Descubre Noticias de Ciberseguridad en nuestro TecnetBlog

Contratar SOC as a Service: ¿Cómo hacerlo y qué tomar en cuenta?

Escrito por Muriel de Juan Lara | Jan 13, 2026 5:47:58 PM

Cuando sales al mercado a contratar un SOC, te enfrentas a un mar de propuestas que prometen monitoreo 24/7, respuesta inmediata y seguridad total, pero pocas explican con claridad qué hacen realmente cuando ocurre un incidente.

Elegir mal no solo impacta en tu presupuesto; genera una falsa sensación de protección. Crees que alguien está vigilando tu infraestructura, pero en la práctica solo recibes alertas genéricas, correos automáticos o dashboards que nadie revisa cuando más importa.

En TecnetOne hemos preparado esta guía está diseñada para ayudarte a elegir el SOC adecuado para tu empresa: entender qué estás comprando realmente, cómo filtrar propuestas, qué diferencias existen entre SOC, SIEM y MDR, y qué exigir para que el servicio reduzca riesgos de verdad.

 

Tabla de contenidos

 

 

SOC vs. SIEM vs. MDR: ¿Qué estás comprando realmente?

 

Este es el punto donde más empresas se confunden (y donde más dinero se pierde). Muchísimos proveedores venden una cosa al precio de otra.

 

  1. SIEM (herramienta): es tecnología para centralizar logs, correlacionar eventos y generar alertas. Un SIEM no te protege por sí solo: necesita ingeniería, contenido de detección, mantenimiento y operación.

  2. SOC (operación + proceso + personas): es el equipo (y la disciplina) que monitorea, detecta, investiga, contiene y coordina respuesta. Puede usar SIEM, EDR/XDR, SOAR y otras piezas, pero el valor está en la operación.

  3. MDR (servicio enfocado, comúnmente endpoint): suele centrarse en detección y respuesta principalmente sobre EDR/XDR. Puede ser excelente, pero no siempre cubre todo tu entorno (nube, identidad, redes, SaaS, etc.) ni la gobernanza completa.

 

Regla práctica: si te prometen “SOC en 48 horas” sin onboarding, sin integración de fuentes y sin runbooks, probablemente estás comprando alertas, no capacidad de respuesta.

 

 

Contratar un SOC as a Service: 7 Criterios técnicos para filtrar propuestas

 

No te quedes solo con el precio o el logo del proveedor. Exige que la propuesta técnica cubra estos puntos:

 

1) Cobertura real de fuentes (no solo “endpoint”)

 

Pide un listado explícito de fuentes de telemetría y prioridades:

 

  1. Identidad (Microsoft Entra ID / AD)

  2. Endpoints (EDR/XDR)

  3. Red (FW, IDS/IPS, VPN)

  4. Nube (Azure/AWS/GCP)

  5. Email (M365 / Google Workspace)

  6. SaaS crítico (CRM, ERP, etc.)

 

Si el proveedor no te dice qué integra y qué queda fuera, no puedes estimar el riesgo residual.

 

2) Casos de uso (detecciones) y su mantenimiento

 

Un SOC no vive de “firmas genéricas”. Debe incluir:

 

  1. Casos de uso por MITRE ATT&CK (o equivalente)

  2. Tuning para bajar falsos positivos

  3. Revisión periódica y mejora continua (nuevas técnicas, cambios en tu entorno)

 

Pide ejemplos de detecciones y cómo las actualizan.

 

3) SLA de detección, triage y respuesta

 

No basta “24/7”. Pregunta por tiempos concretos:

 

  1. MTTD (tiempo medio de detección)

  2. MTTA (tiempo medio de reconocimiento/triage)

  3. MTTR (tiempo medio de contención / resolución coordinada)

Y, lo más importante: ¿cuál es el SLA en severidad Alta?

 

Conoce más sobre: KPIs de Respuesta a Incidentes: MTTA, MTTD y MTTR

 

4) Capacidad de contención (acciones), no solo notificación

 

¿El SOC puede ejecutar acciones o solo “te avisa”?

 

  1. Aislar endpoint

  2. Bloquear IOC en firewall

  3. Deshabilitar usuario comprometido

  4. Revocar sesiones / tokens

  5. Contener lateral movement

 

Si todo depende de que “tu equipo lo haga”, entonces estás pagando por un call center de alertas.

 

5) Runbooks y respuesta a incidentes (operación madura)

 

Exige runbooks para escenarios comunes:

 

  1. Compromiso de correo (BEC)

  2. Ransomware

  3. Credenciales filtradas / takeover de cuentas

  4. Exfiltración

  5. Movimiento lateral

 

Y define: quién decide y qué aprobaciones se requieren para actuar.

 

6) Reporteo que sirva para algo (negocio + técnico)

 

Un buen SOC debe hablar dos idiomas:

 

  1. Dirección/Board: tendencias, riesgo, exposición, impacto y decisiones (qué se redujo, qué falta).

  2. TI/SecOps: evidencia, línea de tiempo, IOCs, recomendaciones accionables y backlog priorizado.

 

Huye de reportes “bonitos” que no generan acciones.

 

7) Onboarding, mejora continua y “salud” del servicio

 

Pregunta cómo es el mes 1 y el mes 3:

 

  1. Onboarding (inventario, activos críticos, crown jewels)

  2. Baseline (qué es normal en tu entorno)

  3. Ajuste de severidades y umbrales

  4. Reuniones de servicio, QBR/MBR, roadmap de detección

 

Un SOC sin mejora continua se vuelve obsoleto rápido.

 

Las “Preguntas Incómodas”

 

Antes de firmar, haz estas preguntas. Sus respuestas te dirán su madurez operativa:

 

  1. “¿Quién opera mi cuenta realmente?”
    ¿Es su equipo interno o subcontratan? ¿Quién tiene acceso a tus datos y bajo qué controles?

  2. “¿Qué pasa si hay un incidente a las 3 a.m.?”
    ¿Hay guardia real? ¿Escalamiento? ¿Canales directos (teléfono/war room) o solo ticket?

  3. “¿Cómo manejan falsos positivos y fatiga de alertas?”
    Un buen SOC tiene proceso de tuning. Si dicen “eso es normal”, mala señal.

  4. “¿Qué NO cubre el servicio?”
    Si evitan decirlo, es porque el alcance es más pequeño de lo que parece.

  5. “¿Qué evidencia me entregan y cómo la preservan?”
    Importante para forense, compliance y seguros.

 

¿Qué tipo de SOC necesitas?

 

No siempre necesitas el “SOC más grande”. Depende de tu contexto:

 

  1. SOC interno (in-house): control máximo, pero alto costo y complejidad (24/7, rotación, tooling, ingeniería).

  2. SOC tercerizado (MSSP/SOC como Servicio): aceleras cobertura y operación, ideal para PYMEs/scaleups o equipos pequeños.

  3. SOC híbrido: el proveedor opera 24/7 y tu equipo mantiene gobierno, prioridades, y respuesta ampliada.

 

Regla práctica: si hoy tu equipo “apaga fuegos” y no llega a operar seguridad 24/7, un modelo tercerizado o híbrido suele dar mejor costo-beneficio.

 

Podría interesarte: ¿Qué es un SOC como Servicio?

 

¿Cuánto cuesta un SOC?

 

Es frustrante no ver precios fijos, pero en seguridad “depende” suele ser la respuesta honesta. El costo normalmente varía por:

 

  1. Alcance (activos y fuentes): endpoints, identidades, nubes, firewalls, etc.

  2. Volumen de logs/telemetría: ingesta y retención (impacta tooling).

  3. Modelo de servicio: solo monitoreo vs. respuesta activa vs. Incident Response incluido.

  4. Horario y SLA: 8x5 vs. 24/7, tiempos de respuesta.

  5. Complejidad del entorno: multi-nube, múltiples sedes, OT/IoT, etc.

 

¿Por qué las empresas contratan el SOC de TecnetOne?

 

En TecnetOne no creemos en el SOC como algo que solo envía alertas o correos automáticos cuando algo ya salió mal. Nuestro SOC opera como una extensión real de tu equipo, con analistas que entienden tanto de tecnología como de impacto en el negocio.

No solo detectamos incidentes: los investigamos, los contextualizamos y ayudamos a contenerlos. Cada alerta tiene un porqué, una prioridad clara y una recomendación accionable. Nuestro objetivo no es llenarte de ruido, sino reducir riesgo real.

Un SOC no debería verse como un gasto operativo más. El costo de una brecha, un ransomware o una cuenta comprometida suele superar ampliamente la inversión en un SOC 24/7 bien operado, especialmente cuando la detección llega tarde o la respuesta no está clara.

Por eso apostamos por transparencia, procesos definidos y comunicación directa. Sabes qué monitoreamos, cómo respondemos y quién está del otro lado cuando ocurre un incidente crítico.

 
Ver post completo