SC-200 vs AZ-500: ¿qué certificación de seguridad de Microsoft primero?
AZ-500 es para ingenieros cloud que configuran la seguridad de Azure. SC-200 es para analistas SOC que operan dentro de Sentinel. Aquí te decimos cuál se adapta realmente a tu trabajo.
Si tienes que elegir una certificación de seguridad de Microsoft y no sabes cuál, aquí tienes la versión corta: AZ-500 si construyes y configuras recursos de Azure, SC-200 si investigas alertas y buscas amenazas. Ambas cuestan $165, ambas son de nivel asociado basadas en roles, y ambas son razonablemente difíciles. Cubren terreno superpuesto —identidad, redes, Sentinel— pero el trabajo diario al que se corresponden es genuinamente diferente, y elegir la incorrecta significa estudiar para el trabajo de otra persona.
Recibo esta pregunta con la suficiente frecuencia como para que valga la pena una publicación completa en lugar de una respuesta breve.
Qué es AZ-500
AZ-500 — Microsoft Certified: Azure Security Engineer Associate — evalúa tu capacidad para implementar controles de seguridad en Azure. El plan de estudios actual se divide aproximadamente en:
- Gestionar identidad y acceso (~25–30%): Entra ID, Acceso Condicional, PIM, identidades administradas, configuración de MFA.
- Proteger redes (~20–25%): NSGs, ASGs, Azure Firewall, WAF en Front Door / App Gateway, puntos de conexión privados, protección DDoS.
- Proteger cómputo, almacenamiento, bases de datos (~20–25%): Defender for Cloud, cifrado de disco, endurecimiento de almacenamiento, Key Vault, SQL TDE / Always Encrypted.
- Gestionar operaciones de seguridad (~25–30%): Nociones básicas de Sentinel, puntuación segura de Defender for Cloud, Azure Policy, paneles de cumplimiento normativo.
Es amplio. Las preguntas se sienten prácticas para ser de opción múltiple —los estudios de caso al inicio del examen te obligan a trabajar con el entorno de una empresa hipotética. KQL es ligero. Sentinel es ligero. El centro de gravedad es "configurar los recursos de Azure para que sean seguros".
Qué es SC-200
SC-200 — Microsoft Certified: Security Operations Analyst Associate — evalúa tu capacidad para operar una pila de seguridad de Microsoft en el día a día. Plan de estudios actual:
- Mitigar amenazas usando Microsoft Defender XDR (~25–30%): Defender for Endpoint, Office 365, Cloud Apps, Identity. Investigación, triaje, respuesta.
- Mitigar amenazas usando Defender for Cloud (~15–20%): protección de cargas de trabajo en la nube, puntuación segura, cumplimiento normativo desde la perspectiva de un analista.
- Mitigar amenazas usando Microsoft Sentinel (~50–55%): conectores de datos, reglas de análisis, consultas de hunting, workbooks, playbooks, SOAR, KQL — KQL intensivo.
El centro de gravedad del examen es Sentinel. Si no puedes escribir o leer KQL con fluidez para el día del examen, tendrás dificultades. Los estudios de caso a menudo te dan una consulta y te preguntan qué devuelve, o te dan un escenario y te preguntan qué operador de KQL usarías para refinarlo.
Mapeo de roles
Esta es la parte que nadie pone claramente en la página de marketing:
| Si tu cargo es... | Realiza este primero |
|---|---|
| Ingeniero Cloud / Ingeniero DevOps / Ingeniero de Plataforma | AZ-500 |
| Ingeniero de Seguridad (centrado en configuración) | AZ-500 |
| Administrador de Azure que desea especializarse | AZ-500 |
| Analista SOC / Analista Nivel 1–2 | SC-200 |
| Cazador de Amenazas (Threat Hunter) / Ingeniero de Detección | SC-200 |
| Respondedor de Incidentes (Incident Responder) | SC-200 |
| TI Generalista / quiere ambos eventualmente | AZ-500 primero |
| Cambio de carrera a seguridad | SC-200 (más demanda a nivel junior) |
La razón por la que AZ-500 se posiciona primero para la mayoría de los roles cloud es que cubre más terreno que una persona no puramente de seguridad realmente necesita saber. Si eres un ingeniero cloud que ocasionalmente responde preguntas de seguridad, AZ-500 te hace mejor en tu trabajo diario. SC-200 solo rinde frutos si estás frente a Sentinel la mayoría de los días.
Dificultad: aproximadamente igual, con formas diferentes
Ambos exámenes tienen entre 40 y 60 preguntas, 100 minutos, un precio de lista de $165 USD (con precios regionales que lo reducen a ~$80 en algunos mercados). Ambos ofrecen renovación gratuita de 1 año mediante una evaluación online de 30 preguntas. Ambos utilizan estudios de caso además de preguntas de opción múltiple / selección múltiple / arrastrar y soltar estándar.
En qué se diferencian:
- AZ-500 es más amplio, SC-200 es más profundo. AZ-500 te pide saber un poco sobre mucho —identidad, redes, cómputo, almacenamiento, operaciones. SC-200 te pide saber mucho sobre Sentinel y la suite Defender específicamente.
- KQL es el diferenciador de SC-200. AZ-500 te pide leer consultas KQL y comprender las salidas. SC-200 te pide escribirlas, optimizarlas, depurarlas. Si nunca has usado KQL, SC-200 te sorprenderá.
- AZ-500 tiene más contenido de identidad. Acceso Condicional, PIM, Identidades Externas, Protección de Identidad —el primer 25–30% de AZ-500 está muy centrado en la identidad. SC-200 aborda la identidad, pero principalmente a través de la lente de las alertas de Defender for Identity.
Microsoft no publica las tasas de aprobación, pero anecdóticamente ambas se sitúan en el rango del 60–70% en el primer intento para candidatos preparados. La sección de KQL de SC-200 es donde la mayoría de la gente pierde puntos; los estudios de caso de AZ-500 son donde la mayoría de la gente pierde puntos.
Tiempo de preparación
| Antecedentes | AZ-500 | SC-200 |
|---|---|---|
| Ingeniero de seguridad con experiencia en Azure | 40–60 hrs | 50–80 hrs |
| Ingeniero Azure generalista | 80–100 hrs | 100–130 hrs |
| Analista SOC, pila de Microsoft | 80–100 hrs | 50–80 hrs |
| Nuevo en Azure | 150+ hrs | 180+ hrs |
SC-200 tiende a ser un poco más largo porque el 'músculo' de KQL debe construirse desde cero para la mayoría de los candidatos. Si ya dominas KQL u otro lenguaje de consulta con sintaxis similar (Splunk SPL se traslada razonablemente bien), réstale 20–30 horas.
Las rutas oficiales de Microsoft Learn para ambos exámenes son gratuitas y actuales. El canal de YouTube de John Savill tiene videos de repaso para ambos. Para SC-200 específicamente, "KQL from scratch" de Rod Trent es el recurso gratuito canónico para el contenido de Sentinel. Para AZ-500, crear una suscripción gratuita de Azure y navegar por Acceso Condicional, PIM, Defender for Cloud y Key Vault por tu cuenta es innegociable —las preguntas de estudio de caso son casi imposibles de responder sin familiaridad a nivel de portal.
Señal de salario
Ninguna certificación influye directamente en los salarios de manera clara, como en una comparación A/B. Ambas abren puertas a entrevistas. Según BLS OEWS May 2024, el salario medio para Analistas de Seguridad de la Información (15-1212) es de alrededor de $124k, y el percentil 90 ronda los $182k. Los roles de seguridad en empresas que utilizan la pila de Microsoft suelen agruparse en la mitad superior de ese rango.
Datos de levels.fyi 2025–2026:
- Compensación total de Ingeniero de Seguridad L62 de Microsoft ~$230k.
- Compensación total de Especialista en Seguridad L5 de AWS ~$245k.
- Roles de ingeniero de seguridad de nivel medio fuera de FAANG (Capital One, Stripe, Atlassian) típicamente con un salario base de $170k–$220k.
Los titulares de SC-200 en grandes empresas con SOCs maduros (bancos, atención médica, contratistas federales) a menudo superan el salario medio porque los roles de SOC 24/7 incluyen diferenciales por turno. Los titulares de AZ-500 tienden a ajustarse a las bandas salariales estándar de ingeniería cloud.
La combinación de certificaciones que tiende a pagar mejor en 2026 es AZ-500 + SC-200 + AZ-104 —señala que puedes configurar Azure, asegurarlo y operar la respuesta. Hacer las tres toma alrededor de 200 horas en 6–9 meses y hace que tu currículum pase los filtros en la mayoría de los empleadores que usan la pila de Microsoft.
Qué haría yo
Si comienzas con una experiencia en ingeniería cloud o TI generalista, haz el AZ-500 primero. Es más amplio, te enseña más sobre Azure como plataforma, y la mayoría de los trabajos que buscan habilidades de seguridad de Microsoft piden AZ-500 por nombre con más frecuencia que SC-200.
Si empiezas desde una trayectoria de SOC o analista —ya estás ejecutando consultas en algún SIEM, investigas alertas diariamente— haz el SC-200 primero. El contenido de AZ-500, muy centrado en la configuración, te parecerá un desvío que aún no necesitas.
Si eventualmente vas por ambas, el orden importa menos que la brecha entre ellas. No las separes más de 6 meses; la superposición en identidad y los conceptos básicos de Sentinel recompensa la preparación consecutiva.
Cuando estés listo para practicar, explora el banco de prácticas de AZ-500 en CertLabPro, inicia un examen cronometrado de SC-200, o usa ambos. El formato de estudio de caso de Microsoft es distintivo y el reconocimiento de patrones bajo presión de tiempo es la parte que más se beneficia de la práctica con elementos realistas.