Cuánto cuesta un SOC en 2026: rangos de precio, modelos y guía de compra completa
Respuesta directa
Un SOC (Security Operations Center) en Brasil cuesta, en promedio, entre R$ 180 mil y R$ 600 mil por mes cuando se monta internamente — incluyendo un equipo 24x7 de 8 a 12 analistas, licencias de SIEM, EDR y SOAR, e infraestructura. En la modalidad tercerizada (SOC como servicio o MDR), las suscripciones varían de R$ 8 mil a R$ 120 mil mensuales según el porte de la empresa, los activos monitoreados y el nivel de respuesta contratado.
En resumen
- ›Un SOC propio 24x7 exige de 8 a 12 analistas y cuesta entre R$ 180 mil y R$ 600 mil/mes sumando personal, herramientas e infraestructura.
- ›El SOC como servicio (MDR) parte de R$ 8 mil/mes para pymes y puede llegar a R$ 120 mil/mes para grandes organizaciones con alcance amplio.
- ›El costo medio de un solo incidente de ransomware en Brasil supera R$ 3,5 millones (downtime + remediación + multas regulatorias), lo que vuelve positivo el ROI del SOC en pocas semanas.
- ›SIEM, EDR y SOAR representan del 35 al 50 % del costo total de un SOC propio; las licencias varían de R$ 15 mil a R$ 200 mil/mes según el volumen de eventos (EPS) y endpoints.
- ›La certificación y retención de analistas SOC son el mayor cuello de botella en el modelo interno: el turnover medio del sector es del 25 % anual, elevando los costos ocultos.
- ›El plazo típico para montar un SOC interno funcional es de 9 a 18 meses; un MDR puede estar operativo en 2 a 6 semanas.
Qué es un SOC y por qué el precio varía tanto
Un Security Operations Center (SOC) es la estructura responsable de monitorear, detectar, analizar y responder a amenazas cibernéticas en tiempo real. Combina personas (analistas en turnos), procesos (playbooks y SLA de respuesta) y tecnología (SIEM, EDR, SOAR, Threat Intelligence). Esa tríada explica por qué no existe un precio único: cada pilar tiene pesos diferentes según el modelo elegido.
En el modelo interno, la empresa tiene control total, pero asume todos los costos fijos — salarios, beneficios, capacitación, licencias e infraestructura. En el modelo tercerizado (también llamado MDR — Managed Detection and Response), el proveedor amortiza esos costos entre múltiples clientes, reduciendo drásticamente la inversión inicial. La elección entre ambos depende de la madurez, la regulación del sector y el apetito de riesgo.
Costo del SOC interno: qué entra en la cuenta
Para operar 24 horas al día, 7 días a la semana, un SOC interno necesita al menos 8 analistas (considerando turnos de 8 horas, descansos y vacaciones). Las organizaciones más maduras trabajan con 10 a 12 profesionales, incluyendo un SOC Manager y analistas de Nivel 1 (triaje), Nivel 2 (investigación) y Nivel 3 (respuesta a incidentes y threat hunting). En 2026, los salarios de mercado para esos perfiles en Brasil varían de R$ 6.000 (Analista N1 júnior) a R$ 25.000 mensuales (Analista N3 sénior / Threat Hunter), generando una nómina de R$ 80 mil a R$ 200 mil mensuales — sin cargas, que agregan del 70 al 80 % sobre la CLT.
Además del equipo, el SOC propio necesita herramientas. Un SIEM corporativo (Microsoft Sentinel, Splunk, IBM QRadar) cuesta de R$ 15 mil a R$ 120 mil/mes según el volumen de logs ingeridos. Las plataformas de EDR (CrowdStrike, SentinelOne, Defender for Endpoint) suman R$ 80 a R$ 250 por endpoint/año. Las soluciones de SOAR (Palo Alto XSOAR, Splunk SOAR) agregan R$ 10 mil a R$ 60 mil/mes. Los feeds de Threat Intelligence (VirusTotal Enterprise, Recorded Future) cuestan de R$ 15 mil a R$ 80 mil/año. La infraestructura de red, VPN, almacenamiento de logs y NOC físico representan otros R$ 15 mil a R$ 60 mil/mes, según la escala.
¿No sabes por dónde empezar? Haz el diagnóstico gratuito de Decripte y descubre en minutos qué modelo de SOC tiene sentido para el tamaño y el riesgo de tu negocio.
Sin tarjeta, sin compromiso. Descubre en minutos qué ya se filtró de tu empresa y cuál es tu riesgo real.
SOC como servicio y MDR: rangos de precio por porte
En la modalidad tercerizada, el precio casi siempre es un contrato de suscripción mensual basado en el número de endpoints monitoreados, el volumen de eventos por segundo (EPS) y el alcance de respuesta. La tabla a continuación resume los rangos típicos en el mercado brasileño en 2026.
| Porte de la empresa | Endpoints monitoreados | Rango mensual (MDR/SOC as a Service) | SOC interno estimado/mes | |---|---|---|---| | Pyme (hasta 100 endpoints) | hasta 100 | R$ 8.000 – R$ 20.000 | Inviable económicamente | | Mediano porte (100–500 endpoints) | 100–500 | R$ 20.000 – R$ 55.000 | R$ 200.000 – R$ 350.000 | | Gran empresa (500–2.000 endpoints) | 500–2.000 | R$ 55.000 – R$ 120.000 | R$ 300.000 – R$ 500.000 | | Corporativo / Regulado (2.000+ endpoints) | 2.000+ | R$ 100.000 – R$ 200.000+ | R$ 450.000 – R$ 800.000+ | Los rangos del SOC tercerizado incluyen monitoreo 24x7, análisis de alertas, informes mensuales y, en los planes más completos, respuesta activa con aislamiento de endpoints y contención de incidentes. Los costos de implementación (onboarding, integración de fuentes de log, ajuste de playbooks) suelen cobrarse aparte, entre R$ 15 mil y R$ 80 mil.
Vale observar que los sectores regulados — bancos (Bacen Res. 4.893), operadoras de salud (ANS) y empresas con datos personales en gran volumen (LGPD con ROPD) — frecuentemente exigen cláusulas contractuales adicionales sobre localización de datos, SLA de notificación e informes de conformidad, lo que eleva el ticket del MDR en un 15 a 30 %.
Factores que más impactan el precio final
Además del porte, cinco variables cambian significativamente el presupuesto de cualquier SOC. Primera: el volumen de logs y EPS (eventos por segundo). Los entornos con muchos sistemas heredados, OT/ICS o múltiples nubes generan volúmenes de log exponencialmente mayores, encareciendo cualquier SIEM. Segunda: el nivel de respuesta contratado. El monitoreo pasivo (alertas e informes) cuesta menos que la respuesta activa con SLA de contención en menos de 1 hora.
Tercera: la cobertura de la superficie de ataque. Incluir endpoints de OT, cloud workloads, aplicaciones web, correo corporativo e identidad (ITDR) aumenta el alcance — y el costo. Cuarta: los requisitos de retención de logs. Regulaciones como LGPD, PCI-DSS e ISO 27001 exigen retención de 12 a 36 meses; cada terabyte adicional de almacenamiento agrega costo. Quinta: la integración con herramientas existentes. Los entornos con herramientas heterogéneas (mezcla de Microsoft, Google Workspace, SaaS externos, firewall de múltiples fabricantes) demandan más horas de integración y conectores personalizados.
Sin tarjeta, sin compromiso — entiende tu riesgo real antes de invertir.
Sin tarjeta, sin compromiso. Descubre en minutos qué ya se filtró de tu empresa y cuál es tu riesgo real.
ROI y el costo de no tener un SOC
Calcular el retorno de la inversión de un SOC empieza por los números del lado del riesgo. Según datos del mercado brasileño y del informe Cost of a Data Breach (IBM, 2024), el costo medio de un incidente de seguridad grave en Brasil supera R$ 3,5 millones cuando se suman downtime operativo, respuesta forense, notificaciones legales, multas regulatorias y daños reputacionales. Los ataques de ransomware contra empresas de mediano porte tienen un costo medio de parada que varía de R$ 50 mil a R$ 300 mil por día.
Dos indicadores son centrales para justificar el SOC internamente: el MTTD (Mean Time To Detect — tiempo medio para detectar un incidente) y el MTTR (Mean Time To Respond — tiempo medio para contenerlo). Sin SOC, el MTTD medio en Brasil supera los 190 días; con un SOC maduro, cae a menos de 24 horas. Cada día menos de exposición reduce directamente el costo del incidente. Un SOC que cuesta R$ 40 mil/mes y evita o limita un solo incidente de R$ 1 millón ya paga más de dos años de operación.
Errores más comunes al contratar un SOC
El error más frecuente es elegir al proveedor por el menor precio sin evaluar el SLA real de respuesta. Los contratos que prometen 'monitoreo 24x7' pero entregan solo alertas por correo en horario comercial no son un SOC — son un NOC. Exija SLA con penalidades contractuales para MTTD y MTTR, y valide si el contrato incluye respuesta activa o solo notificación pasiva.
Otros errores críticos: no integrar todas las fuentes de log relevantes (dejando puntos ciegos en nube, correo y endpoints móviles); no definir un proceso claro de escalamiento para incidentes críticos; contratar MDR sin realizar un assessment previo para entender la superficie de ataque real; y descuidar la revisión trimestral de playbooks, que quedan obsoletos en promedio en 6 meses. En el modelo interno, subestimar el costo de retención de talentos y la necesidad de capacitaciones continuas (certificaciones como GCIA, GCIH, eCIR) es el principal factor de fracaso.
Términos clave
- SOC (Security Operations Center)
- Centro de operaciones de seguridad responsable de monitorear, detectar, analizar y responder a amenazas cibernéticas de forma continua, combinando equipo especializado, procesos documentados y herramientas de seguridad integradas.
- MDR (Managed Detection and Response)
- Modalidad de SOC tercerizado en la que un proveedor especializado ofrece monitoreo 24x7, análisis de amenazas y respuesta activa como servicio por suscripción mensual, eliminando la necesidad de montar infraestructura interna.
- SIEM (Security Information and Event Management)
- Plataforma que recolecta, correlaciona y analiza logs y eventos de seguridad de múltiples fuentes en tiempo real, generando alertas e informes que sustentan las operaciones del SOC.
- MTTD / MTTR
- Mean Time To Detect (tiempo medio para detectar un incidente) y Mean Time To Respond (tiempo medio para contenerlo). Son los principales KPI de eficiencia de un SOC; cuanto menores, menor el costo financiero de los incidentes.
Cómo decidir y contratar bien
- Paso 1 — Mapea tu superficie de ataque: enumera todos los activos críticos (endpoints, servidores, nube, OT, correo), el volumen de logs generado y los requisitos regulatorios de tu sector antes de cualquier conversación con proveedores.
- Paso 2 — Define el modelo: evalúa internamente si tu empresa tiene la madurez, el presupuesto y la capacidad de retención de talentos para un SOC propio o si el MDR es más adecuado — para la mayoría de las pymes y empresas de mediano porte, el MDR ofrece mejor relación costo-beneficio.
- Paso 3 — Establece SLA innegociables: exige un SLA de MTTD máximo (sugerido: 1 hora para incidentes críticos) y MTTR máximo (sugerido: 4 horas para contención inicial), con penalidades contractuales claras en caso de incumplimiento.
- Paso 4 — Valida la cobertura técnica: confirma que el proveedor integre todas tus fuentes de log — no solo endpoints Windows, sino también workloads en la nube (AWS/Azure/GCP), SaaS, firewalls e identidad (Active Directory / Entra ID).
- Paso 5 — Solicita prueba de concepto (PoC): pide al menos 30 días de PoC monitoreada con informes de alertas reales antes de firmar un contrato de largo plazo; evalúa la calidad de los análisis y el nivel de contexto proporcionado.
- Paso 6 — Evalúa el modelo de respuesta: entiende si el contrato incluye solo detección y notificación o también respuesta activa (aislamiento de endpoint, revocación de credenciales, contención de red); la diferencia de costo es significativa, pero también lo es la diferencia de protección real.
- Paso 7 — Garantiza la revisión continua: incluye en el contrato o plan interno revisiones trimestrales de playbooks, informes mensuales de cobertura y pruebas de simulación (tabletop exercises o purple team) al menos semestralmente.
Preguntas frecuentes
¿Vale la pena montar un SOC interno o contratar un servicio tercerizado?
Para la mayoría de las empresas con menos de 2.000 endpoints, el MDR (SOC tercerizado) ofrece mejor relación costo-beneficio. Montar un SOC interno exige una inversión inicial de R$ 200 mil a R$ 600 mil mensuales, un plazo de 9 a 18 meses para su maduración y un alto riesgo de turnover del equipo. El SOC propio tiene sentido para grandes corporaciones con requisitos regulatorios muy específicos, datos ultrasensibles que no pueden salir del entorno o que ya poseen una madurez de seguridad elevada.
¿Cuál es el precio mínimo de un SOC como servicio en Brasil?
Para pymes con hasta 100 endpoints y alcance básico (monitoreo de EDR + firewall + correo), es posible encontrar servicios de MDR a partir de R$ 8.000 a R$ 12.000 mensuales. Por debajo de ese valor, desconfía: probablemente se trate solo de monitoreo pasivo sin respuesta real. El costo de onboarding e integración inicial suele cobrarse por separado, variando de R$ 10 mil a R$ 40 mil.
¿Cuántos analistas se necesitan para un SOC 24x7?
Para cubrir tres turnos de 8 horas, 7 días a la semana (incluyendo fines de semana y feriados), el mínimo operativo es 8 analistas. Sumando ausencias, vacaciones y rotación, el número ideal queda entre 10 y 12 profesionales para un SOC de Nivel 1 y 2. Para incluir Nivel 3 (threat hunting y respuesta avanzada), agrega de 2 a 4 especialistas seniores.
¿Qué debe estar en el SLA de un contrato de SOC?
Los ítems esenciales son: MTTD máximo por criticidad de alerta (ej.: 15 min para crítico, 1 h para alto, 4 h para medio), MTTR máximo para contención inicial, disponibilidad mínima de la plataforma (generalmente 99,5 % o superior), frecuencia y formato de los informes, proceso de escalamiento para incidentes P1, cobertura de fuentes de log y responsabilidades de cada parte en la respuesta a incidentes.
¿El SOC protege contra ataques de ransomware?
Un SOC eficiente reduce significativamente el impacto del ransomware al detectar comportamientos anómalos en las fases iniciales del ataque (acceso inicial, movimiento lateral, exfiltración) antes de la ejecución del payload. Estudios muestran que los SOC con MTTD inferior a 24 horas reducen el costo medio de los incidentes hasta en un 40 %. Sin embargo, el SOC no sustituye a los controles preventivos como el patching, la MFA y los backups inmutables.
¿Qué certificaciones debo exigir a un proveedor de SOC?
Las principales certificaciones que validan la madurez de un proveedor son: ISO 27001 (gestión de seguridad de la información), SOC 2 Tipo II (controles de seguridad y disponibilidad auditados externamente) y, para sectores financieros, conformidad con la Resolución BCB 4.893. Asegúrate también de que los analistas posean certificaciones individuales como CompTIA CySA+, GCIA (GIAC), GCIH o equivalentes reconocidos por el mercado.
Referencias
Cómo lo resuelve Decripte
Del diagnóstico gratuito al servicio gestionado — elige el punto de entrada correcto.
¿No sabes por dónde empezar? Haz el diagnóstico gratuito de Decripte y descubre en minutos qué modelo de SOC tiene sentido para el tamaño y el riesgo de tu negocio.
Empieza gratis con la Gestión de Amenazas y descubre qué ya está expuesto. Evoluciona a los planes gestionados cuando tenga sentido — sin montar un equipo interno.
