KCNA vs KCSA: ¿qué examen asociado de Kubernetes deberías tomar primero?

Versión rápida: toma el KCNA primero si eres nuevo en Kubernetes o en cloud-native en general. Toma el KCSA primero si ya conoces bien Kubernetes y estás en una trayectoria de seguridad. No tomes ninguno si vas directamente al CKA y ya has usado Kubernetes en producción durante un año.

Ambos exámenes cuestan $250, son de 60 preguntas de opción múltiple, 90 minutos, en línea a través de PSI Bridge, con un intento de repetición gratuito incluido. Ambos son asociados de CNCF, el nivel de entrada por debajo de los exámenes profesionales prácticos (CKA, CKAD, CKS, CNPE). Ninguno es un requisito previo estricto para ningún examen profesional; son rampas de acceso opcionales. El precio y el formato del examen son idénticos, por lo que la elección se basa puramente en el contenido y en tu etapa profesional.

Qué cubre realmente el KCNA

El KCNA — Kubernetes and Cloud Native Associate — es el más amplio de los asociados de CNCF. El plan de estudios, actualizado a principios de 2026, se desglosa aproximadamente de la siguiente manera:

• Fundamentos de Kubernetes (~46%): pods, servicios, deployments, namespaces, ConfigMaps, Secrets, el plano de control, el kubelet, el scheduler. El nivel de vocabulario: qué hace cada pieza y cómo se relacionan.
• Orquestación de contenedores (~22%): por qué los contenedores, tiempos de ejecución de contenedores, la especificación OCI, conceptos de redes de contenedores.
• Arquitectura cloud-native (~16%): microservicios, descubrimiento de servicios, observabilidad, los principios de las 12-factor-ish.
• Observabilidad cloud-native (~8%): Prometheus, OpenTelemetry, la trinidad de métricas/logs/trazas, conceptos básicos de SLI/SLO.
• Entrega de aplicaciones cloud-native (~8%): GitOps en concepto, Argo CD / Flux a nivel superficial, CI/CD básico aplicado a K8s.

Es amplio y superficial. No se te pedirá que escribas YAML; se te preguntará qué objeto de Kubernetes maneja una preocupación determinada. El tono es "¿entiendes el universo cloud-native lo suficientemente bien como para ser útil en las conversaciones?". Eso es en realidad un estándar real: muchos ingenieros han implementado cargas de trabajo de K8s sin saber qué es etcd, y el KCNA te obliga a aprender los nombres.

Inversión de tiempo: 30–50 horas durante 4–6 semanas si eres nuevo. 10–15 horas si llevas un año en Kubernetes y solo necesitas rellenar lagunas de vocabulario.

Qué cubre realmente el KCSA

El KCSA — Kubernetes and Cloud Native Security Associate — es más específico y profundo que el KCNA, pero sigue siendo de opción múltiple y conceptual:

• Visión general de la seguridad cloud-native (~14%): las 4C (Cloud, Cluster, Container, Code), el modelo de responsabilidad compartida en el contexto de K8s.
• Seguridad de los componentes del clúster de Kubernetes (~22%): fortalecimiento del servidor API, protección de etcd, flags de kubelet, plugins de red.
• Fundamentos de seguridad de Kubernetes (~22%): Pod Security Standards, políticas de red (conceptos, no YAML), manejo de Secrets, ServiceAccounts.
• Modelo de amenazas de Kubernetes (~16%): STRIDE aplicado a K8s, análisis de superficie de ataque, los límites de confianza.
• Seguridad de la plataforma (~16%): cadena de suministro, conceptos de escaneo de imágenes, conceptos de control de admisión.
• Cumplimiento y marcos de seguridad (~10%): benchmarks CIS, NIST, lo que hace kube-bench a nivel conceptual.

El KCSA es esencialmente una preparación para el CKS sin los laboratorios prácticos. Aproximadamente el 70% del contenido del KCSA se superpone con el CKS en cuanto a temas; la diferencia es que el KCSA evalúa "¿entiendes qué es NetworkPolicy?" y el CKS evalúa "escribe una NetworkPolicy de denegación por defecto en YAML en 90 segundos sin consultar la documentación".

Inversión de tiempo: 25–40 horas durante 4–5 semanas si tienes conocimientos operativos de K8s. Intentar hacer el KCSA sin ninguna exposición a K8s es difícil: aprenderás dos cosas a la vez y el enfoque de seguridad lo hace más complicado que el KCNA, no más fácil.

A quién se dirige cada uno

El KCNA se dirige a personas que cambian de carrera, ingenieros junior, gerentes de proyectos y gerentes de producto que trabajan en productos cloud-native, ingenieros de ventas y cualquier persona que necesite alfabetización en Kubernetes sin operar clústeres. Es una excelente función de "forzado" para "entender el vocabulario para poder tener conversaciones inteligentes". Es una señal pobre para la contratación de ingenieros senior: los reclutadores que leen currículums suelen pasar por alto el KCNA en un candidato senior.

El KCSA se dirige a ingenieros de seguridad que aprenden Kubernetes, profesionales de AppSec / seguridad en la nube que se mueven a la seguridad de K8s, e ingenieros que se preparan para el CKS y desean un calentamiento más suave. También es útil para roles de cumplimiento y auditoría donde se necesita hablar sobre la postura de seguridad de K8s sin operar clústeres personalmente.

Si eres un ingeniero junior que intenta ingresar al mundo de la nube, KCNA. Si eres un ingeniero de seguridad que se expande a la seguridad de la plataforma, KCSA. Si ya eres un operador senior de K8s, ninguno de los dos; ve directamente al CKA o CKS.

Mecánica del examen: qué es igual, qué es diferente

Igual:

• $250 USD a partir de 2026.
• 60 preguntas de opción múltiple / selección múltiple.
• 90 minutos.
• 75% para aprobar.
• Supervisado en línea a través de PSI Bridge: cámara web, uso compartido de pantalla, verificación de identificación, lo habitual.
• Un intento de repetición gratuito dentro de 12 meses.
• Validez de 2 años (era de 3 años antes de abril de 2024).
• Linux Foundation ofrece con frecuencia códigos promocionales del 30–60% de descuento; nunca pagues el precio completo sin verificar.

Diferente:

• El KCNA es más amplio; el KCSA es más profundo en seguridad.
• El estilo de las preguntas del KCSA tiende ligeramente más a "dado este escenario, ¿cuál es la preocupación de seguridad?" frente a "¿qué hace esta cosa de Kubernetes?" del KCNA.

Ninguno tiene laboratorios. Ninguno tiene acceso a la terminal. La experiencia de PSI Bridge para ambos es idéntica a la de los asociados tipo KCNA / KCSA de cualquier proveedor de nube: cámara web, sin segundo monitor, escritorio despejado, sin notas, sin papel borrador a menos que se permita explícitamente.

Cuándo hacer ambos

Hacer ambos tiene sentido si buscas la insignia Kubestronaut (que requiere KCNA + KCSA + CKA + CKAD + CKS). Fuera de eso, hacer ambos es principalmente un extra. El valor de señal de "aprobé KCNA y KCSA" en un currículum es aproximadamente el mismo que "aprobé KCSA" solo: los reclutadores ven "certificado en Kubernetes" y siguen adelante.

Si vas a hacer ambos y no buscas el paquete Kubestronaut, el orden que recomendaría es KCNA primero (4–6 semanas), luego 1–2 meses de práctica práctica de K8s en un clúster kind / k3d, y luego KCSA. Hacerlos uno tras otro sin práctica operativa de por medio te deja con vocabulario y cero reflejos.

Cuándo omitir ambos

Omite ambos si has estado operando Kubernetes en producción durante un año o más. El CKA cubre todo lo que hace el KCNA y añade las pruebas operativas prácticas. El KCNA en un currículum senior es un ruido leve. El CKA es una señal.

Omite ambos si vas específicamente por el CKS. El CKS requiere un CKA activo, no KCNA o KCSA. El KCSA ayuda con la preparación para el CKS, pero no es obligatorio.

Omite ambos si tu objetivo es un cambio de trabajo en los próximos 90 días y ya puedes conseguir entrevistas de K8s. Dedica el tiempo a un proyecto de portafolio — un plugin de kubectl, un Helm chart público, un operador de Kubernetes — esos mueven la aguja más que una certificación de asociado.

CNCF no publica las tasas de aprobación

Para que conste, CNCF no publica tasas oficiales de aprobación para ninguno de sus exámenes. Las encuestas de la comunidad (foros de la Linux Foundation, Reddit r/kubernetes, el canal #certifications de Slack de CNCF) sugieren que las tasas de aprobación en el primer intento del KCNA están en el rango del 70–80% y las del KCSA en el rango del 60–70%. Toma esos números como anécdota: son auto-reportados y tienden a estar sesgados hacia las personas que aprobaron y se tomaron la molestia de publicar.

Qué hacer esta semana

Si eres nuevo en K8s: programa el KCNA con 6 semanas de antelación, estudia las páginas de conceptos de kubernetes.io y ejecuta un clúster kind localmente para afianzar el vocabulario en algo real.

Si estás en la trayectoria de seguridad y te sientes cómodo con K8s: programa el KCSA con 5 semanas de antelación, estudia los benchmarks CIS y lee sobre el marco de las 4C.

Si estás listo para el CKA: omite ambos, ahorra los $500 y destínalos a un paquete CKA + CKAD ($590) en su lugar.

Si vas a por ello, explora el banco de prácticas de KCNA en CertLabPro o el banco de KCSA. Ambos son útiles para encontrar rápidamente las lagunas en el vocabulario; el vocabulario es lo que realmente evalúan estos exámenes.