CKS (Especialista en Seguridad de Kubernetes): requisitos previos y un plan de estudio de 6 semanas

CKS — Certified Kubernetes Security Specialist — es, en mi opinión, el más difícil de los tres exámenes de Kubernetes de nivel profesional, más limitado que el CKA y más exigente bajo presión de tiempo. Dos horas, práctico, $445, con un reintento gratuito incluido. PSI Bridge, solo en línea, sin centros de examen. La nota de aprobación es del 67%. La CNCF no publica tasas de aprobación oficiales, pero la tasa de primer intento encuestada por la comunidad ronda el 40-50%, más baja que la del CKA, y esto coincide con mi experiencia observando a colegas presentarse.

Lo que la mayoría de la gente pasa por alto: no puedes simplemente registrarte. La CNCF requiere un CKA activo en tu cuenta en el momento de la inscripción. No "has realizado el CKA en algún momento". Activo. Si tu CKA ha caducado (lo cual ahora ocurre después de 2 años en lugar de 3, desde el cambio de política del 1 de abril de 2024), debes renovarlo antes de poder registrarte para el CKS. Esta es una condición obligatoria, no una recomendación suave, y sorprende a la gente cada trimestre.

Los requisitos previos reales

El oficial: un CKA activo. Eso es todo.

Los no oficiales:

• Comodidad con kubectl de modo que no pienses en la sintaxis. Si aún estás buscando en Google "kubectl create deployment", no estás listo.
• Fundamentos de Linux — harás SSH a nodos, leerás registros de systemd, editarás banderas de kubelet y depurarás fallos de perfiles de seccomp / AppArmor. Si journalctl -u kubelet te resulta desconocido, soluciónalo primero.
• Dominio de vim. No magia de Vim. Pero editar YAML en vim con un reloj de 2 horas sin perder 30 segundos en "¿espera, cómo guardo de nuevo?" es obligatorio.
• Un modelo mental funcional de NetworkPolicy. Este es el mayor obstáculo del examen. Más sobre esto a continuación.
• Algún contacto previo con Falco, Trivy, AppArmor, seccomp, mTLS a través de service mesh y Pod Security Standards. No tienes que ser un experto en ninguno de ellos; tienes que reconocerlos.

Si te faltan más de dos de esos puntos, dedica otro mes a simulacros operativos estilo CKA antes de abordar el CKS. Intentar aprender operaciones y seguridad de Kubernetes simultáneamente bajo presión de tiempo es un camino para gastar el reintento gratuito.

Qué se evalúa realmente

El currículo de la CNCF lo agrupa así (los porcentajes cambian con cada revisión del currículo; actual a principios de 2026):

• Configuración y endurecimiento del clúster (~15%): benchmarks CIS, kube-bench, restricción de acceso externo, deshabilitación de autenticación anónima, banderas de endurecimiento de kubelet.
• Endurecimiento del sistema (~15%): endurecimiento del kernel (seccomp, AppArmor), reducción de la superficie de ataque, minimización de IAM en la nube.
• Minimizar las vulnerabilidades de los microservicios (~20%): Pod Security Standards (que reemplazaron a los PSPs en 1.25), tokens de ServiceAccount, OPA / Gatekeeper o Kyverno, mTLS.
• Seguridad de la cadena de suministro (~20%): escaneo de imágenes con Trivy, firma con cosign, controladores de admisión que bloquean imágenes sin firmar, fundamentos de SBOM, minimización de imágenes base.
• Monitoreo, registro, seguridad en tiempo de ejecución (~20%): reglas de Falco, análisis de comportamiento, inmutabilidad, registro de auditoría a nivel del servidor API.
• Política de red (Network Policy) (~10%): denegación por defecto, aislamiento de namespaces, reglas de egreso. Se lista como un pequeño porcentaje, pero en la práctica todas las demás categorías también tocan NetworkPolicy.

El examen no evalúa cómo funciona Falco internamente. Evalúa si puedes escribir una regla de Falco que se active cuando se inicia un shell en un contenedor. El examen no evalúa la criptografía de cosign. Evalúa si puedes configurar un controlador de admisión para rechazar imágenes sin firmar. El trabajo es operacional, no académico.

El plan de 6 semanas

Esto asume ~10 horas a la semana con un CKA activo ya en el bolsillo. Ajusta si tienes más o menos tiempo.

Semana 1: NetworkPolicy hasta el cansancio.

Configura un clúster kind localmente con Calico o Cilium (el kindnet por defecto no aplica NetworkPolicy, lo que confunde a la gente). Escribe una política de denegación por defecto para un namespace. Escribe una política de permiso desde un namespace. Escribe una política de egreso que solo permita DNS. Escribe una que permita el tráfico desde una etiqueta de pod específica a través de namespaces. Rehaz todo esto de memoria hasta que puedas escribirlos en vim sin consultar kubernetes.io. El YAML de NetworkPolicy es el área de contenido de mayor volumen en el examen y en la que la mayoría de la gente se equivoca. Dedica más tiempo aquí del que crees que necesitas.

Semana 2: Pod Security Standards, ServiceAccounts, endurecimiento de RBAC.

Aplica perfiles restringidos, básicos y privilegiados a los namespaces. Configura ServiceAccounts con automountServiceAccountToken: false. Construye RBAC que siga el principio de menor privilegio para un despliegue que necesite leer ConfigMaps en su propio namespace y nada más. Practica diagnosticar "este pod no puede hacer X debido a RBAC" hasta que el flujo de kubectl auth can-i sea automático.

Semana 3: Cadena de suministro — Trivy, cosign, control de admisión.

Escanea una imagen con Trivy e interpreta la salida de CVE. Firma una imagen con cosign. Configura una política de ImagePolicyWebhook o Kyverno que rechace imágenes no firmadas por tu clave. Configura un registro OCI localmente si quieres practicar a fondo. El examen probablemente te proporcionará Trivy instalado; debes conocer sus banderas clave de memoria (--severity HIGH,CRITICAL, --ignore-unfixed).

Semana 4: Tiempo de ejecución — Falco, AppArmor, seccomp.

Instala Falco en un clúster kind. Lee las reglas por defecto. Escribe una regla personalizada. Aplica un perfil de AppArmor a un pod (el examen típicamente te da un perfil ya en el nodo y te pide que lo conectes a través de una anotación, lo que significa conocer la sintaxis container.apparmor.security.beta.kubernetes.io/<container>: localhost/<profile>). Aplica un perfil de seccomp a través de securityContext.seccompProfile. Ambos tienen una sintaxis heredada basada en anotaciones y una sintaxis actual basada en campos; el examen tiende a evaluar la sintaxis actual, pero debes reconocer ambas.

Semana 5: Endurecimiento del clúster y del host.

Ejecuta kube-bench, interpreta los fallos, corrige los fáciles (autenticación anónima, registro de auditoría, banderas de kubelet). Configura la política de auditoría en el servidor API. Restringe el acceso a etcd. Deshabilita puertos kubelet innecesarios. Esto es principalmente trabajo de Linux a nivel de nodo y es donde los ingenieros sin una sólida experiencia en administración de sistemas se ralentizan.

Semana 6: Killer Shell, simulaciones completas y descanso.

Usa ambas sesiones de Killer Shell incluidas esta semana. Son intencionadamente más difíciles que el examen real; espera obtener una puntuación peor de lo que esperas. Usa las lagunas para estudiar. Realiza el examen real en los últimos 2-3 días de la semana 6 mientras la memoria muscular está fresca. No lo pospongas más — cada semana que retrasas, pierdes reflejos.

Duerme la noche anterior. No te quedes estudiando toda la noche. No cambies tus alias de kubectl el día del examen.

Los obstáculos que suelen afectar a la gente

• NetworkPolicy bajo presión de tiempo. Ya mencionado y vale la pena repetirlo. La estructura YAML es implacable — una indentación incorrecta anula la política silenciosamente y el pod sigue enrutando. Practica en vim hasta que puedas escribir una denegación por defecto + un permiso selectivo de memoria muscular.
• Olvidar que NetworkPolicy necesita un CNI que la aplique. kindnet no lo hace. flannel (por defecto en algunas configuraciones) tampoco. Calico, Cilium, Weave sí. Asegúrate de que tu clúster de práctica ejecute un CNI que la aplique o aprenderás las lecciones equivocadas.
• Confundir PSP y Pod Security Standards. Los PSPs fueron eliminados en la versión 1.25 (hace años ya, pero el material de capacitación antiguo aún los menciona). El mecanismo actual es Pod Security Admission con los perfiles restringido, básico y privilegiado aplicados a través de etiquetas de namespace. No estudies PSPs.
• Configuración de cifrado en reposo de etcd. Frecuentemente evaluado. Específicamente: editar EncryptionConfiguration, reiniciar el servidor API con la bandera correcta y verificar con etcdctl get que el valor está cifrado. Practica esto.
• La trampa de la pestaña del navegador. Se te permite usar kubernetes.io, falco.org, app-armor.net y algunos otros. No puedes depender de buscarlos bajo presión de tiempo. Memoriza la estructura. Usa la pestaña para copiar y pegar fragmentos específicos, no para aprender sintaxis.

¿Deberías tomarlo?

Realiza el CKS si tu trabajo es o será seguridad de plataforma, ingeniería de seguridad en una empresa que usa Kubernetes o trabajo de cumplimiento en industrias reguladas. Omítelo si eres un ingeniero de plataforma generalista — el CKA cubre lo que la mayoría de los roles generalistas necesitan, y el CKS es excesivo y expira en 2 años.

Si vas a por ello, navega por el banco de preguntas de CKS en CertLabPro o inicia un examen cronometrado. La cobertura conceptual en los bancos de preguntas complementa las repeticiones operativas que debes hacer en clústeres reales. Ambos son necesarios; ninguno por sí solo es suficiente.