AWS Certified Security Specialty
275 preguntas de práctica
Última revisión: April 2026
Notas personales y enlaces de recursos para tu camino de estudio
Filtrar por Certificación
La AWS Certified Security Specialty (SCS-C03) es la credencial de nivel superior centrada en la seguridad y una de las certificaciones de seguridad en la nube más respetadas. Valida la capacidad de diseñar y operar cargas de trabajo seguras en AWS —incluyendo identidad, protección de datos, seguridad de la infraestructura, detección de amenazas, respuesta a incidentes y gobernanza. El examen está dirigido a ingenieros de seguridad en la nube, arquitectos de seguridad en la nube e ingenieros DevSecOps con varios años de experiencia en AWS y seguridad. Espere preguntas largas y basadas en escenarios que combinan IAM, KMS, redes y servicios de detección, y que piden la MEJOR respuesta de seguridad bajo restricciones realistas. SCS-C03 se lanzó en julio de 2023, actualizando el SCS-C01 con una cobertura más amplia de detección, gobernanza adyacente a GenAI y protección de datos modernizada. El examen es conceptual; no hay laboratorios prácticos.
Arquitectura de registro (registros de organizaciones de CloudTrail, VPC Flow Logs, registros de consultas DNS, registros de acceso a S3), registro centralizado con agregación de Security Hub y consultas de Athena sobre CloudTrail. Punto de tropiezo común: distinguir CloudTrail Lake de las ventajas y desventajas de Athena-on-CloudTrail.
Patrones de contención (aislamiento de cargas de trabajo EC2/ECS comprometidas, rotación de credenciales, cuarentena de buckets S3), preservación de evidencia forense y runbooks con SSM. A menudo se pasa por alto: la secuencia precisa para el compromiso de credenciales de IAM.
Seguridad de VPC (grupos de seguridad, NACLs, puntos finales, PrivateLink), AWS WAF y Shield, Network Firewall y protección de borde. Fuerte énfasis en el diseño de capas de defensa en profundidad.
El dominio más grande con un 20%. Límites de permisos, SCPs, claves de condición (especialmente aws:PrincipalOrgID, aws:SourceVpce, aws:CalledVia), STS, Identity Center y políticas basadas en recursos. El área de mayor densidad en el examen.
KMS (políticas de clave, concesiones, claves multirregión, BYOK), cifrado en tránsito (ACM, gestión de certificados), Macie y patrones de protección de S3. La evaluación matizada de las políticas de clave de KMS es un punto de tropiezo frecuente.
Gobernanza de múltiples cuentas con Organizations, Control Tower, paquetes de conformidad de Config y Audit Manager. Menor peso, pero evalúa el pensamiento estratégico de seguridad.
Servicios que encontrarás en el examen y por qué cada uno importa.
Primitiva de identidad, rol y política — las políticas gestionadas e integradas, las políticas de confianza, las etiquetas ABAC, las políticas de sesión y los límites de permisos aplican cada decisión de autorización.
Por qué está en el examen: El Dominio 4 (Identity and Access Management) se centra por completo en la mecánica de IAM — la creación de políticas de mínimo privilegio, los roles entre cuentas y el orden de evaluación de políticas son los temas más evaluados en el examen.
SSO centralizado para la fuerza laboral y distribución de conjuntos de permisos multi-cuenta, federando desde IdP externos (Entra ID, Okta) a cuentas de AWS Organizations.
Por qué está en el examen: Las preguntas del Dominio 4 sobre federación, ABAC a escala y reemplazo de usuarios IAM de larga duración con sesiones de rol de corta duración citan Identity Center como la respuesta nativa de AWS.
Detección continua de amenazas en VPC Flow Logs, registros DNS, CloudTrail, S3, auditoría de EKS y tiempo de ejecución de Lambda — emite hallazgos para credenciales comprometidas, cripto-minería e IPs maliciosas conocidas.
Por qué está en el examen: El Dominio 1 (Threat Detection and Incident Response) nombra a GuardDuty como la señal principal de detección continua, con la automatización impulsada por EventBridge como el patrón de respuesta canónico.
Evaluación continua de vulnerabilidades para EC2, imágenes de contenedores ECR y funciones Lambda — puntuando CVEs y hallazgos de accesibilidad de red contra el inventario de software descubierto.
Por qué está en el examen: El Dominio 3 (Infrastructure Security) evalúa Inspector para la postura de vulnerabilidad de las cargas de trabajo; distinga GuardDuty (amenazas en tiempo de ejecución) y Macie (clasificación de datos).
Agregador de hallazgos entre servicios con comprobaciones de estándares integradas (CIS, PCI DSS, AWS FSBP, NIST 800-53) e integraciones de GuardDuty, Inspector, Macie y herramientas de socios.
Por qué está en el examen: El Dominio 2 (Security Logging and Monitoring) y el Dominio 6 (Governance) nombran a Security Hub como el panel único de control a nivel de organización para hallazgos priorizados y puntuación de cumplimiento.
Descubrimiento de datos sensibles impulsado por ML para S3 — detección automatizada de PII, credenciales, datos financieros y de salud, además de inventario continuo de buckets y evaluación de postura.
Por qué está en el examen: El Dominio 5 (Data Protection) evalúa Macie como el servicio nombrado para descubrir y clasificar datos sensibles en S3 antes de aplicar cifrado, retención o controles de acceso.
ACL web de capa 7 para CloudFront, ALB, API Gateway, AppSync y App Runner — grupos de reglas gestionadas (OWASP, control de bots, toma de control de cuentas) más reglas basadas en tasas y personalizadas.
Por qué está en el examen: Las preguntas del Dominio 3 (Infrastructure Security) sobre la protección de endpoints web públicos contra inyección, raspado y relleno de credenciales nombran a WAF como la defensa de borde nativa de AWS.
Protección DDoS gestionada — Standard incluido gratis en el borde, Advanced añade respuesta SRT 24×7, protección de costos y análisis de ataques de capa 3/4/7 para CloudFront, Route 53, ALB y Global Accelerator.
Por qué está en el examen: El Dominio 3 distingue Shield Standard (siempre activo, gratuito, L3/L4) de Shield Advanced (de pago, SRT, protección de costos) — una pregunta de escenario recurrente sobre la resiliencia a DDoS.
Servicio de claves criptográficas gestionado — claves gestionadas por AWS, gestionadas por el cliente y externas/importadas con concesiones, políticas de claves y uso registrado por CloudTrail en más de 100 servicios.
Por qué está en el examen: El Dominio 5 (Data Protection) evalúa el cifrado de sobre, el intercambio de claves entre cuentas, la rotación de claves y la diferencia entre políticas de claves y políticas IAM en cada forma de examen.
Proporciona y auto-renueva certificados TLS públicos para CloudFront, ALB, API Gateway y App Runner; ACM Private CA emite certificados internos con CRL/OCSP gestionados.
Por qué está en el examen: Las preguntas del Dominio 5 sobre cifrado de datos en tránsito y del Dominio 3 sobre jerarquías de CA privada para mTLS interno nombran a ACM y ACM Private CA como las respuestas nativas de AWS.
Almacenamiento de secretos cifrados con rotación automática para RDS, Redshift, DocumentDB y rotación personalizada impulsada por Lambda; acceso IAM granular y auditoría de CloudTrail.
Por qué está en el examen: El Dominio 4 y el Dominio 5 citan Secrets Manager para credenciales de base de datos de corta duración y el contraste con Parameter Store (gratuito, sin rotación) es un par distractor frecuente.
Primitiva de aislamiento de red — subredes, tablas de ruteo, grupos de seguridad (con estado), NACLs (sin estado), VPC Flow Logs, endpoints de VPC y Traffic Mirroring para captura de paquetes.
Por qué está en el examen: El Dominio 3 (Infrastructure Security) trata en gran medida la mecánica de VPC — defensa en profundidad entre SGs y NACLs, conectividad privada a través de endpoints de interfaz y Flow Logs para forensia.
Firewall con estado gestionado para VPCs — reglas compatibles con Suricata para inspección profunda de paquetes, filtrado de dominios, IPS y filtrado de egreso centralizado en una Organization.
Por qué está en el examen: Los escenarios del Dominio 3 sobre inspección con estado L3-L7 más allá de lo que ofrecen SGs/NACLs — filtrado solo de egreso y VPCs de inspección centralizada — nombran a Network Firewall como la respuesta.
Aplicación de políticas a nivel de organización para reglas WAF, Shield Advanced, Network Firewall, Route 53 Resolver DNS Firewall y grupos de seguridad en todas las cuentas de AWS Organizations.
Por qué está en el examen: Las preguntas del Dominio 6 (Governance) sobre la aplicación de líneas de base de seguridad en muchas cuentas citan a Firewall Manager + Organizations como el plano de control multi-cuenta.
Grafo de investigación que ingiere VPC Flow Logs, CloudTrail, GuardDuty y datos de auditoría de EKS en un modelo de comportamiento para el análisis de la causa raíz de actividades sospechosas.
Por qué está en el examen: El Dominio 1 (Threat Detection and Incident Response) evalúa Detective como el seguimiento nombrado a un hallazgo de GuardDuty — pivotando al contexto, radio de acción y recursos afectados.
Almacén jerárquico de configuración y secretos con tipos String, StringList y SecureString (respaldados por KMS); la capa gratuita cubre la mayoría de los casos con parámetros avanzados opcionales con cuotas más altas.
Por qué está en el examen: Las preguntas del Dominio 5 sobre el almacenamiento de configuración y secretos de bajo volumen comparan Parameter Store (gratuito, sin rotación) con Secrets Manager (de pago, con rotación) — la compensación se evalúa de forma fiable.
Registro de auditoría inmutable de llamadas a la API — trails a nivel de organización, eventos de gestión/datos/Insights, validación de integridad de archivos de registro y Lake para retención consultable con SQL.
Por qué está en el examen: El Dominio 2 (Security Logging and Monitoring) nombra a CloudTrail como la señal de auditoría fundamental; la validación de integridad y los trails centralizados de la organización son preguntas comunes en escenarios de cumplimiento.
Historial de configuración y evaluación continua de cumplimiento — reglas gestionadas y personalizadas, auto-remediación vía SSM y paquetes de conformidad para líneas de base CIS/PCI/HIPAA.
Por qué está en el examen: El Dominio 6 (Governance) evalúa Config como el motor de deriva de configuración y cumplimiento continuo que complementa el registro de auditoría de llamadas a la API de CloudTrail.
Recopilación automatizada de evidencia mapeada a frameworks (PCI DSS, HIPAA, SOC 2, GDPR, FedRAMP) con alcance de evaluación e informes exportables listos para auditores.
Por qué está en el examen: Las preguntas del Dominio 6 (Governance) sobre la producción de evidencia de auditoría y el mapeo de controles a frameworks de cumplimiento citan a Audit Manager como el servicio nativo de AWS para la recopilación de evidencia.
Gestión multi-cuenta — OUs, Service Control Policies (SCPs), Resource Control Policies, facturación consolidada y administración delegada para servicios de seguridad.
Por qué está en el examen: El Dominio 6 (Governance) y el Dominio 4 (IAM) evalúan las SCPs como el tope de límites de permisos por encima de IAM y el prerrequisito para la agregación a nivel de organización de GuardDuty, Security Hub y Config.
$140k–$200k–$290k USD anual
El rango cubre roles de seguridad en la nube de nivel medio a senior en EE. UU. donde se requiere competencia en AWS. Los servicios financieros de primer nivel, las FAANG y las empresas unicornio centradas en la seguridad a menudo superan los $350k de compensación total. Los títulos de "ingeniero de seguridad" de nivel de entrada en mercados no costeros caen por debajo del límite inferior. Las certificaciones de especialidad en seguridad suelen tener una prima en relación con las certificaciones generales de la nube.
Fuente: roles de seguridad en la nube en levels.fyi 2025–2026, U.S. BLS OEWS May 2024 (15-1212 information security analysts). Las cifras son aproximadas; la compensación real depende del rol, la región y la experiencia.
La contratación en seguridad en la nube se mantuvo fuerte durante 2024–2026 a medida que las empresas continuaron madurando programas de seguridad en torno a propiedades de AWS de múltiples cuentas, patrones de confianza cero y riesgos de la cadena de suministro. SCS-C03 se lista ampliamente como preferida para roles de ingeniero y arquitecto de seguridad en la nube, y es una de las credenciales de seguridad individuales más universalmente respetadas junto con CISSP y CCSP. Los reclutadores en servicios financieros, atención médica y SaaS enfocadas en seguridad la tratan como una señal creíble de la profundidad de seguridad específica de AWS. Combina naturalmente con SAA-C03 o SAP-C02, la Advanced Networking Specialty (ANS-C01) y credenciales de múltiples proveedores. La certificación NO califica por sí misma a los candidatos para roles de CISO o vicepresidente de seguridad —esos roles esperan un liderazgo de programa y experiencia en gestión de riesgos más amplios.
No hay prerrequisitos formales. AWS recomienda al menos 3 a 5 años de experiencia general en seguridad de TI y al menos 2 años de experiencia práctica en seguridad de AWS.
La mayoría de los candidatos abordan SCS-C03 después de SAA-C03 (fundamentos arquitectónicos) e idealmente después de SAP-C02 o DOP-C02 para una profundidad adicional. Los candidatos con sólidos antecedentes de seguridad general (CISSP, CompTIA Security+) pero exposición limitada a AWS deben planificar un tiempo adicional sustancial en IAM (especialmente límites de permisos y SCPs), políticas de clave de KMS y la taxonomía de servicios de detección de AWS. Un laboratorio de AWS Organizations de múltiples cuentas que funcione con Control Tower, paquetes de conformidad de Config y registro centralizado es el artefacto de preparación con el mayor ROI.
SCS-C03 está clasificada como Especialidad y es uno de los exámenes más difíciles de AWS. Planifique de 80 a 140 horas durante 10 a 14 semanas para candidatos que ya trabajan en seguridad en la nube; de 160 a 220+ horas para aquellos que provienen de seguridad general o de entornos generales de AWS. El examen consta de 65 preguntas puntuadas en 170 minutos —de opción múltiple y de respuesta múltiple, sin laboratorios.
El mayor punto de tropiezo es la profundidad de la evaluación de políticas de IAM: comprender con precisión cómo se combinan las políticas de identidad, las políticas de recursos, los límites de permisos, los SCPs y las políticas de sesión, y cómo interactúan las claves de condición con el acceso entre cuentas. La evaluación de políticas de clave de KMS ocupa un cercano segundo lugar. Los candidatos también pierden puntos rutinariamente en la diferenciación de servicios de detección (GuardDuty vs. Security Hub vs. Detective vs. Inspector) y en preguntas sutiles de flujo de tráfico de VPC que involucran puntos finales y PrivateLink.
Versión actual. Cobertura modernizada de servicios de detección, gobernanza de múltiples cuentas, claves multirregión de KMS y Network Firewall. Patrones actualizados de respuesta a incidentes que reflejan la madurez de EventBridge / SSM Automation.
Breve revisión intermedia. Retirada en 2023.
Especialidad de Seguridad original. Retirada hace tiempo; herramientas de detección de la era pre-Security-Hub.
SCS-C03 (AWS Certified Security Specialty) es un examen de nivel Specialty un examen profundamente especializado que cubre temas avanzados en un dominio estrecho — se espera que la experiencia práctica sea un requisito previo. La mayoría de los candidatos necesitan entre 100 y 200 horas de estudio distribuidas en 2 a 4 meses para los exámenes de especialidad. Estos asumen experiencia práctica en el dominio de la especialidad. La mayoría de los candidatos que obtienen consistentemente una puntuación por encima del umbral de aprobación en los exámenes de práctica, aprueban en su primer intento.
La mayoría de los candidatos necesitan entre 100 y 200 horas de estudio distribuidas en 2 a 4 meses para los exámenes de especialidad. Estos asumen experiencia práctica en el dominio de la especialidad. El tiempo para aprobar varía ampliamente según la experiencia previa. Los ingenieros con experiencia práctica en producción en la tecnología subyacente suelen necesitar menos; los candidatos nuevos en la plataforma deben planificar hacia el extremo superior de ese rango.
SCS-C03 es una credencial reconocida en el ecosistema de AWS y señala conocimientos validados a empleadores, reclutadores y clientes. Si vale la pena el tiempo y la tarifa para ti, depende de tu rol y objetivos — tiende a ser más rentable para ingenieros de la nube, arquitectos y consultores que trabajan con AWS a diario o quieren pasar a roles que lo hagan.
La puntuación de aprobación para SCS-C03 es 750 / 1000. El examen contiene 65 preguntas y dura 2 h 50 min.
La tarifa del examen SCS-C03 es de $300 USD. Las tarifas son establecidas por AWS y pueden variar según la región; siempre confirma el precio actual en la página oficial de certificación de AWS antes de reservar.
Las certificaciones de AWS son válidas por 3 años. Recertifícate aprobando la versión actual del mismo examen, o aprobando un examen de nivel superior en la misma ruta antes de la caducidad.
Sí. Puedes realizar el examen en línea (supervisado a través del navegador seguro del proveedor, disponible 24/7 en la mayoría de las regiones) o en un centro de examen presencial de Pearson VUE durante el horario comercial. Ambos formatos utilizan las mismas preguntas, límite de tiempo y puntuación de aprobación.
CertLabPro ofrece 15 modos de estudio en todo el banco de preguntas de práctica para SCS-C03. El modo de simulación de examen reproduce el examen real: 65 preguntas en 2 h 50 min, con el mismo umbral de aprobación de 750 / 1000. El modo de navegación te permite leer todas las preguntas y respuestas de forma estática.