Cada día, los equipos de los centros de operaciones de seguridad (SOC) se enfrentan a un volumen abrumador de amenazas. Los atacantes extraen datos en menos de cinco horas en el 25 % de los incidentes (Informe de respuesta a incidentes de Unit 42 2025), y el coste medio global de una violación de datos alcanzó los 4,44 millones de dólares en 2025 (Informe sobre el coste de las violaciones de datos de IBM 2025). Mientras tanto, el tiempo medio de permanencia de los atacantes que logran entrar es de ocho días (Informe de Sophos sobre adversarios activos, primer semestre de 2025). Estas cifras lo dejan claro: las organizaciones necesitan una función de seguridad centralizada, con personal cualificado y tecnología avanzada para detectar y responder a los incidentes antes de que el daño se extienda.
Esta guía abarca todas las dimensiones de las operaciones del SOC, desde las funciones básicas y las estructuras de los equipos hasta las herramientas, las métricas y la transformación impulsada por la inteligencia artificial que está remodelando el SOC moderno.
Las operaciones del SOC son la función de seguridad centralizada responsable de supervisar, detectar, investigar y responder continuamente a las amenazas cibernéticas en todo el entorno digital de una organización. Un centro de operaciones de seguridad combina analistas cualificados, procesos definidos y tecnologías integradas para proteger los activos digitales que abarcan la infraestructura local, cloud , las identidades y las aplicaciones SaaS durante todo el día. En resumen, el significado de SOC es el conjunto de personas, procesos y tecnología que defienden una organización las 24 horas del día, los 7 días de la semana.
¿Por qué son importantes las operaciones SOC? Las cifras hablan por sí solas. Las violaciones de seguridad cuestan una media de 4,44 millones de dólares a nivel mundial (IBM 2025). Los atacantes extraen datos en menos de cinco horas en una cuarta parte de los incidentes (Unit 42 2025). Los ataques asistidos por IA han reducido los plazos de extracción a tan solo 25 minutos. En este entorno, un SOC que funcione bien no es un lujo. Es una necesidad empresarial.
Un punto común de confusión es la diferencia entre un SOC y un NOC (centro de operaciones de red). Un NOC se centra en la disponibilidad, el rendimiento y el tiempo de actividad de la red. Garantiza que los sistemas permanezcan en línea. Un SOC se centra en la supervisión de la seguridad y la respuesta a las amenazas. Garantiza que los sistemas permanezcan seguros. Aunque ambos centros supervisan la infraestructura, sus objetivos, herramientas, vías de escalamiento y personal difieren significativamente.
Las operaciones del SOC abarcan desde pequeños equipos de cinco personas que se encargan de la supervisión diurna hasta instalaciones globales que funcionan las 24 horas del día, los 7 días de la semana, con docenas de analistas en múltiples niveles. El modelo adecuado depende del tamaño de la organización, la propensión al riesgo y el presupuesto, un tema que se trata en la sección de modelos más adelante.
Un SOC opera mediante un ciclo continuo de supervisión, detección, investigación, respuesta y mejora para reducir el tiempo medio de detección y el tiempo medio de respuesta. Según la encuesta SOC 2025 de SANS, el 79 % de los SOC operan las 24 horas del día, los 7 días de la semana, pero el 69 % sigue dependiendo de los informes manuales, lo que pone de manifiesto una clara brecha entre la cobertura y la eficiencia operativa.
Las seis funciones principales del SOC siguen un flujo de trabajo cíclico e iterativo:
Cada etapa alimenta a la siguiente. Las lecciones aprendidas de la respuesta a incidentes permiten mejorar las reglas de detección. La inteligencia sobre amenazas agudiza el enfoque de la supervisión. Este flujo de trabajo cíclico del SOC garantiza que el equipo mejore con cada incidente que gestiona.
Los equipos SOC utilizan una estructura por niveles en la que los analistas de nivel 1 clasifican las alertas, los analistas de nivel 2 investigan los incidentes y los analistas de nivel 3 buscan amenazas de forma proactiva. Este modelo crea vías de escalamiento claras y favorece la progresión profesional dentro del centro de operaciones de seguridad.
Tabla: Funciones, responsabilidades y progresión profesional del SOC
El salario medio de un analista SOC oscila entre los 100 000 y los 103 000 dólares, con un rango más amplio de entre 75 000 y 137 000 dólares, dependiendo del nivel y la ubicación geográfica (Glassdoor 2026, Coursera 2026). Los salarios han crecido entre un 8 % y un 15 % interanual, ya que la demanda supera a la oferta.
Los roles de apoyo completan la estructura del equipo SOC. Los analistas de inteligencia sobre amenazas seleccionan y ponen en práctica los flujos de inteligencia. Los ingenieros de detección crean y ajustan las reglas de detección. Los arquitectos de seguridad diseñan los canales de datos y las integraciones que hacen funcionar el SOC.
El coste humano de las operaciones del SOC es significativo. Según el informe Tines Voice of the SOC Analyst (2025), el 71 % de los analistas del SOC afirman sufrir agotamiento y el 64 % están considerando dejar sus puestos en el plazo de un año. El estudio ISC2 2025 Cybersecurity Workforce Study reveló que hay 4,8 millones de puestos de ciberseguridad sin cubrir en todo el mundo, lo que supone un aumento del 19 % con respecto al año anterior. Las estrategias para mitigar el agotamiento incluyen la automatización de los flujos de trabajo del SOC para reducir la clasificación repetitiva, la implementación de horarios rotativos y la inversión en planes de desarrollo profesional que den a los analistas una razón para quedarse.
Las organizaciones eligen entre modelos SOC internos, externalizados o híbridos en función del presupuesto, la capacidad de personal y el nivel de control requerido.
Tabla: Comparación de modelos operativos SOC
Análisis de costes. La construcción y el funcionamiento de un SOC 24/7 cuesta aproximadamente entre 1,5 y 5 millones de dólares al año, dependiendo de la madurez y la dotación de personal (Netsurion 2025, Blackpoint Cyber 2025). Un SOC básico cuesta aproximadamente 1,5 millones de dólares al año. Un SOC intermedio con manuales definidos y personal por niveles cuesta aproximadamente 2,5 millones de dólares. Una operación totalmente madura las 24 horas del día, los 7 días de la semana, con búsqueda avanzada de amenazas alcanza los 5 millones de dólares o más.
Marco de decisión. Las pequeñas empresas pueden comenzar con servicios de seguridad gestionados o SOC como servicio para obtener cobertura las 24 horas del día, los 7 días de la semana, sin la carga que supone el personal. Las organizaciones medianas suelen adoptar modelos híbridos que mantienen la supervisión estratégica interna y externalizan la supervisión operativa. Las grandes empresas suelen desarrollar capacidades internas complementadas con servicios gestionados para funciones especializadas.
¿Necesita una pequeña empresa un SOC? En la mayoría de los casos, sí, pero el modelo es importante. Las pymes se enfrentan al cierre en un plazo de seis meses tras un ataque exitoso en el 60 % de los casos. Un SOC gestionado o externalizado proporciona una protección esencial a una fracción del coste que supone crear uno interno.
Las operaciones modernas de SOC dependen de la tríada de visibilidad de SIEM, EDR y NDR, complementada por SOAR para la automatización y plataformas unificadas para la eficiencia operativa.
Tabla: Comparación de tecnologías SOC
El concepto de la tríada SOC sostiene que ninguna herramienta por sí sola ofrece una cobertura completa. SIEM proporciona amplitud mediante la ingestión de registros y la correlación basada en reglas. EDR proporciona profundidad en los puntos finales. NDR llena el vacío crítico al analizar el tráfico y los comportamientos de la red en tiempo real, detectando amenazas que eluden la detección basada en registros y solo en puntos finales (LRQA 2025).
Una pregunta habitual es si SIEM y NDR compiten entre sí. No es así. SIEM se basa en la ingestión de registros y la correlación basada en reglas. NDR analiza el tráfico y los comportamientos de la red en tiempo real. Son complementarios. SIEM destaca en la generación de informes de cumplimiento y la correlación de eventos entre diversas fuentes de registros. NDR destaca en la detección de comportamientos de atacantes, como el movimiento lateral, que generan un mínimo de pruebas en los registros. Juntos, forman los dos pilares de la tríada SOC.
Cabe destacar que el 73 % de los responsables de seguridad están considerando soluciones SIEM alternativas y el 44 % planea sustituir por completo su SIEM actual (SecureWorld 2025). Esta insatisfacción está impulsando una tendencia de convergencia hacia plataformas SOC unificadas que integran capacidades SIEM, EDR, NDR y SOAR en un único panel. Según el informeVectra AI State of Threat Detection, el 69 % de las organizaciones utilizan actualmente más de 10 herramientas de detección y respuesta, y el 39 % utiliza más de 20. La proliferación de herramientas no es solo un problema de eficiencia. Es un riesgo para la seguridad.
Los equipos de SOC se enfrentan a retos cada vez más complejos, como la fatiga por alertas, el agotamiento de los analistas, la escasez de personal cualificado y la proliferación de herramientas, que requieren flujos de trabajo mejorados con IA y la consolidación de plataformas para poder abordarlos. A continuación se presentan los cinco retos más urgentes a los que se enfrentarán los SOC en 2025-2026 y cómo mitigarlos.
La fatiga por alertas en ciberseguridad se produce cuando los analistas se vuelven insensibles al gran volumen de alertas de seguridad, lo que les lleva a pasar por alto amenazas reales. Los equipos SOC reciben una media de 2992 alertas de seguridad al día, y el 63 % de esas alertas no se abordan (Vectra AI State of Threat Detection). La encuesta SANS 2025 SOC Survey reveló que el 40 % de las alertas nunca se investigan en las configuraciones tradicionales, y el 90 % de las que se investigan resultan ser falsos positivos.
Mitigación: Implementar un sistema de clasificación basado en IA para priorizar las alertas según el comportamiento del atacante en lugar de según los eventos individuales. Consolidar las herramientas para reducir las alertas duplicadas.
Como se ha señalado anteriormente, el 71 % de los analistas de SOC afirman sufrir agotamiento y el 64 % están pensando en dejar su trabajo (Tines 2025). La encuesta SANS 2025 reveló que el 62 % de las organizaciones no retienen el talento de forma adecuada. Además, el 71 % de los defensores dejan de lado tareas de seguridad importantes al menos dos días a la semana debido a la carga de trabajo (Vectra AI ).
Mitigación: Automatizar tareas repetitivas del SOC, como el enriquecimiento de alertas y la creación de tickets. Implementar horarios rotativos e invertir en el desarrollo profesional.
La escasez global de personal cualificado en ciberseguridad alcanzó los 4,8 millones de puestos sin cubrir, lo que supone un aumento interanual del 19 % (ISC2 2025). El 67 % de las organizaciones afirman tener falta de personal, siendo las restricciones presupuestarias la principal causa de esta escasez.
Mitigación: Adoptar modelos SOC híbridos que combinen la experiencia interna con servicios gestionados. Utilizar la IA para complementar al personal existente en lugar de depender únicamente de nuevas contrataciones.
Como se menciona en la sección de herramientas, el 69 % de las organizaciones utilizan más de 10 herramientas de detección y respuesta, y el 39 % utilizan más de 20 (Vectra AI ). La encuesta SANS 2025 reveló que el 42 % de las organizaciones vuelcan todos los datos en su SIEM sin un plan de recuperación.
Mitigación: Consolidar hacia una plataforma SOC unificada que reduzca los cambios de contexto y los silos de datos.
Los atacantes extraen datos en menos de cinco horas en el 25 % de los incidentes, y los ataques asistidos por IA han reducido el tiempo de extracción a 25 minutos (Unit 42 2025). La participación de terceros en las violaciones se duplicó hasta alcanzar el 30 % (Verizon DBIR 2025), lo que amplió la superficie de ataque a través de relaciones con proveedores de confianza.
Mitigación: Implementar la detección de comportamientos que identifique la actividad de los atacantes en tiempo real. Implementar la supervisión de la cadena de suministro y los controles de acceso de los proveedores.
Para que las operaciones del SOC sean eficaces, es necesario realizar un seguimiento del MTTD, el MTTR, la tasa de falsos positivos y el tiempo de permanencia, y luego comparar el rendimiento con un modelo de madurez de cinco niveles.
Tabla: Métricas de rendimiento SOC
¿Cómo se mide la eficacia del SOC? Empiece por estas cinco métricas de ciberseguridad. Realice un seguimiento constante de ellas a lo largo del tiempo para identificar tendencias, justificar inversiones y compararlas con los estándares del sector. El informe IBM 2025 reveló que las organizaciones que utilizan ampliamente la inteligencia artificial y la automatización reducen el ciclo de vida medio de detección y contención a aproximadamente 161 días, lo que supone una mejora de 80 días con respecto a la media del sector, que es de 241 días.
Un modelo de madurez SOC proporciona un marco para evaluar y mejorar las capacidades SOC en cinco niveles. El SOC-CMM (Modelo de Madurez de Capacidades) es el estándar de facto del sector para la evaluación de la madurez.
La mayoría de las organizaciones se sitúan entre los niveles 2 y 3. El paso del nivel 3 al nivel 4 suele requerir un compromiso con el seguimiento de métricas, la inversión en automatización y recursos dedicados a la búsqueda de amenazas.
La IA está transformando las operaciones del SOC, pasando de la revisión manual de alertas a la clasificación e investigación autónomas, pero su adopción responsable requiere supervisión humana y una implementación por etapas.
La trayectoria de la automatización SOC sigue cuatro fases distintas:
Los datos respaldan este cambio. Las organizaciones con un alto nivel de adopción de la IA y la automatización ahorraron 1,9 millones de dólares por cada violación de seguridad y redujeron el ciclo de vida de las violaciones en 80 días (IBM 2025). Según el informeVectra AI , el 76 % de los defensores afirman que los agentes de IA gestionan ahora más del 10 % de su carga de trabajo. Sin embargo, la satisfacción con las herramientas de IA y aprendizaje automático ocupa el último lugar entre las tecnologías SOC (SANS 2025), lo que indica que la tecnología se ha adoptado, pero aún no ha madurado.
Un SOC agencial va más allá de la automatización tradicional. En lugar de seguir rígidos manuales preestablecidos, la IA agencial razona de forma autónoma a través de complejas investigaciones. Une alertas, correlaciona comportamientos entre fuentes de datos y saca a la luz narrativas de ataques en lugar de eventos aislados. El mercado de los SOC agenciales recibió una financiación de 315,5 millones de dólares o más solo entre enero y febrero de 2026, lo que indica una rápida confianza por parte de los inversores.
El consenso es el aumento, no la sustitución. Gartner destaca que «los líderes en ciberseguridad deben dar tanta prioridad a las personas como a la tecnología» en los SOC impulsados por la IA. El juicio humano sigue siendo esencial para las amenazas novedosas, las escaladas complejas y la toma de decisiones éticas.
Las barreras de seguridad son importantes. Gartner predice que, para 2028, el 25 % de las violaciones de seguridad en las empresas se atribuirán al uso indebido de agentes de IA, y el 40 % de los directores de informática exigirán «agentes guardianes» para supervisar la IA. La adopción responsable de la IA requiere explicabilidad, bucles de supervisión humana e implementación por etapas. Las organizaciones que exploran la seguridad de la IA deben comenzar con tareas de bajo riesgo y gran volumen, como la clasificación de alertas, antes de ampliar el alcance de la IA.
Las operaciones modernas de SOC deben respaldar el cumplimiento normativo de NIS2, DORA, CIRCIA y SEC con planes de respuesta a incidentes documentados, detección automatizada y flujos de trabajo de notificación rápida.
Tabla: Correspondencia entre los requisitos normativos y las operaciones SOC
Plazos clave. La DORA está en vigor desde enero de 2025. Los plazos de cumplimiento de las entidades esenciales de la NIS2 vencen en 2026, con sanciones de hasta 10 millones de euros o el 2 % de la facturación global. Se espera que la norma definitiva de la CIRCIA se publique en mayo de 2026.
Alineación del marco. Las operaciones del SOC se corresponden directamente con el Marco de Ciberseguridad 2.0 del NIST en las seis funciones: gobernar, identificar, proteger, detectar, responder y recuperar. El MITRE ATT&CK proporciona la capa táctica, guiando las estrategias de detección para técnicas que incluyen acceso inicial, persistencia, acceso a credenciales, movimiento lateral, exfiltración e impacto. Los controles CIS v8 (controles 1, 2, 8, 13 y 17) se corresponden directamente con las funciones básicas del SOC.
Las operaciones eficaces del SOC siguen una lista de verificación de las mejores prácticas del centro de operaciones de seguridad que abarca la visibilidad, la escalada por niveles, la automatización de los manuales de estrategias, el seguimiento de métricas y la mejora continua.
El panorama SOC está evolucionando más rápido que en cualquier otro momento desde la adopción de SIEM. Durante los próximos 12 a 24 meses, las organizaciones deben prepararse para varios avances clave.
La IA agencial redefinirá el papel del analista. El SOC agencial no es un concepto futurista. Ya está aquí. Con una financiación de 315,5 millones de dólares solo a principios de 2026, las plataformas de IA agencial están pasando de la fase de prueba de concepto a la de implementación en producción. El informe de Gartner sobre las tendencias en ciberseguridad para 2026 sitúa las soluciones SOC basadas en IA como una de las principales tendencias. Es de esperar que el papel del analista del SOC pase de revisar manualmente las alertas a supervisar la IA e interpretar las narrativas de amenazas.
La presión regulatoria se intensificará. Los plazos para las entidades esenciales de la NIS2 vencen en 2026. Se espera que la norma definitiva de la CIRCIA se publique en mayo de 2026. La SEC sigue endureciendo la aplicación del requisito de divulgación en cuatro días hábiles. Los SOC que carecen de flujos de trabajo automatizados de detección y clasificación tendrán dificultades para cumplir con los plazos de presentación de informes cada vez más ajustados.
La consolidación de plataformas se acelerará. El mercado SOAR se está bifurcando en plataformas de IA agenticas (razonamiento autónomo) y creadores de flujos de trabajo (motores de playbooks más rápidos y con poco código). Los CISO están desmantelando activamente las arquitecturas SOC heredadas, diseñadas en torno a las limitaciones humanas, y reconstruyéndolas en torno a flujos de trabajo aumentados por IA.
Las amenazas geopolíticas determinarán las prioridades de los SOC. Según el informe Global Cybersecurity Outlook 2026 del Foro Económico Mundial, el 64 % de las organizaciones tienen en cuenta los ciberataques por motivos geopolíticos en su planificación de riesgos. La proporción de organizaciones que evalúan la seguridad de las herramientas de IA se duplicó del 37 % al 64 %, lo que refleja la creciente conciencia de que la IA introduce tanto capacidad defensiva como nuevas superficies de ataque. Se prevé que el gasto en ciberseguridad supere los 520 000 millones de dólares en 2026, siendo la modernización de los SOC una de las principales áreas de inversión.
Prioridad de inversión: Las organizaciones deben centrarse en la calidad de las señales por encima del volumen de alertas, adoptar la IA agencial para la clasificación de grandes volúmenes e invertir en programas de formación cruzada que preparen a los analistas para supervisar los flujos de trabajo impulsados por la IA.
El mercado SOC está convergiendo en torno a varias tendencias que abarcan todo el sector. Las plataformas unificadas que integran SIEM, EDR, NDR y SOAR están sustituyendo a las herramientas fragmentadas. Las plataformas de IA agencial están emergiendo como una categoría formal, tal y como reconoce el Hype Cycle 2025 de Gartner. El informe WEF 2026 Global Cybersecurity Outlook destaca que el 64 % de las organizaciones tienen ahora en cuenta los ciberataques geopolíticos en su planificación, lo que impulsa la demanda de visibilidad integrada y en tiempo real de las amenazas.
El SOC moderno no se define por una única tecnología. Se define por la capacidad de mantener una señal clara en una superficie de ataque en expansión que abarca redes locales, múltiples nubes, identidades, aplicaciones SaaS y, cada vez más, infraestructura de IA.
Vectra AI las operaciones del SOC desde la perspectiva de Attack Signal Intelligence el principio de que los equipos del SOC necesitan claridad en las señales, no más alertas. Con 35 patentes en IA para ciberseguridad y 12 referencias en MITRE D3FEND más que cualquier otro proveedor), la metodología Vectra AI se centra en reducir las 2992 alertas diarias a unas pocas que representan el comportamiento real de los atacantes. Esto permite a los equipos del SOC centrarse en lo que realmente importa, en lugar de ahogarse en ruido.
El informeVectra AI State of Threat Detection», basado en las opiniones de 1450 profesionales de la seguridad de todo el mundo, reveló que, aunque la adopción de la IA se está acelerando, el 44 % de los defensores siguen sintiendo que están perdiendo terreno. Esto pone de relieve que la claridad de la señal, y no solo la adopción de la IA, es la clave para la eficacia del SOC. La tríada de visibilidad del SOC, formada por SIEM, EDR y NDR, proporciona la base, y la priorización impulsada por la IA proporciona la capa de inteligencia que convierte los datos brutos en señales procesables.
Las operaciones SOC se sitúan en la intersección entre las personas, los procesos y la tecnología. Las organizaciones que lo hacen bien reducen el impacto de las infracciones, cumplen con las obligaciones normativas y desarrollan la resiliencia necesaria para absorber los ataques sin perder el impulso operativo. Las que no lo hacen se enfrentan a retos cada vez mayores, como la fatiga por alertas, el agotamiento de los analistas y la proliferación de herramientas, que las mantienen en un estado de reacción permanente.
El camino a seguir está claro. Comience con la visibilidad de toda la superficie de ataque. Cree un equipo por niveles con vías de escalamiento definidas. Adopte la automatización para liberar a los analistas de tareas repetitivas de clasificación. Realice un seguimiento de las métricas para impulsar la mejora. Y adopte la ampliación de la IA, no como una solución milagrosa, sino como un multiplicador de fuerzas que permite a los analistas humanos operar a la velocidad y escala que exigen las amenazas modernas.
Tanto si está creando un SOC desde cero, optimizando una operación existente o evaluando servicios gestionados, los principios de esta guía proporcionan un marco para cada etapa del proceso. Descubra cómo la plataforma Vectra AI aborda las operaciones del SOC mediante la claridad de las señales y la detección basada en la inteligencia artificial.
Un centro de operaciones de seguridad (SOC) es la función centralizada dentro de una organización responsable de supervisar, detectar, investigar y responder continuamente a las amenazas de ciberseguridad. Los equipos del SOC combinan analistas cualificados, procesos definidos y tecnologías de seguridad integradas para proteger los activos digitales en entornos locales, cloud, de identidad y SaaS durante todo el día. El SOC actúa como centro neurálgico de la postura de seguridad defensiva de una organización, y funciona las 24 horas del día, los 7 días de la semana, en la mayoría de los entornos empresariales. Según la encuesta SANS 2025 SOC Survey, el 79 % de los SOC mantienen operaciones ininterrumpidas. Las organizaciones de todos los tamaños pueden beneficiarse de las capacidades del SOC, ya sea a través de un equipo interno, un modelo externalizado o un enfoque híbrido que combine ambos.
Un SOC se centra en detectar y responder a amenazas de seguridad como malware, intrusiones y violaciones de datos. Un centro de operaciones de red (NOC) se centra en la disponibilidad, el rendimiento y el tiempo de actividad de la red. Aunque ambos supervisan la infraestructura de la organización, sus objetivos difieren fundamentalmente. El NOC se pregunta «¿Funciona la red?», mientras que el SOC se pregunta «¿Es segura la red?». Sus herramientas, vías de escalado, modelos de dotación de personal y métricas de éxito son distintos. En algunas organizaciones, el SOC y el NOC comparten espacio físico o colaboran en incidentes que afectan tanto a la disponibilidad como a la seguridad, pero mantienen estructuras jerárquicas y mandatos operativos separados.
Las funciones principales del SOC incluyen la supervisión continua, la detección de amenazas, la investigación y clasificación, la respuesta a incidentes, la integración de inteligencia sobre amenazas y la mejora continua. Estas funciones operan como un proceso cíclico en el que cada incidente contribuye a una mejor detección y una respuesta más rápida en el futuro. La supervisión proporciona los datos brutos. La detección identifica patrones sospechosos. La investigación determina si la actividad es maliciosa. La respuesta contiene y remedia las amenazas confirmadas. La inteligencia sobre amenazas enriquece todas las etapas con contexto externo e interno. La mejora continua cierra el ciclo mediante revisiones posteriores al incidente, ajuste de la detección y perfeccionamiento del manual de estrategias.
Los SOC modernos se basan en la tríada de visibilidad de SIEM (recopilación y correlación de registros), EDR (detección de puntos finales) y NDR (detección de redes), complementada con SOAR para la automatización de flujos de trabajo. SIEM proporciona análisis de registros centralizado e informes de cumplimiento. EDR supervisa los puntos finales en busca de comportamientos sospechosos y permite una rápida contención. NDR analiza el tráfico de red para detectar movimientos laterales y otros comportamientos que generan un mínimo de pruebas en los registros. SOAR automatiza las tareas repetitivas mediante flujos de trabajo basados en guías de procedimientos. Cada vez más, las organizaciones están consolidando estas herramientas en plataformas SOC unificadas para reducir la proliferación de herramientas, ya que el 69 % de las organizaciones utilizan actualmente más de 10 herramientas de detección y respuesta (Vectra AI ).
La IA está transformando las operaciones de los SOC al automatizar la clasificación de alertas, enriquecer las investigaciones con datos contextuales y permitir la búsqueda proactiva de amenazas. Las organizaciones que utilizan ampliamente la IA redujeron el ciclo de vida de las brechas en 80 días y ahorraron 1,9 millones de dólares por brecha en promedio (IBM 2025). La IA agencial representa la próxima evolución, investigando y respondiendo de forma autónoma a las amenazas sin manuales preestablecidos. Sin embargo, la transición no es perfecta. La encuesta SANS 2025 SOC reveló que, aunque el 40 % de los SOC utilizan IA y aprendizaje automático, la satisfacción con estas herramientas ocupa el último lugar entre las tecnologías SOC. La adopción responsable de la IA requiere explicabilidad, supervisión humana y una implementación por etapas que comience con tareas de gran volumen y bajo riesgo.
Un modelo de madurez SOC proporciona un marco para evaluar y mejorar las capacidades SOC en cinco niveles: inicial, reactivo, definido, gestionado y optimizado. El SOC-CMM (modelo de madurez de capacidades) es el estándar de facto del sector, que ayuda a las organizaciones a evaluar su madurez actual y a crear hojas de ruta para la mejora. En el nivel 1 (inicial), los SOC operan de forma reactiva con procesos ad hoc. En el nivel 5 (optimizado), los SOC aprovechan las operaciones aumentadas por IA y la mejora continua. La mayoría de las organizaciones se encuentran entre los niveles 2 y 3. Para avanzar del nivel 3 al nivel 4, normalmente es necesario comprometerse con el seguimiento de métricas, la inversión en automatización y los recursos dedicados a la búsqueda de amenazas.
La creación y el funcionamiento de un SOC 24/7 cuesta entre 1,5 y 5 millones de dólares al año, dependiendo del nivel de madurez y del modelo de dotación de personal. Un SOC básico cuesta aproximadamente 1,5 millones de dólares al año. Un SOC intermedio con procesos definidos cuesta aproximadamente 2,5 millones de dólares. Una operación avanzada 24/7 con capacidad de búsqueda de amenazas alcanza los 5 millones de dólares o más. Estos costes incluyen el personal (normalmente la partida más importante, con un 60-70 % del presupuesto), las licencias tecnológicas, la infraestructura de las instalaciones y la formación. Los modelos híbridos que combinan la supervisión estratégica interna con los servicios gestionados pueden reducir los costes y mantener el control, lo que los convierte en el modelo de SOC de más rápido crecimiento.