Especialidad en Seguridad de AWS (SCS-C03): qué tan difícil, cómo estudiar
SCS-C03 es una de las especialidades de AWS más difíciles. Aquí te explicamos qué evalúa realmente, cuánto tiempo debes dedicar y los temas que la mayoría de los candidatos subestiman.
SCS-C03 es más difícil de lo que la mayoría de la gente espera. No es difícil a nivel de Profesional, pero sí más que el de Arquitecto Asociado, y el modo de fallo es diferente: los candidatos no fallan porque las preguntas sean capciosas, sino porque los temas son más profundos de lo que se prepararon. Políticas de clave KMS, lógica de condiciones IAM, hallazgos de GuardDuty, detección de amenazas en múltiples cuentas: estos no son temas superficiales. El examen quiere que operes, no solo que describas.
Si has tomado SAA-C03 y pensaste "Conozco la seguridad de AWS", la Especialidad te recalibrará rápidamente.
Breve historia: la transición de SCS-C02 → SCS-C03
La versión anterior, SCS-C02, se retiró en octubre de 2023. El SCS-C03 actual se lanzó en julio de 2023 y añadió cobertura explícita de AWS Security Hub, el conjunto de detección en expansión de GuardDuty (auditoría de EKS, eventos de inicio de sesión de RDS, tiempo de ejecución de Lambda), AWS Network Firewall e IAM Identity Center (anteriormente AWS SSO) como la solución oficial de SSO. Las guías de estudio más antiguas escritas para SCS-C02 todavía son en su mayoría aplicables, pero omiten los servicios de detección más recientes. Si un curso o guía no menciona IAM Identity Center, está desactualizado.
Formato
65 preguntas, 170 minutos, $300, puntuación de aprobación escalada 750/1000. Seis dominios, ponderados como:
- Detección de Amenazas y Respuesta a Incidentes (Detección 16% + Respuesta a Incidentes 14% = 30%)
- Registro y Monitoreo de Seguridad (esto está incluido en Detección en guías más recientes)
- Seguridad de la Infraestructura (18%)
- Identidad y Gestión de Acceso (20%)
- Protección de Datos (18%)
- Gestión y Gobernanza/Fundamentos de Seguridad (14%)
IAM es el dominio individual más grande. No lo subestimes.
Qué tan difícil, exactamente
AWS no publica las tasas de aprobación. Encuestas de la comunidad en Reddit y datos internos de AWS Partner Network sitúan la tasa de aprobación en el primer intento alrededor del 55-60%, lo cual es más difícil que SAA-C03 (60-65%) pero más fácil que SAP-C02 (50-55%). El examen en sí es justo —sin preguntas capciosas—, pero la profundidad de los temas sorprende a quienes estudiaron amplitud en lugar de profundidad.
El tiempo de 170 minutos es generoso si lees rápido. La mayoría de la gente termina con más de 30 minutos de sobra. El tiempo no es la limitación; la profundidad del conocimiento sí lo es.
Qué se evalúa realmente en gran medida
KMS, de principio a fin. Simétricas vs asimétricas, claves gestionadas por el cliente vs gestionadas por AWS, políticas de clave vs políticas de IAM (la interacción importa), concesiones, rotación de claves (automática para simétricas, manual para asimétricas), claves multirregión, uso compartido de claves entre cuentas, condiciones kms:ViaService y kms:CallerAccount. Las políticas de clave son JSON; las verás en el examen. Practica leyéndolas hasta que puedas predecir el resultado del acceso sin ejecutarlo.
El error más común de KMS: por defecto, un principal de IAM necesita permiso en ambas la política de IAM y la política de clave para usar una clave gestionada por el cliente. Las políticas de clave predeterminadas incluyen al usuario root, lo que permite la delegación del control de IAM de la cuenta. Si eliminas al usuario root de la política de clave, puedes bloquearte a ti mismo. El examen evalúa esto.
Lógica de condiciones y evaluación de políticas de IAM. La denegación explícita anula la concesión explícita que anula la denegación por defecto. Los SCP en AWS Organizations se aplican en el límite de la cuenta y no otorgan permisos, solo los restringen. Los límites de permisos son similares, pero a nivel de usuario/rol. Políticas de recursos en S3, KMS, Secrets Manager, SQS, SNS — ¿cuándo otorgan acceso, cuándo requieren un permiso de IAM, o ambos? Esto se evalúa mucho.
Federación: SAML 2.0, OIDC, IAM Identity Center, Cognito Identity Pools vs User Pools (sí, ambos, hacen cosas diferentes). El examen preguntará qué tipo de federación se adapta a un escenario como "contratistas externos necesitan acceso temporal a una sola cuenta durante 90 días".
GuardDuty, Security Hub, Macie, Inspector, Detective. Saber cuál detecta qué. GuardDuty para amenazas de VPC Flow Logs, DNS, CloudTrail; con EKS Audit, RDS Login, Lambda, Protección contra Malware opcionales. Security Hub agrega y ejecuta comprobaciones de cumplimiento (CIS, AWS Foundational, PCI DSS). Macie para la clasificación de datos de S3. Inspector para el escaneo de vulnerabilidades de EC2, ECR, Lambda. Detective para investigar después de un hallazgo. El examen adora las cadenas de "recibiste una alerta; ¿cuál es el siguiente servicio a revisar?".
Arquitectura multi-cuenta. AWS Organizations, OUs, SCPs, administración delegada para servicios de seguridad (sí, puedes delegar la administración de Security Hub a una cuenta miembro — el examen evalúa esto), AWS Control Tower, AWS Config aggregator entre cuentas. Registro de organización de CloudTrail entre cuentas. Este dominio confunde a las personas que solo han trabajado con una sola cuenta.
Protección de datos en reposo y en tránsito. Variantes de cifrado de S3 — SSE-S3, SSE-KMS, SSE-C, DSSE-KMS, más el lado del cliente. Políticas de bucket que aplican el cifrado. AWS Certificate Manager (ACM) — público vs privado, integración con ALB, CloudFront, API Gateway. ACM Private CA. Rotación de Secrets Manager, especialmente para RDS.
Seguridad de red. Grupos de seguridad vs NACL (con estado vs sin estado), puntos de enlace de VPC (gateway vs interfaz), políticas de puntos de enlace de VPC, AWS PrivateLink, AWS Network Firewall, AWS WAF, AWS Shield Standard vs Advanced, AWS Firewall Manager para políticas a nivel de organización.
Obstáculos comunes
Políticas de clave KMS que parecen correctas pero no lo son. El examen plantea escenarios donde la política de IAM parece correcta pero la política de clave no incluye al principal, o viceversa. Reduce la velocidad en las preguntas de KMS. Lee ambas políticas.
Confundir Macie con GuardDuty. Macie es para la clasificación de datos sensibles en S3. GuardDuty es para la detección de amenazas. Se superponen en la sensación, no en la función.
Tipos de federación. Cognito User Pools autentican a los usuarios finales. Cognito Identity Pools emiten credenciales temporales de AWS a usuarios autenticados. IAM Identity Center es para SSO de la fuerza laboral en cuentas de AWS. La federación SAML 2.0 es la versión heredada / empresarial del mismo. Confundir estos es una pérdida común de 5 preguntas.
Registro entre cuentas. CloudTrail centralizado con un rastro de organización, bucket de S3 en una cuenta de archivo de registros, cifrado KMS con una CMK que todas las cuentas miembro pueden usar. El examen pregunta cómo configurar esto correctamente con acceso de mínimo privilegio para los equipos de seguridad.
Precedencia de reglas de WAF. Reglas personalizadas con números de prioridad — la prioridad más baja se ejecuta primero. Los grupos de reglas gestionadas pueden anularlas. El examen presenta escenarios donde una solicitud es bloqueada o permitida y tienes que averiguar qué regla se activó.
Cuánto tiempo estudiar
- Ya trabajas en seguridad diariamente, ~5 horas/semana: 6–8 semanas.
- Ingeniero de la nube con trabajo adyacente a la seguridad, ~10 horas/semana: 10–14 semanas.
- Sin experiencia en seguridad, ~10 horas/semana: Más de 16 semanas, y considera obtener SAA-C03 primero.
Recursos: el curso SCS-C03 de Adrian Cantrill es el más profundo. El de Stephane Maarek es sólido y más corto. Tutorials Dojo para exámenes de práctica. Los propios whitepapers de AWS — Mejores prácticas de seguridad, Pilar de Seguridad del Marco de Buena Arquitectura, Mejores prácticas de AWS KMS — son concisos y de alto rendimiento. Léelos.
Trayectoria profesional
SCS-C03 es una de las certificaciones de AWS más directamente monetizables porque los roles de seguridad pagan por encima de los roles generales de la nube. Un Ingeniero de Seguridad en la Nube en 2026 gana aproximadamente entre $130k y $200k de salario base en las metrópolis tecnológicas de EE. UU., con roles senior entre $180k y $260k. SCS-C03 es la señal estándar para esos roles, a menudo listada junto o en lugar de CISSP.
La certificación combina bien con:
- CISSP para roles de seguridad senior en industrias reguladas.
- AZ-500 si trabajas en multi-cloud.
- CKS si te estás orientando hacia la seguridad de Kubernetes.
- HashiCorp Vault Associate para la profundidad en la gestión de secretos.
No combina particularmente bien con las certificaciones generales de DevOps — DOP-C02 es más amplia y se superpone quizás un 20%. Elige una u otra según tu trabajo real.
En resumen
SCS-C03 es la más difícil de las especialidades de AWS que la mayoría de la gente considera, ligeramente por encima de ANS-C01 (Networking). Dedica más tiempo del que crees — la mayoría de los candidatos subestiman la profundidad de KMS y la lógica de condiciones de IAM. El examen recompensa a los operadores que han ajustado los hallazgos de GuardDuty, escrito políticas de clave KMS y depurado un problema de federación a las 11 PM. Si ese eres tú, la preparación es sencilla. Si no lo eres, adquiere la experiencia primero.
Si estás estudiando, explora el banco de preguntas de SCS-C03 en CertLabPro o ejecuta una simulación cronometrada. Y lee la documentación de KMS dos veces.