La seguridad en la nube ya no consiste únicamente en configurar un firewall o crear contraseñas seguras. Las organizaciones que utilizan Amazon Web Services necesitan proteger identidades, redes, aplicaciones, registros, datos y claves de cifrado mientras responden rápidamente a posibles incidentes.
El examen AWS Certified Security – Specialty, identificado por el código SCS-C03, evalúa si un profesional puede diseñar, implementar y solucionar problemas de seguridad en entornos de AWS.
Esta guía del examen AWS SCS-C03 explica el formato actualizado, los seis dominios oficiales, los servicios más importantes, las diferencias entre SCS-C02 y SCS-C03 y un plan práctico de estudio de 30 días.
Después de estudiar el contenido oficial, puedes utilizar las preguntas de práctica SCS-C03 para identificar tus áreas débiles antes del examen.
¿Qué es la certificación AWS Certified Security – Specialty?
AWS Certified Security – Specialty es una certificación avanzada que valida conocimientos especializados sobre la protección de cargas de trabajo, aplicaciones y datos en AWS.
La certificación demuestra conocimientos en áreas como:
- Detección de amenazas
- Registro y supervisión
- Respuesta ante incidentes
- Seguridad de red
- Seguridad de cargas de trabajo
- Autenticación y autorización
- Protección de datos
- Cifrado
- Administración de claves
- Gobernanza
- Cumplimiento
- Automatización de la seguridad
No es una certificación para principiantes absolutos. Los candidatos deben comprender los servicios fundamentales de AWS, el modelo de responsabilidad compartida y los principios generales de seguridad en la nube.
Información del examen SCS-C03
Estos son los detalles oficiales del examen:
| Detalle | Información |
|---|---|
| Nombre | AWS Certified Security – Specialty |
| Código | SCS-C03 |
| Nivel | Specialty |
| Duración | 170 minutos |
| Total de preguntas | 65 |
| Preguntas con puntaje | 50 |
| Preguntas sin puntaje | 15 |
| Puntaje mínimo | 750 de 1,000 |
| Precio | 300 USD |
| Proveedor | Pearson VUE |
| Opciones | Centro de evaluación o examen supervisado en línea |
| Validez | Tres años |
El examen puede incluir:
- Preguntas de opción múltiple
- Preguntas de respuesta múltiple
- Preguntas de ordenamiento
- Preguntas de comparación o emparejamiento
Las preguntas no respondidas se califican como incorrectas. Sin embargo, AWS no aplica ninguna penalización adicional por seleccionar una respuesta incorrecta.
AWS no identifica cuáles son las 15 preguntas sin puntaje. Por este motivo, debes responder todas las preguntas con el mismo cuidado.
Consulta siempre la página oficial de AWS Certified Security – Specialty antes de programar el examen.
¿Está disponible SCS-C03 en español?
Sí. AWS ofrece actualmente el examen SCS-C03 en los siguientes idiomas:
- Inglés
- Japonés
- Coreano
- Portugués de Brasil
- Chino simplificado
- Español de América Latina
Los candidatos que prefieran realizar el examen en español deben seleccionar Español (América Latina) durante el proceso de programación en Pearson VUE.
Algunos nombres de servicios y conceptos técnicos pueden permanecer en inglés. Es recomendable conocer términos como Identity and Access Management, Security Groups, Network ACLs y Service Control Policies aunque realices el examen en español.
¿Quién debería presentar el examen SCS-C03?
Esta certificación es adecuada para profesionales que trabajan con seguridad, arquitectura, operaciones o administración de entornos AWS.
Puede ser especialmente útil para:
- Ingenieros de seguridad
- Arquitectos de soluciones
- Arquitectos de seguridad
- Ingenieros de nube
- Administradores de sistemas
- Analistas de ciberseguridad
- Profesionales de DevSecOps
- Consultores de seguridad
- Ingenieros de respuesta ante incidentes
- Auditores técnicos de la nube
AWS recomienda experiencia práctica protegiendo cargas de trabajo y aplicaciones en su plataforma.
También deberías conocer:
- Servicios principales de AWS
- Arquitecturas de múltiples cuentas
- Redes de Amazon VPC
- AWS IAM
- Cifrado
- Registro y supervisión
- Respuesta ante incidentes
- Automatización
- Modelo de responsabilidad compartida
Dominios y ponderación del examen SCS-C03
El examen contiene seis dominios.
| Dominio | Ponderación |
|---|---|
| Detección | 16 % |
| Respuesta ante incidentes | 14 % |
| Seguridad de infraestructura | 18 % |
| Identity and Access Management | 20 % |
| Protección de datos | 18 % |
| Aspectos básicos y gobernanza de la seguridad | 14 % |
Identity and Access Management es el dominio individual con mayor ponderación. Sin embargo, detección y respuesta ante incidentes representan en conjunto el 30 % del contenido con puntaje.
La estructura está confirmada en la guía oficial SCS-C03 en español.
Temario completo del examen AWS SCS-C03
Dominio 1: Detección
Este dominio representa el 16 % del contenido con puntaje.
Evalúa si puedes diseñar, implementar y solucionar problemas relacionados con supervisión, registro y alertas de seguridad.
Supervisión y alertas
Debes saber cómo seleccionar y configurar servicios que permitan detectar comportamientos anormales, amenazas y cambios no autorizados.
Servicios importantes:
- Amazon GuardDuty
- AWS Security Hub
- Amazon Inspector
- Amazon Detective
- Amazon CloudWatch
- AWS CloudTrail
- AWS Config
- Amazon EventBridge
- AWS Lambda
- Amazon SNS
Amazon GuardDuty analiza fuentes como eventos de CloudTrail, registros de flujo de VPC y registros de consultas de DNS para identificar posibles amenazas.
AWS Security Hub centraliza hallazgos de seguridad y ayuda a evaluar la postura de seguridad de varias cuentas.
Amazon Detective permite investigar relaciones y actividades relacionadas con un evento de seguridad.
Diseño de una estrategia de registro
Una estrategia de registro debe responder preguntas como:
- ¿Qué actividades deben registrarse?
- ¿Dónde se almacenarán los registros?
- ¿Quién puede acceder a ellos?
- ¿Cuánto tiempo deben conservarse?
- ¿Cómo se protegerán contra modificaciones?
- ¿Cómo se analizarán?
- ¿Qué eventos generarán alertas?
AWS CloudTrail
AWS CloudTrail registra actividades de API y eventos compatibles de una cuenta de AWS.
Debes comprender:
- Historial de eventos
- Trails
- CloudTrail Lake
- Registros de administración
- Eventos de datos
- Insights
- Implementación en múltiples cuentas
- Protección de archivos de registro
- Integración con Amazon S3 y CloudWatch Logs
Protección centralizada de registros
En una organización con múltiples cuentas, los registros deberían enviarse a una ubicación central protegida. La cuenta que genera un registro no debería poder modificar o eliminar fácilmente la copia central utilizada para investigación y cumplimiento.
Dominio 2: Respuesta ante incidentes
Este dominio representa el 14 %.
Evalúa la capacidad para diseñar, probar y ejecutar procesos de respuesta ante incidentes de seguridad.
Plan de respuesta ante incidentes
Un plan efectivo debe definir:
- Funciones y responsabilidades
- Canales de comunicación
- Procedimientos de escalamiento
- Evidencia que debe conservarse
- Acciones de contención
- Procesos de recuperación
- Requisitos regulatorios
- Lecciones aprendidas
- Automatizaciones autorizadas
El plan debe probarse antes de que ocurra un incidente real.
Las pruebas pueden incluir:
- Ejercicios de mesa
- Simulaciones
- Pruebas técnicas
- AWS Fault Injection Service
- Escenarios controlados
- Revisiones posteriores
Respuesta automatizada
Amazon EventBridge, AWS Lambda y AWS Systems Manager pueden automatizar acciones de respuesta.
Por ejemplo, una automatización podría:
- Recibir un hallazgo de GuardDuty.
- Notificar al equipo mediante Amazon SNS.
- Aplicar una etiqueta al recurso.
- Aislar una instancia.
- Capturar evidencia.
- Bloquear credenciales comprometidas.
- Crear un ticket de investigación.
La automatización debe estar cuidadosamente controlada. Una respuesta automática incorrecta puede interrumpir una carga de trabajo legítima.
Conservación de evidencia
Durante una investigación, debes preservar la integridad de la evidencia.
Esto puede incluir:
- Crear instantáneas de volúmenes
- Conservar registros
- Evitar modificaciones
- Registrar todas las acciones
- Usar almacenamiento inmutable
- Limitar el acceso
- Mantener una cadena de custodia
No deberías apagar o modificar inmediatamente un recurso comprometido si eso puede destruir evidencia importante.
Dominio 3: Seguridad de infraestructura
Este dominio representa el 18 %.
Incluye controles de seguridad en servicios perimetrales, recursos de computación y redes.
Protección del perímetro
Servicios relevantes:
- Amazon CloudFront
- AWS WAF
- AWS Shield
- Amazon Route 53
- AWS Firewall Manager
- Elastic Load Balancing
- Amazon API Gateway
AWS WAF ayuda a filtrar solicitudes web según reglas, direcciones IP, cadenas, patrones y otros criterios.
AWS Shield ayuda a proteger contra ataques distribuidos de denegación de servicio.
AWS Firewall Manager permite administrar políticas de seguridad de manera centralizada en múltiples cuentas.
Seguridad de cargas de trabajo
Debes conocer controles para:
- Amazon EC2
- AWS Lambda
- Amazon ECS
- Amazon EKS
- Contenedores
- Imágenes
- Parches
- Vulnerabilidades
- Metadatos de instancias
- Roles de IAM
- Secretos
Amazon Inspector puede evaluar vulnerabilidades de software y exposiciones no deseadas en recursos compatibles.
Las instancias EC2 deberían utilizar roles de IAM en lugar de claves de acceso permanentes almacenadas en archivos.
Seguridad de red
Conceptos esenciales:
- Amazon VPC
- Subredes públicas y privadas
- Tablas de rutas
- Security Groups
- Network ACLs
- VPC endpoints
- AWS PrivateLink
- AWS Transit Gateway
- AWS Network Firewall
- Registros de flujo de VPC
- Conectividad híbrida
Security Groups y Network ACLs
Los Security Groups son controles con estado asociados a recursos compatibles. Si permiten una solicitud, el tráfico de respuesta correspondiente se permite automáticamente.
Las Network ACLs son controles sin estado aplicados en el nivel de subred. Las reglas de entrada y salida se evalúan de manera independiente.
| Característica | Security Group | Network ACL |
|---|---|---|
| Nivel | Recurso o interfaz | Subred |
| Estado | Con estado | Sin estado |
| Reglas de denegación | No | Sí |
| Evaluación | Todas las reglas | Orden numérico |
| Uso principal | Control de recursos | Protección adicional de subred |
VPC Endpoints
Los VPC endpoints permiten acceder de forma privada a servicios compatibles sin enviar el tráfico a través de Internet.
Pueden ayudar a:
- Reducir la exposición pública
- Aplicar políticas de endpoint
- Mantener tráfico dentro de la red de AWS
- Controlar el acceso a servicios
Dominio 4: Identity and Access Management
Este es el dominio más grande y representa el 20 %.
Incluye estrategias de autenticación, autorización y solución de problemas de acceso.
Autenticación
La autenticación confirma la identidad de una persona, aplicación o sistema.
Servicios y conceptos importantes:
- AWS IAM Identity Center
- IAM
- AWS STS
- Amazon Cognito
- AWS Directory Service
- Autenticación multifactor
- Federación
- Proveedores de identidad
- SAML
- OpenID Connect
- Credenciales temporales
- URLs prefirmadas
Credenciales temporales
AWS Security Token Service proporciona credenciales temporales para roles y acceso federado.
En general, las credenciales temporales son preferibles a las claves de acceso permanentes porque:
- Caducan automáticamente
- Reducen el impacto de una filtración
- Se pueden limitar mediante políticas
- Admiten sesiones de roles
- Facilitan el acceso entre cuentas
Autorización
La autorización determina las acciones que una identidad autenticada puede realizar.
Debes comprender:
- Políticas basadas en identidad
- Políticas basadas en recursos
- Políticas de confianza
- Límites de permisos
- Políticas de sesión
- Service Control Policies
- Políticas de endpoint
- Control basado en roles
- Control basado en atributos
- Acceso entre cuentas
Evaluación de políticas
Una solicitud puede verse afectada por varios tipos de políticas.
Una denegación explícita normalmente tiene prioridad sobre una autorización. La ausencia de una autorización aplicable produce una denegación implícita.
Debes revisar:
- Principal
- Acción
- Recurso
- Condición
- Efecto
- Políticas de confianza
- Límites
- SCP
- Políticas de sesión
Principio de mínimo privilegio
El mínimo privilegio significa conceder únicamente los permisos necesarios para realizar una tarea.
Una estrategia práctica puede incluir:
- Comenzar con permisos limitados
- Analizar la actividad real
- Utilizar IAM Access Analyzer
- Eliminar acciones no utilizadas
- Aplicar condiciones
- Usar credenciales temporales
- Revisar permisos regularmente
RBAC y ABAC
RBAC asigna permisos según un rol, como administrador, desarrollador o auditor.
ABAC utiliza atributos, normalmente etiquetas, para tomar decisiones de acceso. Puede escalar mejor en entornos grandes si los recursos y las identidades utilizan etiquetas coherentes.
Dominio 5: Protección de datos
Este dominio representa el 18 %.
Evalúa la protección de información en tránsito, en reposo y durante la administración de secretos y claves criptográficas.
Protección de datos en tránsito
Los datos en tránsito deben protegerse mediante protocolos y configuraciones seguras.
Conceptos importantes:
- TLS
- Certificados
- AWS Certificate Manager
- VPN
- AWS Direct Connect
- Cifrado de aplicaciones
- Políticas de seguridad
- Perfect Forward Secrecy
- Terminación TLS
AWS Certificate Manager puede aprovisionar y administrar certificados para servicios compatibles.
Protección de datos en reposo
Los datos almacenados pueden protegerse mediante:
- Cifrado del lado del servidor
- Cifrado del lado del cliente
- AWS KMS
- AWS CloudHSM
- Claves administradas por AWS
- Claves administradas por el cliente
- Políticas de claves
- Rotación
- Control de acceso
Servicios relevantes incluyen:
- Amazon S3
- Amazon EBS
- Amazon RDS
- Amazon DynamoDB
- Amazon Redshift
- Amazon OpenSearch Service
- Amazon SQS
AWS Key Management Service
AWS KMS ayuda a crear y controlar claves utilizadas para cifrar datos.
Debes comprender:
- Claves administradas por AWS
- Claves administradas por el cliente
- Políticas de claves
- Grants
- Alias
- Rotación
- Claves multirregión
- Importación de material de claves
- Eliminación programada
- Cifrado de sobre
Políticas de claves KMS
Una política de claves controla el uso y administración de una clave KMS.
Una política IAM por sí sola no siempre es suficiente. Debes comprender la relación entre políticas IAM, políticas de claves y grants.
AWS CloudHSM
AWS CloudHSM proporciona módulos de seguridad de hardware dedicados bajo el control del cliente.
Puede ser adecuado cuando una organización necesita:
- Control directo sobre módulos HSM
- Requisitos criptográficos especializados
- Estándares regulatorios específicos
- Integración con aplicaciones compatibles
- Control exclusivo del material criptográfico
Secrets Manager y Parameter Store
AWS Secrets Manager ayuda a almacenar y rotar secretos como credenciales de bases de datos y claves API.
AWS Systems Manager Parameter Store almacena datos de configuración y valores seguros.
Evita almacenar secretos en:
- Código fuente
- Archivos públicos
- Imágenes de contenedores
- Variables sin protección
- Plantillas de infraestructura compartidas
- Registros
Dominio 6: Aspectos básicos y gobernanza de la seguridad
Este dominio representa el 14 %.
Incluye arquitecturas de múltiples cuentas, gobernanza, cumplimiento, implementación segura y mejora de la postura de seguridad.
Modelo de responsabilidad compartida
AWS es responsable de la seguridad de la nube. El cliente es responsable de la seguridad en la nube.
La distribución exacta depende del servicio.
Por ejemplo:
- En Amazon EC2, el cliente administra el sistema operativo invitado.
- En un servicio administrado, AWS puede asumir más responsabilidades operativas.
- El cliente siempre debe controlar sus datos, identidades, permisos y configuraciones.
Arquitectura de múltiples cuentas
AWS Organizations ayuda a administrar varias cuentas.
Una estructura segura puede separar:
- Producción
- Desarrollo
- Seguridad
- Registro
- Redes
- Cargas de trabajo
- Entornos de pruebas
La separación de cuentas puede reducir el impacto de un incidente y mejorar la aplicación de controles.
Service Control Policies
Las SCP establecen el máximo conjunto de permisos disponible para cuentas y unidades organizativas.
Una SCP:
- No concede permisos por sí sola
- Limita lo que las políticas IAM pueden autorizar
- Puede aplicar restricciones organizativas
- Puede incluir denegaciones explícitas
AWS Control Tower
AWS Control Tower ayuda a crear y gobernar un entorno de múltiples cuentas.
Puede proporcionar:
- Landing zone
- Controles preventivos
- Controles de detección
- Configuración central
- Registro
- Estructura organizativa
- Creación de cuentas
Cumplimiento y auditoría
Servicios y recursos relevantes:
- AWS Artifact
- AWS Audit Manager
- AWS Config
- Security Hub
- CloudTrail
- AWS Organizations
- AWS Control Tower
AWS Artifact proporciona acceso a determinados informes de cumplimiento y acuerdos.
AWS Audit Manager ayuda a recopilar evidencia para auditorías.
AWS Config registra configuraciones de recursos compatibles y puede evaluar su cumplimiento mediante reglas.
Diferencias entre SCS-C02 y SCS-C03
SCS-C03 reorganiza y actualiza el contenido del examen anterior.
Cambios importantes:
- Detección es ahora un dominio independiente.
- Respuesta ante incidentes es ahora un dominio independiente.
- IAM aumentó del 16 % al 20 %.
- Seguridad de infraestructura cambió del 20 % al 18 %.
- Detección representa el 16 %.
- Respuesta ante incidentes representa el 14 %.
- El dominio de gobernanza recibió una denominación actualizada.
- Se añadieron y reorganizaron servicios y conceptos actuales.
Los candidatos que estudiaron SCS-C02 deben revisar la comparación oficial entre SCS-C02 y SCS-C03.
Servicios más importantes para SCS-C03
Estudia el propósito y la interacción de:
- AWS IAM
- IAM Identity Center
- AWS STS
- AWS Organizations
- AWS Control Tower
- AWS KMS
- AWS CloudHSM
- AWS Secrets Manager
- AWS CloudTrail
- Amazon CloudWatch
- Amazon GuardDuty
- AWS Security Hub
- Amazon Detective
- Amazon Inspector
- AWS Config
- AWS WAF
- AWS Shield
- AWS Firewall Manager
- AWS Network Firewall
- Amazon Macie
- Amazon Cognito
- AWS Certificate Manager
- AWS Systems Manager
- Amazon EventBridge
- AWS Lambda
No memorices solamente los nombres. Aprende qué problema resuelve cada servicio y cómo se combina con otros controles.
Plan de estudio SCS-C03 de 30 días
Semana 1: Detección y respuesta
Estudia:
- CloudTrail
- CloudWatch
- GuardDuty
- Security Hub
- Detective
- Inspector
- Config
- EventBridge
- Respuesta automatizada
- Conservación de evidencia
Crea alertas y revisa hallazgos de ejemplo.
Semana 2: Infraestructura e IAM
Practica:
- VPC
- Security Groups
- Network ACLs
- WAF
- Shield
- Network Firewall
- IAM
- STS
- Federación
- Acceso entre cuentas
- SCP
- Políticas de recursos
- IAM Access Analyzer
Dedica tiempo adicional a IAM porque es el dominio con mayor ponderación.
Semana 3: Datos y gobernanza
Estudia:
- AWS KMS
- CloudHSM
- Secrets Manager
- Cifrado en tránsito
- Cifrado en reposo
- Políticas de claves
- Organizations
- Control Tower
- Audit Manager
- Artifact
- Modelo de responsabilidad compartida
Practica la evaluación de políticas KMS e IAM.
Semana 4: Laboratorios y simuladores
Durante la última semana:
- Revisa los seis dominios.
- Realiza laboratorios de seguridad.
- Completa preguntas oficiales de AWS.
- Haz un simulador SCS-C03 con límite de tiempo.
- Clasifica los errores por dominio.
- Revisa la documentación oficial.
- Practica preguntas de ordenamiento.
- Repasa las diferencias entre SCS-C02 y SCS-C03.
- Repite el simulador después de corregir tus debilidades.
Puedes utilizar el material de preparación SCS-C03 después de completar el aprendizaje oficial.
Errores comunes durante la preparación
Evita estos errores:
- Estudiar únicamente IAM
- Ignorar la respuesta ante incidentes
- Memorizar servicios sin entender escenarios
- Confundir Security Groups con Network ACLs
- Confundir GuardDuty con Inspector
- Ignorar políticas de claves KMS
- No practicar acceso entre cuentas
- Estudiar solamente material de SCS-C02
- Memorizar respuestas de simuladores
- No revisar preguntas incorrectas
- Ignorar la automatización de seguridad
- No practicar la administración de múltiples cuentas
Preguntas frecuentes sobre SCS-C03
¿Es difícil el examen SCS-C03?
Sí. Es una certificación de especialidad que requiere conocimientos amplios y experiencia práctica en seguridad de AWS.
¿Cuántas preguntas contiene?
El examen contiene 65 preguntas: 50 afectan el puntaje y 15 no tienen puntaje.
¿Cuál es el puntaje mínimo?
El puntaje mínimo para aprobar es 750 en una escala de 100 a 1,000.
¿Cuánto dura el examen?
La duración es de 170 minutos.
¿Cuánto cuesta SCS-C03?
El precio oficial es de 300 USD. Pueden aplicarse impuestos o tipos de cambio locales.
¿Está disponible en español?
Sí. Está disponible en español de América Latina.
¿Necesito otra certificación AWS primero?
AWS no exige una certificación previa. Sin embargo, tener experiencia práctica y conocimientos de arquitectura AWS es muy recomendable.
¿Cuánto tiempo es válida la certificación?
Las certificaciones AWS tienen una validez de tres años.
¿Son suficientes las preguntas de práctica?
No. Deben combinarse con documentación oficial, experiencia práctica, laboratorios y revisión detallada de los dominios.
¿Qué ocurre si no apruebo?
Debes esperar 14 días naturales antes de volver a realizar el examen. Normalmente debes pagar nuevamente la tarifa completa.
AWS Certified Security – Specialty demuestra que puedes proteger identidades, redes, aplicaciones y datos en entornos AWS. Para aprobar, necesitas comprender cómo detectar amenazas, responder a incidentes, aplicar controles de infraestructura, diseñar permisos, proteger datos y gobernar una organización de múltiples cuentas.
Utiliza esta guía del examen AWS SCS-C03 como lista de preparación. Dedica tiempo adicional a IAM, pero estudia todos los dominios y practica escenarios que combinen varios servicios.
Cuando completes la documentación y los laboratorios oficiales, evalúa tu preparación con las preguntas actualizadas SCS-C03 y revisa cuidadosamente cada error antes del examen.
