Splunk publica su informe “State of Security 2025” con un mensaje claro: el centro de operaciones de seguridad (SOC) tal como lo conocemos está al límite. Y necesita transformarse ya.
Los centros de operaciones de seguridad están desbordados. Lo están por las alertas, por la complejidad de las herramientas, por la falta de talento especializado y, sobre todo, por un modelo de trabajo que ha dejado de ser sostenible. Esa es la principal conclusión que deja el último informe de Splunk, State of Security 2025, basado en encuestas a más de 2.000 responsables de seguridad en todo el mundo.
El documento retrata una realidad preocupante: el SOC de muchas organizaciones sigue centrado en apagar fuegos, pero no en anticiparlos ni en responder con agilidad. Según los datos recogidos, el 46 % de los equipos pasa más tiempo configurando y manteniendo herramientas que investigando o respondiendo incidentes. El 59 % reconoce que el mantenimiento de tecnología es su principal foco de ineficiencia, y más de la mitad admite que sus soluciones no están bien integradas entre sí.
La sobrecarga de alertas sigue siendo uno de los grandes problemas. El 47 % de los encuestados lo señala como un obstáculo, y no es para menos: el 59 % dice tener demasiadas alertas y el 55 % apunta a un volumen excesivo de falsos positivos. Todo esto ralentiza la respuesta, genera fatiga en los analistas y, en última instancia, puede hacer que se pasen por alto amenazas reales.
A esto se suma la mala calidad o dispersión de los datos. Más de la mitad de los responsables de SOC (57 %) afirma haber perdido tiempo valioso durante una investigación por problemas relacionados con el acceso o la gestión de los datos.
La inteligencia artificial como palanca de cambio
Ante este escenario, Splunk plantea una evolución clara: un SOC más inteligente, más ágil y más automatizado. Y aquí, la inteligencia artificial juega un papel protagonista.
El 56 % de los responsables de seguridad asegura que la adopción de IA es una de sus prioridades este año, y el 59 % ya ha logrado mejoras de eficiencia gracias a su uso. La IA permite automatizar tareas repetitivas, generar contexto sobre las alertas y reducir la carga operativa. Especialmente prometedora es la IA generativa específica para ciberseguridad, que el 63 % de los encuestados valora como muy superior a las herramientas genéricas.
Detección como código: una práctica al alza
Otro de los conceptos clave que se destaca en el informe es la detección como código (Detection as Code), una metodología que permite automatizar, versionar y mejorar continuamente las reglas de detección de amenazas.
Aunque solo el 35 % de los SOC la utiliza de forma habitual, un 63 % quiere adoptarla en los próximos meses. Y no es casualidad: este enfoque permite ganar velocidad, reducir errores y adaptar las detecciones a cada entorno, algo fundamental en un momento en que los atacantes están sofisticando cada vez más sus técnicas.
Nada de lo anterior será posible sin personas. Y ahí está uno de los grandes cuellos de botella. La escasez de profesionales cualificados sigue siendo uno de los principales dolores de cabeza para los SOC: el 49 % dice que su equipo está infradotado en personal o en capacidades clave.
Las tres habilidades más necesarias —y más difíciles de encontrar— son ingeniería de detección, DevSecOps y gestión del cumplimiento. La presión regulatoria y la necesidad de automatizar detecciones hacen que estas competencias sean críticas… pero escasas.
Del SOC aislado al SOC conectado
La fragmentación también pasa factura. El 78 % de los encuestados afirma que sus herramientas de seguridad están dispersas y mal conectadas. Esto se traduce en procesos ineficientes, cuellos de botella y pérdida de visibilidad. Los que han apostado por un enfoque más unificado —integrando SIEM, SOAR, XDR y otras capas— ya están viendo beneficios: tiempos de respuesta más rápidos, menos mantenimiento y mejor cobertura frente a amenazas.
Y no solo se trata de integrar herramientas: también se trata de conectar equipos. El SOC del futuro no será una isla. Colaborará con legal, con TI, con ingeniería y hasta con RRHH para responder mejor a los incidentes. Hoy sólo un 21 % de las organizaciones ve al SOC como una función transversal. Pero esa cifra se duplica cuando se les pregunta cómo lo ven de cara al futuro.
Splunk cierra el informe con seis recomendaciones para empezar a construir ese SOC del futuro:
- Auditar y simplificar el arsenal de herramientas.
- Invertir en formación y atracción de talento.
- Usar IA para reducir falsos positivos y tareas repetitivas.
- Apostar por la detección como código.
- Trabajar con IA generativa específica del sector.
- Romper los silos y colaborar más allá del equipo de seguridad.
La conclusión es clara: el SOC no puede seguir funcionando como lo hacía hace cinco años. Si lo hace, perderá la partida frente a amenazas diseñadas para un mundo que ya ha cambiado.
