Según el informe «State of the MSP» de Kaseya de 2026, el 61 % de los MSP afirma que la mayoría o la totalidad de sus clientes recurre a ellos en busca de asesoramiento sobre ciberseguridad, lo que convierte la capacidad de un SOC en una necesidad comercial más que en un factor diferenciador. Descarga el informe completo aquí.
La mayoría de las organizaciones no pueden permitirse crear un centro de operaciones de seguridad. La infraestructura, las herramientas y, sobre todo, el personal —analistas de seguridad que trabajan en turnos las 24 horas del día y cuentan con los conocimientos necesarios para interpretar los datos sobre amenazas y responder a incidentes activos— suponen una inversión que está fuera del alcance de todas las empresas, salvo las más grandes.
Sin embargo, la capacidad de supervisión de la seguridad que ofrece un SOC no está fuera del alcance de nadie. Managed SOC , prestados por proveedores de MDR, han puesto las operaciones de seguridad continuas al alcance de organizaciones de cualquier tamaño. Comprender qué hace un SOC y qué se necesita para crear uno o acceder a él es el punto de partida para tomar una decisión informada sobre cómo cumplir con los requisitos de operaciones de seguridad.
Capacidad de SOC empresarial, ahora sin necesidad de personal propio
Kaseya SIEM ofrece detección de amenazas en múltiples plataformas a través de más de 60 fuentes de datos, respuesta automatizada y un centro de operaciones de seguridad (SOC) gestionado opcional las 24 horas del día, los 7 días de la semana, impulsado por Kaseya Intelligence y basado en más de 1000 millones de tickets de asistencia técnica y 17 millones de terminales.
¿Qué es un SOC?
Un centro de operaciones de seguridad es la función centralizada encargada de supervisar, detectar, investigar y responder a las amenazas de ciberseguridad en todo el entorno informático de una organización. El término hace referencia tanto al equipo (analistas e ingenieros de seguridad) como a la infraestructura tecnológica que gestionan (SIEM, EDR, plataformas de inteligencia sobre amenazas y herramientas de respuesta).
La característica definitoria de un SOC es su funcionamiento ininterrumpido: las amenazas no respetan el horario laboral, y un SOC que solo opera de 9 a 5 deja un intervalo sin supervisión que los atacantes aprovechan precisamente porque existe. La verdadera capacidad de un SOC implica una supervisión y una respuesta las 24 horas del día, los 7 días de la semana, los 365 días del año.
Qué hace un SOC
Supervisión continua de la telemetría de seguridad de todo el entorno: actividad de los puntos finales procedente del EDR, tráfico de red, datos de identidad y autenticación, registros de plataformas en la nube y registros de aplicaciones. El SOC agrupa estos datos y aplica reglas de detección, aprendizaje automático y el criterio de los analistas para identificar amenazas.
Clasificación e investigación de alertas. Los entornos actuales generan un volumen enorme de alertas de seguridad, mucho mayor del que se puede investigar de forma individual. Los analistas del SOC aplican criterios de priorización y contexto para determinar qué alertas representan amenazas reales, investigando los datos de telemetría pertinentes para comprender el alcance y la naturaleza de los posibles incidentes.
Respuesta ante incidentes. Cuando se confirma una amenaza real, el SOC coordina la respuesta: aísla los sistemas afectados, elimina la amenaza y supervisa la recuperación. Los SOC internos suelen encargarse directamente de la respuesta técnica; los servicios de SOC basados en MDR suelen actuar en colaboración con el equipo de TI del cliente.
Detección proactiva de amenazas. Búsqueda proactiva de indicadores de compromiso que no hayan generado alertas automáticas, con el fin de detectar actividades de ataque en fase inicial antes de que se conviertan en un incidente activo.
Inteligencia sobre amenazas. Recopilar, analizar y aplicar la inteligencia sobre amenazas —es decir, información sobre campañas de ataque actuales, tácticas, técnicas y procedimientos (TTP) de los actores maliciosos, y datos sobre indicadores de compromiso— para mejorar la detección y la búsqueda de amenazas.
Informes de seguridad. Elaboración de informes periódicos sobre el estado de la seguridad, el volumen de amenazas, los indicadores de detección y respuesta, y cualquier incidente o tendencia destacable.
Funciones y estructura del equipo SOC
Los analistas de nivel 1 se encargan de la revisión inicial de las alertas, de clasificar la cola de alertas, de determinar el nivel de gravedad inicial y de escalar las amenazas confirmadas o sospechosas. El nivel 1 es el que genera mayor volumen de trabajo en el SOC.
Los analistas de nivel 2 llevan a cabo investigaciones más exhaustivas de las alertas escaladas, determinan el alcance total de los posibles incidentes, analizan los datos forenses y ofrecen asesoramiento sobre medidas de contención y corrección.
Los analistas de nivel 3 y los cazadores de amenazas se centran en la búsqueda proactiva de amenazas, la investigación de incidentes complejos y el análisis avanzado de los adversarios. Este nivel suele estar compuesto por el personal con más experiencia.
El responsable del SOC / ingeniero de seguridad se encarga de la dirección operativa, gestiona el desarrollo de reglas de detección y las herramientas, y coordina las actividades con el departamento de operaciones de TI y las partes interesadas de la empresa.
La creación y dotación de personal de esta estructura constituye el principal obstáculo para la creación de un SOC interno. Los analistas de seguridad con experiencia son escasos y costosos. Mantener una cobertura continua requiere turnos de trabajo que multiplican las necesidades de personal. Un SOC interno con dotación completa y operativo las 24 horas del día, los 7 días de la semana, exige una inversión de varios millones de dólares, lo cual se justifica en el caso de las grandes empresas con entornos complejos y presupuestos específicos para seguridad, pero resulta prohibitivo para la mayoría de las organizaciones.
Herramientas y tecnología SOC
La pila tecnológica básica de un SOC incluye:
SIEM (Gestión de información y eventos de seguridad), recopila datos de registros y telemetría de todo el entorno, aplica reglas de correlación para identificar patrones de amenazas y proporciona la interfaz de investigación para los analistas.
EDR, la principal fuente de telemetría de terminales y la capacidad de respuesta ante amenazas a nivel de terminal.
SOAR (Security Orchestration, Automation and Response) automatiza los flujos de trabajo de respuesta, lo que permite ejecutar rápidamente medidas de contención y corrección sin intervención manual en el caso de patrones de amenazas conocidos.
Plataforma de inteligencia sobre amenazas que recopila y pone en práctica la información sobre amenazas procedente de fuentes internas y externas, alimentando las reglas de detección y las investigaciones de los analistas.
Gestión de vulnerabilidades, integra los datos sobre vulnerabilidades en el contexto del SOC para que se prioricen adecuadamente las actividades de explotación de vulnerabilidades conocidas.
SOC interno frente a SOC de gestión compartida frente a SOC de gestión completa
Un SOC interno ofrece el máximo control, pero requiere una inversión total en personal, herramientas y procesos. Es adecuado para grandes empresas que cuenten con un presupuesto suficiente y un compromiso duradero para mantener dicha capacidad.
Un SOC gestionado conjuntamente (también denominado SIEM gestionado conjuntamente) ofrece la cobertura de analistas de MDR como una extensión del equipo interno; suele ser utilizado por organizaciones que cuentan con personal de seguridad, pero que no disponen de recursos suficientes para garantizar una cobertura ininterrumpida o una capacidad especializada en la detección proactiva de amenazas. El equipo interno y el proveedor de servicios gestionados comparten responsabilidades, y el reparto de tareas se define en el contrato.
SOC totalmente gestionado (MDR) ofrece todas las capacidades de un SOC como servicio. El proveedor de MDR es responsable de las herramientas, el equipo de analistas y los procesos operativos. El equipo de TI del cliente es el responsable de la escalada de los incidentes confirmados y se encarga de la ejecución de las medidas correctivas. Este es el modelo adecuado para organizaciones que no cuentan con personal interno dedicado a las operaciones de seguridad.
El servicio MDR de Kaseya, disponible en Kaseya 365 , ofrece un centro de operaciones de seguridad (SOC) totalmente gestionado y operado por expertos en seguridad con sede en EE. UU. las 24 horas del día, los 7 días de la semana. Se integra con Datto EDR y con la Kaseya 365 en general. Solicita una demostración aquí.
Métricas de SOC que realmente importan
Tiempo medio de detección (MTTD): el tiempo transcurrido desde el momento en que se produce la intrusión inicial hasta su detección. Cuanto más corto, mejor; unos tiempos de permanencia prolongados permiten a los atacantes establecer la persistencia, escalar privilegios y acceder a datos valiosos antes de que se identifique el incidente.
Tiempo medio de respuesta (MTTR): el tiempo que transcurre desde la detección hasta la contención. La rapidez de la contención es el factor determinante principal del alcance del incidente.
Índice de falsos positivos: la proporción de alertas que no constituyen amenazas reales. Un índice elevado de falsos positivos hace perder tiempo a los analistas y contribuye a la fatiga por alertas. Un SOC bien configurado debería presentar un índice de falsos positivos en constante descenso a medida que se perfeccionan las reglas de detección.
Índice de escalado: qué proporción de detecciones requiere la intervención de un analista frente a la gestión automatizada. Un índice de escalado elevado puede indicar la necesidad de ajustar la configuración o un problema relacionado con el volumen de amenazas.
Amplitud de la cobertura: qué porcentaje de las fuentes de telemetría del entorno están cubiertas por la supervisión del SOC. Las lagunas en la cobertura son lagunas en la visibilidad.
Kaseya SIEM: Capacidades de un centro de operaciones de seguridad (SOC) empresarial sin necesidad de personal propio
Históricamente, gestionar un SOC de forma interna ha requerido contar con ingenieros de seguridad especializados, herramientas costosas y personal las 24 horas del día, una barrera que ha puesto la capacidad de un SOC fuera del alcance de la mayoría de las pymes y las empresas del mercado medio.
Kaseya SIEM, ya disponible para el público general, cambia esa ecuación. Kaseya SIEM, ya disponible para el público general, ofrece operaciones de seguridad de nivel empresarial sin necesidad de personal ni costes propios de una gran empresa. Unifica la telemetría de los puntos finales, la red, la nube, las identidades y el correo electrónico, correlacionando señales de más de 60 fuentes de datos para detectar y responder a las amenazas en toda la superficie de ataque. La correlación entre superficies ofrece a los equipos de TI una visión completa del ataque en una única interfaz, la respuesta automatizada contiene las amenazas en cuestión de minutos sin necesidad de reenviar alertas a una persona, y la retención de registros de 400 días garantiza el cumplimiento normativo desde el primer momento. Para los equipos que prefieren no gestionar un SOC interno, un servicio de operaciones de seguridad gestionado las 24 horas del día, los 7 días de la semana, impulsado por Kaseya Intelligence, ofrece la cobertura de un SOC dedicado sin los gastos generales que supone crear uno. Descubra Kaseya SIEM.
Para los MSP, Kaseya SIEM ofrece una solución escalable que permite gestionar operaciones de seguridad con el nivel de calidad de un centro de operaciones de seguridad (SOC) en múltiples entornos de clientes desde una única plataforma, sin necesidad de la plantilla que requiere un modelo de SOC tradicional.
Puntos clave
- Un SOC ofrece supervisión, detección, investigación y respuesta en materia de seguridad de forma continua las 24 horas del día, los 7 días de la semana, una función de seguridad operativa que la mayoría de las organizaciones no pueden permitirse desarrollar internamente.
- Crear un SOC interno requiere una inversión considerable y sostenida en personal y herramientas. Las alternativas de MDR de gestión compartida y gestión completa ofrecen una capacidad equivalente a un coste asequible.
- Los indicadores clave —MTTD, MTTR y tasa de falsos positivos— miden la eficacia operativa del SOC, no solo su mera existencia.
- Para los MSP, el acceso a capacidades de SOC gestionadas (a través de MDR) constituye tanto un activo de seguridad interno como una oferta de servicios diferenciadora para los clientes.
