El SOC del futuro: la transformación del modelo operativo de la Ciberseguridad en la era de la IA

4 de marzo de 2026

Durante la sesión El futuro de los SOC: ciberdefensa en la era de la IA, en Telefónica Tech abordamos una cuestión que hoy ocupa a muchos responsables de seguridad: ¿cómo debe evolucionar un SOC en un entorno donde la IA está redefiniendo la forma en que operan los equipos de Ciberseguridad?

La respuesta no fue tecnológica en el sentido tradicional. No presentamos una herramienta cerrada ni una funcionalidad concreta. Lo que explicó Alejandro Ramos, director de Ciberseguridad de Telefónica Tech, fue algo más estructural: el SOC del futuro no es un producto listo para activar, sino una transformación del modelo operativo.

El SOC del futuro no es un producto, es una evolución continua del modelo operativo de Ciberseguridad.

Un entorno que obliga a evolucionar

La conversación partió de una realidad que cualquier CISO conoce de primera mano: los incidentes aumentan en número y en sofisticación, su impacto económico es cada vez más visible y los tiempos de recuperación siguen siendo determinantes para la continuidad del negocio. A esto se suma la presión sobre los equipos de seguridad, que operan en entornos cada vez más complejos, distribuidos e interconectados.

En este contexto, la IA es un factor que altera la dinámica misma del SOC. Sin embargo, reducir el debate a “incorporar IA en el SOC” sería simplificarlo en exceso. El reto es integrar esa capacidad en un entorno donde ya conviven IT y OT, múltiples plataformas, arquitecturas híbridas y distintos niveles de madurez tecnológica.

La IA no simplifica la complejidad del SOC, obliga a gestionarla de otra manera.

Durante la sesión insistimos en que la convergencia entre IT y OT, aunque conceptualmente asumida desde hace años, sigue siendo un desafío operativo real. La llegada de la IA no elimina esa complejidad: la intensifica. Por eso el foco no puede estar únicamente en la tecnología, sino en el rediseño del modelo de operación.

La IA como exoesqueleto, no como reemplazo

Uno de los mensajes más claros fue que el SOC del futuro no se construye para reemplazar personas. Alejandro describió la IA aplicada a las operaciones de Ciberseguridad como un “exoesqueleto” para los analistas y equipos de seguridad.

La metáfora hace referencia a que el esfuerzo humano no desaparece y en cambio se potencia y amplifica. Las tareas repetitivas, manuales o mecánicas pueden automatizarse con mayor inteligencia, liberando tiempo para el análisis contextual y la toma de decisiones.

La IA no sustituye al analista: amplifica su capacidad de decisión.

Este matiz es esencial. No se trata de reducir plantilla ni de prometer eficiencias imposibles. Se trata de mejorar la calidad, la consistencia y la velocidad de respuesta sin perder criterio humano. El objetivo es operar mejor con el mismo talento, apoyado por nuevas capacidades tecnológicas integradas en el modelo operativo.

Del manual de procedimientos a la respuesta contextual

Tradicionalmente, la automatización en los SOC se ha basado en scripts y manuales de procedimientos (playbooks) definidos manualmente. Cada caso de uso requería diseño, mantenimiento y actualización constantes. La IA introduce un cambio significativo: la posibilidad de generar respuestas adaptadas al contexto específico de cada alerta, reduciendo la dependencia de reglas rígidas previamente definidas.

Alejandro resumió este giro como el paso hacia un modelo security driven by AI. En este modelo la automatización ya no depende exclusivamente de reglas estáticas. Depende también de la capacidad del sistema para interpretar datos, correlacionarlos y proponer acciones en función del riesgo y la situación concreta.

Esto no implica eliminar el control humano. Al contrario, el principio de human-in-the-loop sigue siendo clave. Las decisiones que pueden afectar a infraestructuras críticas o a entornos sensibles deben estar validadas por personas. La autonomía tiene límites definidos, especialmente en escenarios donde una acción incorrecta puede tener consecuencias significativas para la operación, el negocio e incluso las personas.

Con el SOC del futuro pasamos de automatizar reglas a automatizar decisiones contextualizadas sin renunciar al criterio humano.

El dato, el riesgo y el contexto vuelven al centro

Otro eje fundamental de la conversación fue la gestión del dato, pero no desde una perspectiva meramente técnica. La IA necesita información estructurada, clasificada y contextualizada para ser eficaz, pero, sobre todo, necesita estar alineada con riesgo real del negocio y su impacto operativo.

Durante la sesión se insistió en que el SOC del futuro no puede organizarse en torno a herramientas o silos tecnológicos. Debe ser threat-centric, orientado al riesgo, capaz de priorizar en función del impacto operativo y estratégico. Sin ese enfoque, la automatización corre el riesgo de amplificar el ruido en lugar de aportar claridad y priorización efectiva.

Sin contexto, la automatización genera ruido; con contexto, genera criterio.

Esto implica revisar cómo se integran las distintas fuentes de información, cómo se enriquecen las alertas y cómo se alinean procesos, políticas y niveles de escalado con los modelos analíticos. Más allá de la cuestión tecnológica, se trata de una cuestión de gobierno, arquitectura operativa y modelo de toma de decisiones.

■ El SOC del futuro se articula alrededor del riesgo y el contexto, no de la herramienta que genera la alerta. Ese cambio de foco es estructural.

Un SOC orientado a herramientas reacciona; un SOC orientado al riesgo prioriza con criterio.

Nuevas métricas para un cambio real, no cosmético

Como explicó Alejandro, cuando cambia la forma de operar también deben cambiar los indicadores. Los marcos de referencia clásicos, como NIST, siguen siendo válidos para estructurar la estrategia. El “qué” permanece constante: identificar, proteger, detectar, responder y recuperar.

Sin embargo, el “cómo” introduce nuevos matices que obligan a replantear los SLA, los KPIs y las métricas operativas. Ya no basta con medir tiempos de respuesta tradicionales. Aparecen pregunta agentes s nuevas: ¿cuánto tardamos en desplegar un nuevo caso de uso basado en IA? ¿Cómo evaluamos la calidad de una automatización generada por contexto? ¿Cómo medimos la consistencia de un modelo asistido por agentes en escenarios reales de operación?

Aquí surge una cuestión legítima: ¿estamos ante una transformación real o ante una simple “mano de pintura” al SOC tradicional?

La diferencia está precisamente en los indicadores. Si los procesos cambian, si la automatización es dinámica, si el contexto se integra en la decisión y si los equipos operan con nuevas capacidades, las métricas deben reflejarlo. De lo contrario, el modelo seguirá siendo el mismo, aunque la tecnología sea más sofisticada y el discurso parezca más innovador.

Si los SLA no evolucionan es porque el modelo tampoco lo ha hecho.

El SOC del futuro se construye paso a paso junto al cliente

Como decíamos al inicio, el SOC del futuro no es una solución estándar lista para desplegar. No existe un modelo único válido para todas las empresas. Cada cliente opera con tecnologías, procesos y niveles de madurez distintos. Por eso esta transformación tiene que construirse de manera conjunta.

En Telefónica Tech estamos abordando esta evolución también en nuestros propios SOC, integrando IA en la operación diaria, y al mismo tiempo acompañamos a nuestros clientes en su proceso de transformación. Se trata por tanto de adaptar principios, capacidades y arquitecturas a cada entorno concreto, respetando su realidad operativa y sus prioridades de negocio.

El enfoque es modular y progresivo. Se revisan procesos, se ajustan dinámicas, se integran datos y se refuerza el gobierno de la seguridad. Es un recorrido compartido que combina experiencia acumulada y especificidad operativa, con una visión orientada a resultados sostenibles en el tiempo.