AWS ANS-C01: ¿sigue valiendo la pena la especialidad de Redes Avanzadas en 2026?
¿Quién realmente toma el ANS-C01, qué evalúa más allá de SAA y SAP, y el delta salarial que puedes esperar solo con SAP-C02.
El ANS-C01 es el examen de especialidad de AWS Advanced Networking. Cuesta $300 USD, tiene 65 preguntas, 170 minutos, y una puntuación de aprobación escalada de 750/1000. Es uno de los exámenes de AWS más difíciles del catálogo y uno de los menos realizados — en parte porque es muy específico, en parte porque la mayoría de los ingenieros de la nube pueden simular conocimientos profundos de redes lo suficiente como para aprobar el SAP-C02 sin siquiera presentarse al ANS.
La pregunta que me hacen una vez por trimestre: ¿sigue valiendo la pena tomarlo en 2026, ahora que la oferta de certificaciones incluye novedades como el AIP-C01 y el AWS Certified AI Practitioner? Respuesta honesta: depende enteramente de si tu trabajo involucra BGP, Transit Gateway o conectividad híbrida. Si lo hace, el ANS-C01 es la señal más clara que puedes poner en un currículum. Si no, ahórrate los $300.
Quién realmente toma este examen
En diez años trabajando con AWS, he conocido quizás a dos docenas de titulares del ANS-C01. Se agrupan en cuatro categorías:
- Ingenieros de red que se pasan a la nube. Con experiencia en Cisco / Juniper / Arista, CCNP o CCIE en su pasado, ahora responsables de conectar entornos on-premise a AWS a través de Direct Connect. El ANS-C01 es la credencial más clara para demostrar que no solo aprendieron algunos conceptos de VPC.
- Arquitectos de la nube en empresas reguladas. Bancos, empresas de telecomunicaciones, sanidad. Cualquier lugar con una topología de Transit Gateway de tipo hub-and-spoke, VPN IPsec, segmentación de red multi-cuenta y un equipo de seguridad con una opinión clara que exige experiencia documentada sobre el arquitecto de red.
- Consultoras de AWS Partner Network. La competencia en redes es un requisito de nivel de socio. Tener titulares de ANS-C01 en el personal es directamente facturable, y las consultoras a menudo reembolsan el examen más una bonificación.
- Empleados de AWS en roles de arquitectura de soluciones o TAM que deben apoyar las conversaciones de redes con los clientes y desean credibilidad interna.
Nótese quién no está en esa lista: ingenieros de startups SaaS, gente de devops, profesionales de plataformas ML. Si estás en una empresa SaaS de Serie B que ejecuta unas pocas VPC y un ALB, el ANS-C01 es excesivo. SAA-C03 más un repositorio de Terraform es una señal suficiente.
Qué evalúa más allá de SAA / SAP
El SAA-C03 evalúa si sabes qué es una VPC y si puedes elegir la topología de subred adecuada para una aplicación web multi-AZ. El SAP-C02 profundiza un nivel más — Transit Gateway vs. peering, diseño hub-and-spoke, DNS híbrido, servicios de borde como CloudFront y Global Accelerator. El ANS-C01 se sitúa un nivel por debajo del SAP y te pide que realmente entiendas los protocolos.
La guía del examen ANS-C01 actual se divide en cinco dominios:
| Dominio | Peso |
|---|---|
| Diseño de Red | 30% |
| Implementación de Red | 26% |
| Gestión y Operación de Red | 20% |
| Seguridad, Cumplimiento y Gobernanza de Red | 14% |
| (Híbrido + borde incluidos en lo anterior) | — |
Lo que realmente se evaluará, sin rodeos:
- BGP, en detalle. Atributos de ruta, AS-path prepending, comunidades, MED, preferencia local. Direct Connect utiliza BGP tanto para VIFs privados como públicos y el examen espera que razones sobre la selección de rutas.
- Direct Connect en todas sus variantes. Conexiones dedicadas vs. alojadas, LAG, VIFs públicos vs. privados vs. de tránsito, Direct Connect Gateway, cifrado MACsec en conexiones dedicadas de 10/100 Gbps.
- Transit Gateway a nivel de arquitecto. Tablas de rutas, adjuntos, propagación vs. rutas estáticas, peering interregional, soporte de multicast (sí, eso existe), adjuntos TGW Connect a dispositivos SD-WAN.
- VPN, incluyendo IPsec Site-to-Site, VPN acelerada, Client VPN, y el cálculo de la ejecución de túneles redundantes.
- DNS: Puntos de conexión de Route 53 Resolver de entrada/salida, DNS híbrido a AD local, políticas de enrutamiento de Route 53 incluyendo geoproximidad y flujo de tráfico.
- Borde y entrega de contenido: Conmutación por error de origen de CloudFront, Lambda@Edge vs. CloudFront Functions, Global Accelerator, integración con AWS WAF.
- Seguridad de red: Network Firewall, grupos de seguridad vs. NACLs a nivel de cable, duplicación de tráfico de VPC, Reachability Analyzer, IP Address Manager (IPAM).
El patrón de pregunta trampa: un escenario con un Direct Connect, un TGW, dos VPCs con CIDRs superpuestos, y una solicitud para alcanzar un servicio on-premise específico. Los candidatos de SAP-C02 improvisan; el ANS-C01 espera que sepas exactamente qué propagación de ruta, qué truco de NAT y qué regla de Resolver lo hace funcionar.
Delta salarial sobre SAP-C02 solamente
Esta es la parte que determina si los $300 son racionales. El planteamiento honesto:
- levels.fyi 2025-2026 no desglosa específicamente el ANS-C01, pero los roles de Ingeniero de Red Senior / Arquitecto de Red en la Nube en AWS, Google y Microsoft se agrupan alrededor de los $210k–$280k de compensación total en L5/L6, lo que es aproximadamente lo mismo que un SDE Senior al mismo nivel. El ANS-C01 es lo que te introduce en la trayectoria de arquitecto de red en lugar de la trayectoria genérica de la nube.
- U.S. BLS OEWS Mayo 2024, ocupación 15-1241 (Arquitectos de Redes Informáticas): mediana $130k, percentil 90 alrededor de $190k. Los arquitectos de red con un enfoque en la nube se sitúan en el extremo superior de esa distribución.
- Glassdoor / Built In para "AWS Network Engineer" o "Cloud Network Architect": $140k–$185k base en las principales áreas metropolitanas de EE. UU., con FAANG y finanzas impulsando cifras más altas.
Frente a un titular de SAP-C02 que realiza trabajo de arquitectura de nube general, el delta típico es de $10k–$25k de base para un rol de especialista en redes, y se acumula a nivel de staff porque hay menos personas calificadas para ocupar el puesto. La certificación no hace todo ese trabajo — lo hace el conocimiento de nicho. El ANS-C01 es simplemente la forma más económica de demostrar ese conocimiento de nicho a un reclutador.
Cuándo omitirlo
Omite el ANS-C01 si alguna de estas afirmaciones es cierta:
- Tu trabajo diario es arquitectura de aplicaciones, devops o ingeniería de plataformas y no te ocupas de la conectividad híbrida.
- Aún no has aprobado el SAP-C02. Hacer el ANS primero es un orden extraño — es más difícil, más específico, y los fundamentos del SAP-C02 hacen que la preparación para el ANS sea significativamente más rápida.
- No tienes experiencia práctica con Direct Connect o BGP y no planeas adquirirla. El ANS-C01 es el raro examen donde el conocimiento puramente teórico lucha contra las preguntas de escenario.
- La certificación no está en la lista de cualificaciones del próximo trabajo que considerarías.
Cuándo tomarlo
Tómalo si eres un ingeniero de redes que está pivotando hacia la nube y necesitas una credencial que no sea descartada como "solo SAA". Tómalo si trabajas en un AWS Partner y la competencia en redes es importante para tu nivel. Tómalo si ya te has especializado accidentalmente — has pasado los últimos dos años depurando la propagación de rutas de TGW y las comunidades BGP, y quieres una certificación que refleje lo que realmente haces todo el día.
Si te estás preparando, la lista de lectura es corta y fundamental: la guía oficial del examen ANS-C01, los whitepapers de redes de AWS (especialmente "Hybrid Connectivity" y "AWS Multi-Region Network Architecture"), y las sesiones de profundización en redes de re:Invent 2024-2025 en YouTube. Omite los paquetes de Udemy — la mayoría no se han actualizado para la revisión C01.
Cuando estés listo para practicar preguntas de escenario, explora el banco de preguntas de ANS-C01 en CertLabPro. Y si la selección de rutas BGP todavía te resulta confusa, arréglalo primero — el resto del examen lo da por sentado.