CERT vs CSIRT vs SOC: Funciones, Diferencias y Complementariedad

Por qué importa distinguir entre CERT, CSIRT y SOC

Cuando ocurre un incidente de ciberseguridad, la respuesta no depende de un solo equipo. Intervienen centros de operaciones que monitorizan, equipos que responden y coordinan, y organismos nacionales que articulan la defensa colectiva. Cada uno tiene un nombre, un alcance y unas funciones específicas.

El problema es que la terminología se usa de forma imprecisa. Un CERT no es exactamente lo mismo que un CSIRT, aunque muchos los tratan como sinónimos. Un SOC no sustituye a un CSIRT, aunque comparten personal y herramientas. Un ISAC cumple un rol distinto a los tres anteriores.

Este artículo aclara cada concepto, explica cómo se relacionan y proporciona un marco para entender el ecosistema completo de respuesta a incidentes.

Origen histórico: del Morris Worm al ecosistema actual

El 2 de noviembre de 1988, Robert Tappan Morris lanzó un programa que se propagó por ARPANET e infectó aproximadamente 6.000 máquinas (el 10% de Internet en ese momento). No existía ningún mecanismo coordinado de respuesta. Cada administrador de sistemas resolvió el problema por su cuenta, sin compartir información ni coordinar acciones.

La respuesta al Morris Worm evidenció un vacío institucional. DARPA (Defense Advanced Research Projects Agency) creó el CERT/CC (CERT Coordination Center) en la Carnegie Mellon University en noviembre de 1988, apenas dos semanas después del incidente. Su misión: coordinar la respuesta a incidentes de seguridad informática a nivel nacional en Estados Unidos.

CERT se convirtió en una marca registrada de Carnegie Mellon. Cuando otros países y organizaciones crearon sus propios equipos de respuesta, necesitaron un término genérico. Así nació CSIRT (Computer Security Incident Response Team), adoptado por ENISA y FIRST como denominación estándar.

Cronología clave:

• 1988: Morris Worm. Creación del CERT/CC en Carnegie Mellon.
• 1990: Primeros CERTs nacionales en Europa (SURFnet-CERT en Países Bajos, DFN-CERT en Alemania).
• 1990: Fundación de FIRST (Forum of Incident Response and Security Teams) con 11 equipos.
• 1997: RFC 2350 define cómo describir un CSIRT de forma estandarizada.
• 2004: ENISA (European Union Agency for Cybersecurity) empieza a coordinar CSIRTs europeos.
• 2016: Directiva NIS establece la obligación de CSIRTs nacionales en la UE.
• 2023: NIS2 amplía el alcance y los requisitos.

Definiciones: CERT, CSIRT, CIRT, SOC, SIRT e ISAC

CERT (Computer Emergency Response Team)

Término original acuñado por Carnegie Mellon. Marca registrada del Software Engineering Institute (SEI). En sentido estricto, solo el CERT/CC de Carnegie Mellon debería llamarse CERT. En la práctica, muchos equipos nacionales usan el término (CCN-CERT, INCIBE-CERT, CERT-EU) bajo licencia o por convención histórica.

CSIRT (Computer Security Incident Response Team)

Término genérico preferido por ENISA, FIRST y la comunidad internacional. Funcionalmente equivalente a CERT. No tiene restricciones de marca. Es el término que deberías usar por defecto cuando hables de equipos de respuesta a incidentes.

CIRT (Computer Incident Response Team)

Variante menos frecuente de CSIRT. Mismo concepto, distinto acrónimo. Algunas organizaciones lo usan internamente.

SOC (Security Operations Center)

Centro de operaciones de seguridad. Su función principal es la monitorización continua (24/7 en la mayoría de los casos), la detección de amenazas y el escalado de alertas. Un SOC no gestiona el incidente completo; detecta, clasifica (triage) y escala al equipo de respuesta.

SIRT (Security Incident Response Team)

Otro sinónimo de CSIRT, usado por algunas empresas privadas (Oracle SIRT, por ejemplo). Sin diferencia funcional.

ISAC (Information Sharing and Analysis Center)

Centro sectorial de intercambio de información sobre amenazas. No gestiona incidentes directamente; facilita que organizaciones del mismo sector compartan inteligencia sobre amenazas. Ejemplos: FS-ISAC (financiero), H-ISAC (salud), E-ISAC (energía).

Tabla comparativa: CERT vs CSIRT vs SOC vs ISAC

Dimensión	CERT/CSIRT	SOC	ISAC
Misión principal	Gestionar y coordinar la respuesta a incidentes	Monitorizar, detectar y escalar amenazas en tiempo real	Compartir inteligencia de amenazas entre organizaciones del mismo sector
Alcance	Un constituency definido (país, sector, organización)	Los activos y redes de una organización concreta	Un sector industrial completo
Actividades core	Incident handling, coordinación, alertas, análisis forense	Monitorización SIEM/SOAR, triage de alertas, hunting	Recopilación, análisis y distribución de threat intelligence
Personal típico	Incident handlers, analistas forenses, coordinadores	Analistas N1/N2/N3, ingenieros de detección	Analistas de inteligencia, gestores de relaciones
Horario	Según modelo (algunos 24/7, muchos en horario laboral con guardia)	24/7/365 (obligatorio en la mayoría de los casos)	Horario laboral (con alertas urgentes fuera de horario)
Entregables	Advisories, alertas, informes de incidentes, playbooks	Alertas escaladas, informes de turno, métricas de detección	Boletines sectoriales, indicadores compartidos, análisis de tendencias
Relación con el incidente	Gestiona el ciclo completo (contención, erradicación, recuperación)	Detecta y escala; puede ejecutar contención inicial	No gestiona incidentes; proporciona contexto para la respuesta
Marco regulatorio	NIS2 obliga a CSIRTs nacionales en cada Estado miembro UE	Sin obligación regulatoria específica (pero implícito en ENS, NIS2)	Voluntario en la mayoría de los sectores

Funciones de un CSIRT

ENISA y FIRST clasifican las funciones de un CSIRT en tres categorías. No todos los CSIRTs implementan todas las funciones; depende de su madurez, recursos y constituency.

Funciones reactivas

Son la razón de existir de un CSIRT. Responden a incidentes que ya han ocurrido.

• Incident handling: recepción, triage, análisis, coordinación y cierre de incidentes. El proceso NIST (SP 800-61) define cuatro fases: preparación, detección y análisis, contención/erradicación/recuperación, y actividad post-incidente.
• Alertas y avisos: distribución de información sobre vulnerabilidades y amenazas activas al constituency.
• Análisis de vulnerabilidades: evaluación del impacto de vulnerabilidades nuevas en los sistemas del constituency.
• Análisis de artefactos: análisis técnico de malware, exploits y otros artefactos relacionados con incidentes.

Funciones proactivas

Anticipan incidentes antes de que ocurran. Requieren mayor madurez.

• Threat hunting: búsqueda activa de indicadores de compromiso y comportamientos anómalos en los sistemas del constituency.
• Gestión de vulnerabilidades: escaneo, priorización y seguimiento de la remediación de vulnerabilidades.
• Auditoría y evaluaciones de seguridad: pentesting, red teaming, revisión de configuraciones.
• Inteligencia de amenazas: recopilación, análisis y distribución de CTI relevante para el constituency.
• Desarrollo de herramientas: creación de utilidades internas para detección y respuesta.

Funciones de calidad

Mejoran la postura de seguridad a largo plazo.

• Formación y concienciación: programas de training para el constituency (desde phishing awareness hasta respuesta a incidentes).
• Ejercicios y simulacros: cyber exercises, tabletop exercises, red/blue team exercises.
• Consultoría de seguridad: asesoramiento en arquitectura, políticas y procedimientos.
• Gestión del conocimiento: mantenimiento de bases de conocimiento, playbooks y lecciones aprendidas.

Modelos organizativos

Un CSIRT puede adoptar diferentes modelos según su constituency y dependencia organizativa.

CSIRT interno (corporativo)

Pertenece a una organización y protege exclusivamente sus activos. Es el modelo más común en empresas grandes y entidades reguladas. Ventaja: conocimiento profundo del entorno. Limitación: coste elevado de personal especializado 24/7.

CSIRT sectorial

Sirve a un sector industrial completo (financiero, energía, salud, telecomunicaciones). Ejemplos: CERTSI (sector industrial en España, ahora integrado en INCIBE-CERT), FS-CERT (sector financiero). Ventaja: inteligencia compartida entre organizaciones del sector. Limitación: equilibrar la confidencialidad de cada miembro con el valor del intercambio.

CSIRT nacional

Designado por un Estado para coordinar la respuesta a incidentes a nivel país. En España: CCN-CERT (administración pública), INCIBE-CERT (ciudadanos y empresas), ESPDEF-CERT (defensa). NIS2 obliga a cada Estado miembro de la UE a tener al menos un CSIRT nacional. Ventaja: visión transversal del panorama de amenazas nacional. Limitación: no puede intervenir en sistemas privados sin solicitud.

CSIRT de coordinación

Coordina entre otros CSIRTs sin gestionar incidentes directamente. CERT/CC (Carnegie Mellon) y CERT-EU son ejemplos. Su valor está en la visión global y la capacidad de conectar a los equipos adecuados durante incidentes transfronterizos.

RFC 2350: la tarjeta de presentación de un CSIRT

El RFC 2350 (publicado en 1998, vigente con actualizaciones) define un template estándar para que cada CSIRT publique información sobre sí mismo. Es el equivalente a una tarjeta de presentación estandarizada.

Secciones que debe incluir un documento RFC 2350:

Sección	Contenido
Información del documento	Fecha, versión, canal de distribución
Información de contacto	Nombre del equipo, dirección, teléfono, email, horario, clave PGP
Charter	Misión, constituency (a quién sirve), autoridad (nivel de intervención)
Políticas	Tipos de incidentes que gestiona, nivel de cooperación, comunicación y divulgación
Servicios	Funciones reactivas, proactivas y de calidad que ofrece
Formularios de reporte	Cómo reportar un incidente al CSIRT

Cualquier CSIRT que quiera ser reconocido por FIRST debe publicar su RFC 2350. Es un requisito de transparencia: el constituency sabe exactamente qué esperar del equipo.

Ejemplo real: el CCN-CERT publica su RFC 2350 en su web, donde define que su constituency es la Administración General del Estado y que su nivel de autoridad es de coordinación (recomienda, no ordena, excepto en incidentes de nivel crítico).

Clasificación FIRST y ENISA: tipos de CSIRT

FIRST (Forum of Incident Response and Security Teams) y ENISA mantienen taxonomías complementarias para clasificar CSIRTs.

Por constituency

• Nacional: sirve a todo un país. Designado formalmente por el gobierno. Obligatorio bajo NIS2.
• Sectorial: sirve a un sector industrial (finanzas, energía, telecomunicaciones, transporte).
• Corporativo: sirve a una organización específica (banco, empresa tecnológica, universidad).
• Vendor/producto: gestionado por un fabricante de software/hardware para gestionar vulnerabilidades de sus productos (PSIRT: Product Security Incident Response Team).
• Académico/investigación: asociado a universidades o redes de investigación (RedIRIS-CERT en España, DFN-CERT en Alemania).
• Militar/defensa: ESPDEF-CERT en España, US-CERT/CISA en Estados Unidos.

Por modelo de servicio (ENISA)

ENISA clasifica también por el nivel de servicio:

• Full-service CSIRT: ofrece funciones reactivas, proactivas y de calidad. Personal dedicado. Es el modelo objetivo para CSIRTs nacionales bajo NIS2.
• Coordination center: coordina entre CSIRTs, no gestiona incidentes directamente.
• Análisis y alerta temprana: se centra en monitorización y avisos, sin gestión operativa de incidentes.

FIRST cuenta con más de 700 equipos miembros en 2026, distribuidos en más de 100 países. La membresía requiere un proceso de sponsorship y revisión que verifica capacidad operativa real.

Cómo se complementan: SOC, CSIRT y CERT nacional

Estos tres elementos no compiten; forman una cadena de detección, respuesta y coordinación.

Flujo típico ante un incidente:

[1] SOC detecta anomalía
    → Triage N1: ¿falso positivo? → Descarta
    → Triage N2: incidente confirmado → Escala

[2] CSIRT corporativo recibe el escalado
    → Contención: aísla sistemas afectados
    → Análisis: determina alcance, vector, impacto
    → Erradicación: elimina la amenaza
    → Recuperación: restaura servicios

[3] Si el incidente afecta a infraestructura crítica o datos personales
    → Notificación al CSIRT nacional (obligatorio bajo NIS2)
    → CSIRT nacional coordina con otros CSIRTs si es transfronterizo
    → Reporte a autoridad competente (AEPD si hay brecha de datos)

[4] CERT nacional / CERT-EU
    → Emite alerta si la amenaza afecta a más organizaciones
    → Coordina respuesta a nivel nacional/europeo
    → Comparte IOCs con la red de CSIRTs (CSIRTs Network)

En organizaciones pequeñas que no pueden mantener un SOC y un CSIRT separados, el mismo equipo realiza ambas funciones. Lo importante no es la estructura organizativa, sino que las capacidades estén cubiertas: alguien monitoriza, alguien responde, alguien coordina.

Interacción en la práctica

Escenario	SOC	CSIRT corporativo	CSIRT nacional
Alerta de phishing aislada	Detecta, clasifica, resuelve	No interviene	No interviene
Ransomware en un servidor	Detecta, escala	Lidera respuesta y recovery	Notificación si entidad esencial (NIS2)
Campaña APT contra el sector	Detecta IOCs iniciales	Gestiona contención local	Coordina respuesta sectorial, comparte IOCs
Vulnerabilidad zero-day activa	Monitoriza explotación	Aplica mitigaciones	Emite advisory nacional

Madurez de un CSIRT: el modelo SIM3

El SIM3 (Security Incident Management Maturity Model) es el estándar de facto para medir la madurez de un CSIRT. Desarrollado por Open CSIRT Foundation (OCF) y adoptado por ENISA como referencia para evaluar CSIRTs nacionales bajo NIS2.

SIM3 evalúa cuatro dimensiones:

Dimensión	Qué mide	Ejemplos de indicadores
Organización	Estructura, governance, financiación	¿Tiene mandate formal? ¿Presupuesto dedicado? ¿Reporting a dirección?
Recursos humanos	Personal, formación, retención	¿Personal dedicado o compartido? ¿Plan de formación? ¿Rotación controlada?
Herramientas	Tecnología y procesos	¿Tiene ticketing de incidentes? ¿Comunicaciones cifradas? ¿Plataforma de threat intel?
Procesos	Procedimientos documentados	¿Tiene playbooks? ¿Clasifica incidentes? ¿Mide tiempos de respuesta?

Cada indicador se evalúa en una escala de 0 a 4:

• 0: no existe.
• 1: existe de forma ad hoc (no documentado).
• 2: documentado y seguido parcialmente.
• 3: documentado, seguido y medido.
• 4: documentado, medido y mejorado continuamente (ciclo PDCA).

ENISA recomienda que los CSIRTs nacionales bajo NIS2 alcancen al menos nivel 3 en todas las dimensiones. El SIM3 Assessment se realiza mediante auto-evaluación guiada o auditoría externa por un auditor certificado OCF.

Por dónde empezar: checklist para construir un CSIRT

Si tu organización necesita crear capacidad de respuesta a incidentes (por obligación regulatoria o por necesidad operativa), esta es una hoja de ruta pragmática:

Fase 1: Fundamentos (meses 1-3)

• Definir el constituency: ¿a quién sirve el CSIRT? (toda la organización, un sector, una red concreta).
• Obtener mandate formal de la dirección (sin apoyo ejecutivo, el CSIRT fracasará).
• Designar un responsable (CSIRT manager) y al menos 2 incident handlers.
• Establecer canal de comunicación cifrado (PGP/S-MIME para email, canal seguro para urgencias).
• Publicar documento RFC 2350 (aunque sea interno inicialmente).
• Definir taxonomía de incidentes (ENISA Reference Incident Classification Taxonomy es un buen punto de partida).

Fase 2: Operación básica (meses 3-6)

• Implementar sistema de ticketing de incidentes (RTIR, TheHive, o incluso Jira con workflow adaptado).
• Crear playbooks para los 5 tipos de incidentes más frecuentes (phishing, malware, brute force, DDoS, data breach).
• Establecer contacto con el CSIRT nacional (en España: INCIBE-CERT para empresas, CCN-CERT para administración pública).
• Solicitar membresía en FIRST o en la red de CSIRTs de TF-CSIRT (Trusted Introducer).
• Definir SLAs: tiempo máximo de triage, tiempo de contención, tiempo de comunicación al constituency.

Fase 3: Madurez (meses 6-12)

• Realizar primer ejercicio de respuesta a incidentes (tabletop exercise).
• Implementar métricas: MTTD (Mean Time to Detect), MTTR (Mean Time to Respond), MTTC (Mean Time to Contain).
• Realizar auto-evaluación SIM3 para identificar gaps.
• Integrar feeds de threat intelligence para enriquecer la detección.
• Establecer proceso de lecciones aprendidas (post-incident review) para cada incidente significativo.

Fase 4: Excelencia (12+ meses)

• Capacidad de threat hunting proactivo.
• Participación en cyber exercises nacionales/europeos (Cyber Europe de ENISA, Locked Shields de CCDCOE).
• Compartir inteligencia con la comunidad (MISP, feeds propios).
• Publicar advisories y alertas para el constituency.
• Revisión SIM3 formal (auditoría externa OCF).

Recursos y referencias

Documentos de referencia

Recurso	Descripción
RFC 2350	Template para describir un CSIRT
NIST SP 800-61 Rev. 2	Computer Security Incident Handling Guide
ENISA CSIRT Maturity	Framework de madurez para CSIRTs europeos
SIM3 (Open CSIRT Foundation)	Security Incident Management Maturity Model
FIRST CSIRT Framework	Services Framework v2.1
Directiva NIS2	Requisitos de CSIRTs nacionales en la UE

Organizaciones clave

Organización	Rol
FIRST	Foro global de CSIRTs. 700+ miembros. Estándares, formación, conferencias.
ENISA	Agencia de ciberseguridad de la UE. Coordina CSIRTs europeos. Define marcos de madurez.
TF-CSIRT (Trusted Introducer)	Red de confianza de CSIRTs europeos. Proceso de acreditación.
CERT/CC (Carnegie Mellon)	CSIRT de coordinación original. Investigación en vulnerabilidades.
INCIBE-CERT	CSIRT de referencia en España para ciudadanos y empresas.
CCN-CERT	CSIRT de la Administración General del Estado en España.

Relación con MalwareIntel

Los IOCs, TTPs y análisis de familias de malware que proporciona MalwareIntel son exactamente el tipo de inteligencia que un CSIRT consume para mejorar su capacidad de detección y respuesta. Cuando un CSIRT recibe un reporte de ransomware LockBit, necesita los IOCs asociados (hashes, IPs de C2, dominios) y las TTPs documentadas (técnicas MITRE ATT&CK) para verificar si la amenaza ha impactado a su constituency. Esa es la intersección entre threat intelligence y respuesta a incidentes.