuvo que comprender el contexto, analizar los metadatos, cambiar de enfoque, descifrar la carga útil, formular las preguntas de seguimiento adecuadas, ejecutar varias consultas, atar cabos y, finalmente, encontrar la bandera definitiva.

En otras palabras, tenía que comportarse de forma muy similar a un analista de SOC.

Ese momento sirvió para recordarnos claramente en qué ámbitos los agentes de IA pueden aportar un valor real. No sustituyendo a los expertos, ni resolviendo por arte de magia todos los problemas, sino agilizando el trabajo de investigación repetitivo que ralentiza el trabajo de los analistas cada día.

No se trataba de un modelo de lenguaje grande (LLM) genérico capaz de resolver estos retos tal cual. Se trataba de un agente de IA diseñado a medida y optimizado con el conjunto adecuado de habilidades para gestionar íntegramente la Vectra AI , un proyecto que lanzamos como código abierto el mismo día del evento.

La IA se aplica en diferentes niveles de la pila

Antes de hablar de los agentes de IA, el Protocolo de Contexto de Modelos (MCP), etc., es importante dar un paso atrás y aclarar algo: la IA no es algo nuevo para Vectra AI.

La IA forma parte de nuestro ADN.

Vectra AI diseñado desde cero para utilizar técnicas de aprendizaje automático e inteligencia artificial con el fin de detectar el comportamiento de los atacantes. Esto incluye métodos de aprendizaje supervisado y no supervisado diseñados para identificar comportamientos a lo largo de todo el ciclo de vida del ataque, y no solo herramientas conocidas, firmas o indicadores estáticos.

Esa distinción es importante.

Los atacantes pueden cambiar de herramientas. Pueden renombrar archivos. Pueden rotar la infraestructura. Pueden modificar comandos. Pero su comportamiento sigue siguiendo patrones: los mismos patrones que se reflejan en el MITRE ATT&CK . Siguen necesitando desplazarse lateralmente. Siguen necesitando escalar privilegios. Siguen necesitando un sistema de mando y control. Siguen necesitando descubrir, acceder y extraer datos.

Aquí es donde la IA siempre ha desempeñado un papel fundamental en la Vectra AI : potenciando la detección de comportamientos a lo largo de la cadena MITRE ATT&CK de una forma más amplia, más resistente y más útil que la simple búsqueda de artefactos conocidos como maliciosos.

Pero la detección es solo la primera fase.

A lo largo de los años, Vectra AI también Vectra AI desarrollado capacidades de inteligencia artificial que se activan antes incluso de que la señal llegue al analista. Este es un aspecto importante, ya que el valor de la inteligencia artificial en el SOC no se limita a lo que ocurre cuando un analista formula una pregunta en lenguaje natural. Gran parte de ese valor proviene de lo que ocurre en fases anteriores del proceso.

Por ejemplo, AI Triage ayuda a reducir automáticamente el ruido y a poner en práctica las detecciones, de modo que los equipos puedan centrarse en las actividades que realmente importan en lugar de verse desbordados por las alertas. Vectra AI también Vectra AI invertido en la detección de amenazas basada en IA y en la priorización impulsada por IA, lo que ayuda a los equipos de seguridad a comprender qué entidades, comportamientos y patrones de ataque merecen atención prioritaria.

En otras palabras, para cuando la señal llega al analista, ya ha pasado por múltiples niveles de inteligencia artificial.

Eso es lo que hace que la siguiente etapa sea tan impactante.

Cuando un analista utiliza la búsqueda asistida por IA dentro de Vectra AI , o cuando un equipo conecta su propio modelo de lenguaje grande (LLM) o agente local a Vectra a través de API y MCP, no parte de datos de telemetría sin procesar ni filtrar. Lo que utiliza es una señal enriquecida y potenciada por IA que ya ha sido detectada, clasificada, priorizada y contextualizada por la plataforma.

Es una gran diferencia.

La IA en el SOC está en pleno auge.

En realidad, seamos sinceros: está en boca de todos. Cada proveedor tiene su propia historia sobre la IA. Cada informe de analistas incluye un enfoque sobre la IA. Cada conferencia cuenta con al menos una sesión en la que se promete que la IA autónoma, los copilotos, los asistentes, el MCP, la automatización y los flujos de trabajo «human-in-the-loop» están a punto de cambiarlo todo.

Y probablemente lo sean.

Pero durante Hunt Club Múnich, quedó muy claro una cosa: la mayoría de los equipos de seguridad no se preguntan: «¿Va a llegar la IA al SOC?».

Lo que piden es algo mucho más práctico:

«¿Por dónde empezamos, en qué debemos confiar y cómo podemos hacer que esto resulte útil sin crear otro lío operativo?»

Ese fue el tema central de la sesión que impartí recientemente en Hunt Club , donde hablamos sobre la IA en la estructura del SOC y sobre cómo los responsables de la seguridad pueden pasar del bombo publicitario en torno a la IA a la realidad operativa.

El objetivo era sencillo: que resultara práctico. No se trataba de otra conversación abstracta sobre la IA, ni de otra predicción sobre «el futuro del SOC». Queríamos que los asistentes se marcharan con una idea clara de lo que la IA puede hacer hoy en día, de cómo Vectra AI facilitando su implementación dentro del SOC y de cómo los equipos pueden empezar a experimentar con sus propios agentes locales utilizando el kit de inicio de código abierto que lanzamos como parte de la presentación.

Porque la verdadera cuestión no es si la IA formará parte del SOC.

La verdadera pregunta es: ¿qué camino tiene más sentido para tu equipo en este momento?

El público nos dijo algo importante

Uno de los aspectos más valiosos del Hunt Club no fue solo lo que presentamos, sino también los comentarios que recibimos.

Durante la sesión, planteamos al público una pregunta sencilla: ¿en qué punto se encuentra hoy vuestro SOC y dónde queréis que esté dentro de tres años?

Las respuestas fueron reveladoras.

Hoy en día, la mayoría de los equipos han descrito su SOC como un sistema a medio camino entre uno basado en reglas y otro asistido por IA. Pero cuando les preguntamos dónde quieren estar dentro de tres años, ¡el panorama cambió por completo!

Ahora bien, sí, esas cifras dicen mucho. También nos revelan algo muy humano: los defensas son ambiciosos, pero no son temerarios.

El mayor avance no consiste en que «la IA lo haga todo», sino en la autonomía parcial, en la que la IA puede llevar a cabo toda la investigación y recomendar una respuesta, pero el ser humano sigue revisando cada acción y tomando la decisión final.

Ese matiz es importante.

El público no decía: «Por favor, sacad al analista del SOC». Lo que decían era: «Por favor, eliminad el trabajo repetitivo, agotador y que requiere mucho tiempo, que impide a los analistas dedicarse a lo que realmente se les da bien».

Y, sinceramente, ahí es precisamente donde debe centrarse el debate sobre la IA en el SOC.

Porque el camino desde la investigación manual hasta la respuesta autónoma no es un salto único. Se trata de una curva de madurez.

Esa evolución es importante porque cada SOC parte de una situación diferente.

Algunos equipos presentes en la sala ya estaban experimentando con agentes locales, servidores MCP, flujos de trabajo personalizados y automatización interna. Otros se encontraban en una fase más temprana de este proceso y aún intentaban comprender qué lugar ocupa la IA en la pila tecnológica y cómo asegurarse de que no introduzca nuevos riesgos, nueva complejidad o una nueva forma de falsa confianza.

Y ahí está la clave: la implantación de la IA en el SOC no es solo una cuestión tecnológica. Es una cuestión de modelo operativo.

  • ¿Podemos confiar en los datos con los que se alimenta el modelo?
  • ¿Pueden los analistas entender por qué la IA hizo una recomendación?
  • ¿Podemos seguir contando con la participación de las personas en los ámbitos en los que las decisiones son importantes?
  • ¿Podemos evitar enviar datos confidenciales a lugares donde no deberían llegar?

La encuesta confirmó lo que muchos responsables de seguridad ya intuían: los equipos quieren actuar con rapidez, pero también quieren hacerlo de forma segura. Quieren que la inteligencia artificial les ayude a reducir los tiempos de respuesta de horas a minutos, pero también buscan control, transparencia y confianza.

El SOC no necesita más «magia». Necesita una IA útil que se adapte a la forma en que trabajan realmente los defensas.

La IA en el SOC comienza por la pila

Esa curva de madurez es precisamente la razón por la que hablamos de la IA en la pila durante la presentación.

Porque la ubicación de la IA es importante.

Si la IA se limita a la fase inicial de la detección, sin tener en cuenta el contexto ni el flujo de trabajo, se convierte en un chatbot que opera sobre datos ruidosos. A veces resulta útil, a menudo impresiona, ¡pero no es precisa!  

Si la IA se integra más profundamente en el flujo de trabajo, conectada a señales de alta fidelidad, al contexto de la investigación, al comportamiento de las entidades, a las acciones de respuesta y a los comentarios de los analistas, su potencial aumenta considerablemente. Puede ayudar a clasificar, correlacionar, priorizar, investigar, resumir, detectar amenazas y orientar la respuesta.

Esa distinción es fundamental para que el proceso de generar confianza en tu sistema sea un éxito.

Dos caminos, un objetivo

En Hunt Club queríamos dejar algo muy claro: no hay una única forma correcta de implementar la IA en tu SOC.  

¡Hay al menos dos formas prácticas de empezar! En Vectra AI, queremos asegurarnos de ofrecerte la mejor experiencia, independientemente de la opción que elijas.

La primera opción es la más rápida y sencilla para muchos clientes: utilizar las funciones de IA que ya están integradas en la Vectra AI .  

Esta vía está pensada para equipos que desean aprovechar las ventajas de la IA sin tener que implementar su propia infraestructura de agentes, conectar herramientas, gestionar configuraciones locales ni mantener flujos de trabajo personalizados. La IA ya está integrada allí donde se realiza el trabajo. Los analistas pueden utilizar el lenguaje natural para investigar, formular preguntas, cambiar de enfoque, resumir y avanzar más rápidamente entre las detecciones y las entidades.

¡Disfrutan de sus ventajas al instante! ¡Nada más sacarlo de la caja!

Para muchos equipos, este es el punto de partida adecuado. No porque les falte ambición, sino porque valoran la simplicidad operativa. Quieren una IA que funcione dentro del producto, con los datos adecuados, los permisos adecuados y el flujo de trabajo adecuado.

La segunda opción está pensada para equipos que se encuentran en una fase más avanzada de su proceso de implementación de la IA, o que simplemente desean tener un mayor control: crear agentes locales que puedan funcionar con los flujos de trabajo de su SOC y sus datos, incluidos los de la Vectra AI .

Se trata de un marco de trabajo para agentes de carácter abierto que puede conectarse con las herramientas, el contexto y los procesos ya existentes en tu entorno. Ofrece a los equipos una mayor flexibilidad para personalizar la experiencia, programar sus propios guiones de actuación y decidir exactamente cómo deben interactuar los agentes con las operaciones de su SOC.

Y, por supuesto, estas dos vías no son mutuamente excluyentes.

Puedes utilizar ambas cosas al mismo tiempo. De hecho, es probable que muchos equipos empiecen por las capacidades de IA integradas en la Vectra AI y, a medida que aumenten su madurez, sus necesidades y su confianza, vayan probando poco a poco los agentes locales. Lo importante no es elegir un camino para siempre, sino elegir el que aporte valor a tu equipo hoy, sin cerrar la puerta a los próximos pasos que quieras dar.

Para esos equipos, queríamos ofrecer algo más que diapositivas. ¡Así que hemos lanzado algo práctico! ¡Una solución lista para usar que puedes poner en práctica HOY MISMO!

Presentamos el paquete de inicio del agente Vectra AI

Como parte de la presentación, hemos lanzado el Vectra AI Agent Starter, un paquete de inicio de código abierto para crear un agente o asistente de IA basado en la Vectra AI .

El repositorio es pequeño a propósito: léelo, ejecútalo y, después, amplíalo.

El objetivo es sencillo: ofrecer a los equipos de seguridad un punto de partida práctico para crear su propio asistente para el SOC basado en inteligencia artificial.  

El repositorio proporciona los elementos esenciales que un agente necesita para trabajar con Vectra AI:

  • Un servidor MCP que permite al agente interactuar con los datos de la plataforma Vectra (detección, puntuación, PCAP, metadatos, registros, etc.)
  • Competencias de los agentes para flujos de trabajo del SOC, recetas SQL, generación de informes, detección de amenazas y clasificación de PCAP. ¡Las habilidades están especialmente orientadas a proporcionar conocimientos especializados sobre el manejo de la plataforma Vectra!
  • Un AGENTS.md que explica al agente qué es, qué habilidades tiene y cuándo utilizarlas. Considéralo como un archivo de introducción para el agente  

No se trata de un producto acabado. ¡Es un kit de inicio que te ayudará a dar los primeros pasos!

Modifícalo. Adáptalo. Añade tus propios manuales de SOC. Enséñale tu política de escalación, tus incidentes anteriores, tu vocabulario, tu arquitectura, tu formato de informes y tu proceso de traspaso. ¡Hazlo tuyo y tu agente mejorará cada vez más!

¡Por qué lo hemos lanzado!

En el ámbito de la ciberseguridad, siempre existe la tentación de mantenerlo todo oculto tras el telón. ¡Pero aquí no!

Con el auge de la IA, la introducción de MCP y la aparición de nuevos estándares para los flujos de trabajo basados en agentes, queríamos adoptar un enfoque diferente. Desde el principio, nuestro objetivo ha sido asegurarnos de que la Vectra AI no solo esté equipada con IA, sino que también sea «operable mediante IA», lo que significa que puede gestionarse de forma segura y eficaz a través de un flujo de trabajo impulsado por un modelo de lenguaje grande (LLM).

Por eso invertimos desde el principio en MCP. Fuimos los primeros proveedores de NDR en lanzar servidores MCP, y hemos seguido ampliando sus funcionalidades basándonos en los comentarios de los clientes. Esto incluye la compatibilidad con funciones como la multitenencia y la posibilidad de consultar directamente los metadatos de la red.

Pero el MCP es solo una parte de la historia.

También hemos estado invirtiendo en nuestras API para asegurarnos de que den respuesta al tipo de preguntas que los analistas plantean realmente durante una investigación. Y es que, si un analista quiere comprender qué ha ocurrido, qué entidad es relevante, qué ha cambiado, qué supone un riesgo o qué debería suceder a continuación, la plataforma debe proporcionar el contexto adecuado de forma que los agentes de IA puedan utilizarlo de manera eficiente.

En una entrada anterior del blog compartimos más información sobre parte de esa investigación , y merece la pena echarle un vistazo para conocer más a fondo nuestra visión sobre las plataformas de seguridad basadas en IA.

Por eso también, con el Vectra AI Agent Starter, hemos querido ir un paso más allá.

  • No te limites a explicar el concepto.
  • No basta con mostrar un diagrama de arquitectura.
  • No basta con decir: «Los agentes de IA están al caer».

Queríamos ofrecer a los equipos una forma práctica y paso a paso de empezar a utilizar (¡en cuestión de minutos!) un agente SOC local, creado, seleccionado y probado por nosotros mismos.

La idea es sencilla: ofrecer a los clientes y a los profesionales un punto de partida seguro. Algo que puedan leer, ejecutar, probar, adaptar y ampliar en función de sus propios flujos de trabajo del SOC.

Esto nunca pretendió ser otra de esas historias del tipo «la IA salvará algún día al SOC». Era mucho más práctico que eso: así es como puedes empezar a experimentar de forma segura, ya desde hoy mismo.

Prueba con indicaciones como: «prioridades de Vectra»

El uso de alias incluidos en las Vectra AI analizará automáticamente la última entidad priorizada de la Vectra AI .

«Aquí tenéis un aviso de la CISA. Buscad todo lo que aparezca en él en nuestro entorno de inquilino».

Esos ejemplos son precisamente el tipo de flujos de trabajo que queríamos hacer más accesibles. Porque la mejor forma de entender los agentes de IA no es admirar el diagrama de arquitectura, sino ejecutar el flujo de trabajo y ver en qué aspectos resulta útil, en cuáles necesita medidas de seguridad y en cuáles tu equipo quiere personalizarlo.

Llamada a la acción

La adopción de la IA en el SOC no tiene por qué suponer una encrucijada. Piensa en ello como un proceso de maduración.

Empieza por las capacidades de IA que ya están integradas en la Vectra AI . Esta es la forma más rápida de obtener valor: búsqueda asistida por IA, investigaciones con IA, contexto enriquecido, priorización y orientación directamente dentro de los flujos de trabajo que los analistas ya utilizan.

Cuando tu equipo esté preparado para una mayor personalización, amplía sus capacidades con agentes locales mediante el Vectra AI Agent Starter. Conecta tus propias herramientas, programa tus guiones de actuación, añade el contexto específico de tu SOC y adapta el agente a la forma en que tu equipo trabaja realmente.

Estos pasos no son mutuamente excluyentes. Muchos equipos utilizan ambos: la IA integrada para obtener un valor inmediato y los agentes locales para lograr una personalización más profunda con el paso del tiempo.

El objetivo es sencillo: empezar con lo práctico, generar confianza, mantener el control humano y aumentar la autonomía a medida que tu SOC va madurando. Explora el kit de inicio, prueba las funciones de IA integradas, envíanos tus comentarios, colabora en el proyecto de código abierto o ponte en contacto con nosotros para solicitar una demostración en directo. Estamos aquí para ayudarte a que la IA resulte útil en las operaciones de tu SOC desde hoy mismo.

El futuro del SOC no vendrá determinado por el bombo publicitario en torno a la IA. Lo determinarán los defensores que sepan cómo sacar partido a la IA.

Preguntas frecuentes