Hace dieciocho meses, el concepto de un Centro de Operaciones de Seguridad (SOC) impulsado por IA era en gran medida un punto de conversación de marketing. Hoy, es un elemento crítico del presupuesto, con miles de millones invertidos en plataformas de seguridad impulsadas por IA, herramientas de SOC agenticas y copilotos de IA integrados en toda la pila de seguridad. Los datos indican que los SOC están adoptando y desplegando capacidades de IA a un ritmo sin precedentes. Sin embargo, a pesar de esta rápida adopción, muchos SOC están reportando resultados poco impresionantes. El benchmark objetivo inaugural sobre el valor de la IA en el SOC, publicado en el **SOC-CMM 2026 Maturity Report** este mayo, encuestó a aproximadamente 200 SOC. Solo el 10% de los encuestados reportó un valor "excelente" de la IA, y el 19% citó un valor "bueno". Un significativo 71% reportó "algo" o "ningún" valor en absoluto. Esta tendencia, dieciocho meses después del despliegue generalizado de IA, señala un problema estructural. Este artículo profundiza en lo que revelan los datos y lo que la próxima evolución de la IA en las operaciones de seguridad debe ofrecer para cerrar esta brecha de rendimiento. ## Lo que Muestran los Datos del SOC-CMM 2026 Tres hallazgos clave de la sección de IA del **SOC-CMM 2026 Maturity Report** destacan y están claramente correlacionados. Primero, la adopción de IA ha aumentado en todas las categorías dentro del SOC. Los modelos de lenguaje grandes (LLMs) listos para usar vieron un aumento interanual del 55%, los copilotos de IA aumentaron un 145%, los agentes de IA un 118%, el aprendizaje automático supervisado un 96% y los LLMs personalizados un 64%. Esto sugiere que los equipos de SOC están invirtiendo en exceso en IA sin poseer la madurez operativa necesaria para extraer valor significativo de sus compras. Segundo, el patrón de adopción predominante es lo que el informe denomina el "modelo tomador": desplegar IA lista para usar dentro de una pila de seguridad existente sin personalización. Aproximadamente el 65% de los SOC encuestados se identifican como tomadores, mientras que el 20% son "modeladores" (personalizando lo que compran) y solo el 15% son "constructores" (entrenando modelos con sus propios datos). Los tomadores representan la cohorte más grande y reportan el menor valor. Este patrón se mantiene en SOC híbridos, internos y MSSP, lo que indica una causa estructural en lugar de circunstancial. Tercero, el informe destaca que los dos desafíos de mejora del SOC que crecieron año tras año son la falta de mejores prácticas (+17%) y la complejidad de aumentar la madurez (+11%). Por el contrario, desafíos como las restricciones presupuestarias y la falta de apoyo gerencial disminuyeron. Esto sugiere que los SOC no carecen de recursos o de la aprobación ejecutiva; más bien, no están seguros de cómo aprovechar eficazmente la IA que han adquirido. Esto encapsula la brecha de madurez de la IA en un solo punto de datos. ## Por Qué la Primera Ola de IA en el SOC Tuvo un Rendimiento Inferior La ola inicial de herramientas de IA para SOC a menudo se enviaba como características añadidas a productos de seguridad existentes. Los **SIEMs** obtuvieron triaje de IA, los **EDRs** recibieron capacidades de investigación de IA, las plataformas **SOAR** integraron generación de playbooks de IA y las herramientas de ticketing agregaron resumen de IA. Si bien cada característica era funcional de forma aislada, carecían de contexto compartido. En la práctica, esto significa que los analistas de SOC ahora lidian con múltiples asistentes de IA en lugar de un sistema cohesivo. El agente de triaje en el SIEM carece de conocimiento sobre lo que el ingeniero de detección silenció la semana pasada. El agente de caza de amenazas en el EDR desconoce la inteligencia de amenazas reciente. El agente de resumen en la herramienta de ticketing no conoce el contexto completo de una investigación. Cada agente acelera su porción específica del flujo de trabajo, pero ninguno aborda las transferencias críticas entre estas porciones, donde reside la mayor parte del tiempo y el valor del SOC. Los operadores de SOC reportan ampliamente este fenómeno: las tareas individuales son más rápidas, pero el flujo de trabajo general sigue fragmentado. Describen que se les pide aprender múltiples interfaces de agentes nuevas mientras el problema central, que el SOC opera como una cadena de etapas desconectadas, persiste. La IA ha acelerado los silos sin conectarlos realmente. El **SOC-CMM 2026 Maturity Report** cuantifica esta dinámica. El dominio tecnológico consistentemente obtiene la puntuación más alta en madurez (promedio de 2.7 sobre 5), mientras que el dominio de procesos (que rige las transferencias entre las etapas del SOC) y el dominio de personas (conocimiento institucional y toma de decisiones) obtienen puntuaciones más bajas, con 2.3. Simplemente adquirir más herramientas, incluidas las de IA, no mejora estos números; en algunos casos, cada nueva herramienta exacerba el problema al agregar otro punto de transferencia. ## Qué Hay de Diferente en los SOC que Reportan Valor Excelente El 10% de los SOC que reportan un valor excelente de la IA no necesariamente utilizan herramientas puntuales diferentes; han implementado la IA dentro de una estructura arquitectónica fundamentalmente diferente. Tres distinciones clave los diferencian del 71% que reporta un valor mínimo: 1. **IA Operando a Través del Ciclo de Vida del SOC**: Estos SOC implementan IA que abarca todo el ciclo de vida (inteligencia de amenazas, caza de amenazas, detección, investigación y remediación), tratándolos como etapas interconectadas de un único flujo de trabajo. Cuando los agentes comparten contexto en las cinco etapas, la efectividad del SOC se multiplica. Cada investigación cerrada refina la siguiente detección, cada resultado de caza de amenazas actualiza el ciclo de inteligencia y cada remediación informa los playbooks futuros. Este tejido conectado es crucial para un valor sostenido, en contraste con las organizaciones que simplemente apilan características de IA aisladas. 2. **IA Basada en el Entorno Dinámico**: La IA genérica produce investigaciones genéricas. Lo "normal" varía significativamente entre un entorno de atención médica y uno de fintech. Una regla de detección efectiva en un contexto podría generar falsos positivos en otro, y una ruta de investigación podría pasar por alto matices críticos sin conocimiento ambiental específico. Los SOC de alto valor utilizan sistemas de IA que capturan y retienen el conocimiento institucional: activos críticos, juicio del analista de incidentes pasados, acciones sancionadas, criterios de escalada y los resultados de tickets anteriores. Sin esta base, la IA en el SOC recurre a promedios de Internet, que a menudo son irrelevantes para entornos específicos. 3. **IA Gobernable**: El **SOC-CMM 2026 Maturity Report** identifica la gobernanza efectiva del SOC como el área más desafiante para mejorar (39% de los encuestados). La gobernanza de la IA y la gobernanza del SOC están intrínsecamente vinculadas. Los SOC agenticos más exitosos operan dentro de las directrices definidas por el cliente, proporcionan rastros de razonamiento defendibles para cada acción y obtienen autonomía de forma incremental en lugar de exigirla por adelantado. La IA en el SOC no puede ser una caja negra. Los SOC que han dominado esto fomentan la confianza del analista, que es esencial para otorgar autoridad permanente al sistema de IA y lograr ganancias significativas de productividad. ## El Problema Arquitectónico, en Términos Sencillos La mayoría de las empresas que luchan por extraer valor de la IA en el SOC están ejecutando soluciones de IA puntuales dentro de una arquitectura fragmentada. El problema central es que incluso la IA puntual más avanzada no puede solucionar una arquitectura fundamentalmente rota. Si el equipo de ingeniería de detección de un SOC opera en una herramienta diferente a la de su equipo de investigación, la IA en cualquiera de las herramientas solo acelerará la porción de flujo de trabajo de ese equipo específico, sin hacer nada para mejorar la transferencia crítica entre ellos. Si los cazadores de amenazas no pueden probar hipótesis fácilmente utilizando la misma telemetría que los investigadores, la IA en cualquiera de los flujos de trabajo solo avanzará ese flujo de trabajo de forma aislada. Si los playbooks de remediación residen en una herramienta **SOAR** desconectada de las conclusiones del agente de investigación, la remediación de IA se ejecutará basándose en un contexto obsoleto. La solución es conectar estas etapas. Implementar más IA dentro de la misma arquitectura fragmentada solo agrava el problema original. Este tejido conectivo es la esencia de la "segunda ola" de IA en el SOC. La primera ola entregó IA *por etapa*; la segunda ola debe entregar IA *a través de etapas*. ## Cómo Debería Verse la Segunda Ola Las cinco etapas del SOC deben operar como un tejido agentico cohesivo, profundamente arraigado en el entorno único del cliente. Cada investigación cerrada debe calibrar la siguiente detección, cada resultado de caza de amenazas debe actualizar el siguiente ciclo de inteligencia y cada acción de remediación debe retroalimentar el playbook para los agentes subsiguientes. Esta interconexión permite que las capacidades del SOC se multipliquen. En la práctica, una plataforma construida de esta manera se situaría sobre e integraría la pila existente de **SIEM**, **EDR**, identidad, nube, ticketing e inteligencia de amenazas de una organización, en lugar de reemplazarlos. Esta capa conectiva es lo que permite que cada etapa informe a la siguiente, rompiendo los silos operativos. Donde existe tal arquitectura, los SOC reportan investigaciones más agudas y rápidas; detecciones que se presentan y ajustan eficazmente (en lugar de ser silenciosas o ruidosas); caza de amenazas continua; y remediación que opera dentro de directrices definidas, con rastros de razonamiento completos y registros de decisiones de grado de auditoría. La segunda ola de IA en el SOC debe ser arquitectónica, no meramente una agregación de características. Los proveedores y las plataformas que comprendan y ofrezcan este cambio fundamental liderarán la industria.