Saltar al contenido

Guía del examen AWS SCS-C03 2026 Temario consejos y plan de estudio

La seguridad en la nube ya no consiste únicamente en configurar un firewall o crear contraseñas seguras. Las organizaciones que utilizan Amazon Web Services necesitan proteger identidades, redes, aplicaciones, registros, datos y claves de cifrado mientras responden rápidamente a posibles incidentes.

El examen AWS Certified Security – Specialty, identificado por el código SCS-C03, evalúa si un profesional puede diseñar, implementar y solucionar problemas de seguridad en entornos de AWS.

Esta guía del examen AWS SCS-C03 explica el formato actualizado, los seis dominios oficiales, los servicios más importantes, las diferencias entre SCS-C02 y SCS-C03 y un plan práctico de estudio de 30 días.

Después de estudiar el contenido oficial, puedes utilizar las preguntas de práctica SCS-C03 para identificar tus áreas débiles antes del examen.

¿Qué es la certificación AWS Certified Security – Specialty?

AWS Certified Security – Specialty es una certificación avanzada que valida conocimientos especializados sobre la protección de cargas de trabajo, aplicaciones y datos en AWS.

La certificación demuestra conocimientos en áreas como:

  • Detección de amenazas
  • Registro y supervisión
  • Respuesta ante incidentes
  • Seguridad de red
  • Seguridad de cargas de trabajo
  • Autenticación y autorización
  • Protección de datos
  • Cifrado
  • Administración de claves
  • Gobernanza
  • Cumplimiento
  • Automatización de la seguridad

No es una certificación para principiantes absolutos. Los candidatos deben comprender los servicios fundamentales de AWS, el modelo de responsabilidad compartida y los principios generales de seguridad en la nube.

Información del examen SCS-C03

Estos son los detalles oficiales del examen:

DetalleInformación
NombreAWS Certified Security – Specialty
CódigoSCS-C03
NivelSpecialty
Duración170 minutos
Total de preguntas65
Preguntas con puntaje50
Preguntas sin puntaje15
Puntaje mínimo750 de 1,000
Precio300 USD
ProveedorPearson VUE
OpcionesCentro de evaluación o examen supervisado en línea
ValidezTres años

El examen puede incluir:

  • Preguntas de opción múltiple
  • Preguntas de respuesta múltiple
  • Preguntas de ordenamiento
  • Preguntas de comparación o emparejamiento

Las preguntas no respondidas se califican como incorrectas. Sin embargo, AWS no aplica ninguna penalización adicional por seleccionar una respuesta incorrecta.

AWS no identifica cuáles son las 15 preguntas sin puntaje. Por este motivo, debes responder todas las preguntas con el mismo cuidado.

Consulta siempre la página oficial de AWS Certified Security – Specialty antes de programar el examen.

¿Está disponible SCS-C03 en español?

Sí. AWS ofrece actualmente el examen SCS-C03 en los siguientes idiomas:

  • Inglés
  • Japonés
  • Coreano
  • Portugués de Brasil
  • Chino simplificado
  • Español de América Latina

Los candidatos que prefieran realizar el examen en español deben seleccionar Español (América Latina) durante el proceso de programación en Pearson VUE.

Algunos nombres de servicios y conceptos técnicos pueden permanecer en inglés. Es recomendable conocer términos como Identity and Access Management, Security Groups, Network ACLs y Service Control Policies aunque realices el examen en español.

¿Quién debería presentar el examen SCS-C03?

Esta certificación es adecuada para profesionales que trabajan con seguridad, arquitectura, operaciones o administración de entornos AWS.

Puede ser especialmente útil para:

  • Ingenieros de seguridad
  • Arquitectos de soluciones
  • Arquitectos de seguridad
  • Ingenieros de nube
  • Administradores de sistemas
  • Analistas de ciberseguridad
  • Profesionales de DevSecOps
  • Consultores de seguridad
  • Ingenieros de respuesta ante incidentes
  • Auditores técnicos de la nube

AWS recomienda experiencia práctica protegiendo cargas de trabajo y aplicaciones en su plataforma.

También deberías conocer:

  • Servicios principales de AWS
  • Arquitecturas de múltiples cuentas
  • Redes de Amazon VPC
  • AWS IAM
  • Cifrado
  • Registro y supervisión
  • Respuesta ante incidentes
  • Automatización
  • Modelo de responsabilidad compartida

Dominios y ponderación del examen SCS-C03

El examen contiene seis dominios.

DominioPonderación
Detección16 %
Respuesta ante incidentes14 %
Seguridad de infraestructura18 %
Identity and Access Management20 %
Protección de datos18 %
Aspectos básicos y gobernanza de la seguridad14 %

Identity and Access Management es el dominio individual con mayor ponderación. Sin embargo, detección y respuesta ante incidentes representan en conjunto el 30 % del contenido con puntaje.

La estructura está confirmada en la guía oficial SCS-C03 en español.

Temario completo del examen AWS SCS-C03

Dominio 1: Detección

Este dominio representa el 16 % del contenido con puntaje.

Evalúa si puedes diseñar, implementar y solucionar problemas relacionados con supervisión, registro y alertas de seguridad.

Supervisión y alertas

Debes saber cómo seleccionar y configurar servicios que permitan detectar comportamientos anormales, amenazas y cambios no autorizados.

Servicios importantes:

  • Amazon GuardDuty
  • AWS Security Hub
  • Amazon Inspector
  • Amazon Detective
  • Amazon CloudWatch
  • AWS CloudTrail
  • AWS Config
  • Amazon EventBridge
  • AWS Lambda
  • Amazon SNS

Amazon GuardDuty analiza fuentes como eventos de CloudTrail, registros de flujo de VPC y registros de consultas de DNS para identificar posibles amenazas.

AWS Security Hub centraliza hallazgos de seguridad y ayuda a evaluar la postura de seguridad de varias cuentas.

Amazon Detective permite investigar relaciones y actividades relacionadas con un evento de seguridad.

Diseño de una estrategia de registro

Una estrategia de registro debe responder preguntas como:

  • ¿Qué actividades deben registrarse?
  • ¿Dónde se almacenarán los registros?
  • ¿Quién puede acceder a ellos?
  • ¿Cuánto tiempo deben conservarse?
  • ¿Cómo se protegerán contra modificaciones?
  • ¿Cómo se analizarán?
  • ¿Qué eventos generarán alertas?
AWS CloudTrail

AWS CloudTrail registra actividades de API y eventos compatibles de una cuenta de AWS.

Debes comprender:

  • Historial de eventos
  • Trails
  • CloudTrail Lake
  • Registros de administración
  • Eventos de datos
  • Insights
  • Implementación en múltiples cuentas
  • Protección de archivos de registro
  • Integración con Amazon S3 y CloudWatch Logs
Protección centralizada de registros

En una organización con múltiples cuentas, los registros deberían enviarse a una ubicación central protegida. La cuenta que genera un registro no debería poder modificar o eliminar fácilmente la copia central utilizada para investigación y cumplimiento.

Dominio 2: Respuesta ante incidentes

Este dominio representa el 14 %.

Evalúa la capacidad para diseñar, probar y ejecutar procesos de respuesta ante incidentes de seguridad.

Plan de respuesta ante incidentes

Un plan efectivo debe definir:

  • Funciones y responsabilidades
  • Canales de comunicación
  • Procedimientos de escalamiento
  • Evidencia que debe conservarse
  • Acciones de contención
  • Procesos de recuperación
  • Requisitos regulatorios
  • Lecciones aprendidas
  • Automatizaciones autorizadas

El plan debe probarse antes de que ocurra un incidente real.

Las pruebas pueden incluir:

  • Ejercicios de mesa
  • Simulaciones
  • Pruebas técnicas
  • AWS Fault Injection Service
  • Escenarios controlados
  • Revisiones posteriores

Respuesta automatizada

Amazon EventBridge, AWS Lambda y AWS Systems Manager pueden automatizar acciones de respuesta.

Por ejemplo, una automatización podría:

  1. Recibir un hallazgo de GuardDuty.
  2. Notificar al equipo mediante Amazon SNS.
  3. Aplicar una etiqueta al recurso.
  4. Aislar una instancia.
  5. Capturar evidencia.
  6. Bloquear credenciales comprometidas.
  7. Crear un ticket de investigación.

La automatización debe estar cuidadosamente controlada. Una respuesta automática incorrecta puede interrumpir una carga de trabajo legítima.

Conservación de evidencia

Durante una investigación, debes preservar la integridad de la evidencia.

Esto puede incluir:

  • Crear instantáneas de volúmenes
  • Conservar registros
  • Evitar modificaciones
  • Registrar todas las acciones
  • Usar almacenamiento inmutable
  • Limitar el acceso
  • Mantener una cadena de custodia

No deberías apagar o modificar inmediatamente un recurso comprometido si eso puede destruir evidencia importante.

Dominio 3: Seguridad de infraestructura

Este dominio representa el 18 %.

Incluye controles de seguridad en servicios perimetrales, recursos de computación y redes.

Protección del perímetro

Servicios relevantes:

  • Amazon CloudFront
  • AWS WAF
  • AWS Shield
  • Amazon Route 53
  • AWS Firewall Manager
  • Elastic Load Balancing
  • Amazon API Gateway

AWS WAF ayuda a filtrar solicitudes web según reglas, direcciones IP, cadenas, patrones y otros criterios.

AWS Shield ayuda a proteger contra ataques distribuidos de denegación de servicio.

AWS Firewall Manager permite administrar políticas de seguridad de manera centralizada en múltiples cuentas.

Seguridad de cargas de trabajo

Debes conocer controles para:

  • Amazon EC2
  • AWS Lambda
  • Amazon ECS
  • Amazon EKS
  • Contenedores
  • Imágenes
  • Parches
  • Vulnerabilidades
  • Metadatos de instancias
  • Roles de IAM
  • Secretos

Amazon Inspector puede evaluar vulnerabilidades de software y exposiciones no deseadas en recursos compatibles.

Las instancias EC2 deberían utilizar roles de IAM en lugar de claves de acceso permanentes almacenadas en archivos.

Seguridad de red

Conceptos esenciales:

  • Amazon VPC
  • Subredes públicas y privadas
  • Tablas de rutas
  • Security Groups
  • Network ACLs
  • VPC endpoints
  • AWS PrivateLink
  • AWS Transit Gateway
  • AWS Network Firewall
  • Registros de flujo de VPC
  • Conectividad híbrida

Security Groups y Network ACLs

Los Security Groups son controles con estado asociados a recursos compatibles. Si permiten una solicitud, el tráfico de respuesta correspondiente se permite automáticamente.

Las Network ACLs son controles sin estado aplicados en el nivel de subred. Las reglas de entrada y salida se evalúan de manera independiente.

CaracterísticaSecurity GroupNetwork ACL
NivelRecurso o interfazSubred
EstadoCon estadoSin estado
Reglas de denegaciónNo
EvaluaciónTodas las reglasOrden numérico
Uso principalControl de recursosProtección adicional de subred

VPC Endpoints

Los VPC endpoints permiten acceder de forma privada a servicios compatibles sin enviar el tráfico a través de Internet.

Pueden ayudar a:

  • Reducir la exposición pública
  • Aplicar políticas de endpoint
  • Mantener tráfico dentro de la red de AWS
  • Controlar el acceso a servicios

Dominio 4: Identity and Access Management

Este es el dominio más grande y representa el 20 %.

Incluye estrategias de autenticación, autorización y solución de problemas de acceso.

Autenticación

La autenticación confirma la identidad de una persona, aplicación o sistema.

Servicios y conceptos importantes:

  • AWS IAM Identity Center
  • IAM
  • AWS STS
  • Amazon Cognito
  • AWS Directory Service
  • Autenticación multifactor
  • Federación
  • Proveedores de identidad
  • SAML
  • OpenID Connect
  • Credenciales temporales
  • URLs prefirmadas

Credenciales temporales

AWS Security Token Service proporciona credenciales temporales para roles y acceso federado.

En general, las credenciales temporales son preferibles a las claves de acceso permanentes porque:

  • Caducan automáticamente
  • Reducen el impacto de una filtración
  • Se pueden limitar mediante políticas
  • Admiten sesiones de roles
  • Facilitan el acceso entre cuentas

Autorización

La autorización determina las acciones que una identidad autenticada puede realizar.

Debes comprender:

  • Políticas basadas en identidad
  • Políticas basadas en recursos
  • Políticas de confianza
  • Límites de permisos
  • Políticas de sesión
  • Service Control Policies
  • Políticas de endpoint
  • Control basado en roles
  • Control basado en atributos
  • Acceso entre cuentas

Evaluación de políticas

Una solicitud puede verse afectada por varios tipos de políticas.

Una denegación explícita normalmente tiene prioridad sobre una autorización. La ausencia de una autorización aplicable produce una denegación implícita.

Debes revisar:

  • Principal
  • Acción
  • Recurso
  • Condición
  • Efecto
  • Políticas de confianza
  • Límites
  • SCP
  • Políticas de sesión
Principio de mínimo privilegio

El mínimo privilegio significa conceder únicamente los permisos necesarios para realizar una tarea.

Una estrategia práctica puede incluir:

  • Comenzar con permisos limitados
  • Analizar la actividad real
  • Utilizar IAM Access Analyzer
  • Eliminar acciones no utilizadas
  • Aplicar condiciones
  • Usar credenciales temporales
  • Revisar permisos regularmente
RBAC y ABAC

RBAC asigna permisos según un rol, como administrador, desarrollador o auditor.

ABAC utiliza atributos, normalmente etiquetas, para tomar decisiones de acceso. Puede escalar mejor en entornos grandes si los recursos y las identidades utilizan etiquetas coherentes.

Dominio 5: Protección de datos

Este dominio representa el 18 %.

Evalúa la protección de información en tránsito, en reposo y durante la administración de secretos y claves criptográficas.

Protección de datos en tránsito

Los datos en tránsito deben protegerse mediante protocolos y configuraciones seguras.

Conceptos importantes:

  • TLS
  • Certificados
  • AWS Certificate Manager
  • VPN
  • AWS Direct Connect
  • Cifrado de aplicaciones
  • Políticas de seguridad
  • Perfect Forward Secrecy
  • Terminación TLS

AWS Certificate Manager puede aprovisionar y administrar certificados para servicios compatibles.

Protección de datos en reposo

Los datos almacenados pueden protegerse mediante:

  • Cifrado del lado del servidor
  • Cifrado del lado del cliente
  • AWS KMS
  • AWS CloudHSM
  • Claves administradas por AWS
  • Claves administradas por el cliente
  • Políticas de claves
  • Rotación
  • Control de acceso

Servicios relevantes incluyen:

  • Amazon S3
  • Amazon EBS
  • Amazon RDS
  • Amazon DynamoDB
  • Amazon Redshift
  • Amazon OpenSearch Service
  • Amazon SQS

AWS Key Management Service

AWS KMS ayuda a crear y controlar claves utilizadas para cifrar datos.

Debes comprender:

  • Claves administradas por AWS
  • Claves administradas por el cliente
  • Políticas de claves
  • Grants
  • Alias
  • Rotación
  • Claves multirregión
  • Importación de material de claves
  • Eliminación programada
  • Cifrado de sobre

Políticas de claves KMS

Una política de claves controla el uso y administración de una clave KMS.

Una política IAM por sí sola no siempre es suficiente. Debes comprender la relación entre políticas IAM, políticas de claves y grants.

AWS CloudHSM

AWS CloudHSM proporciona módulos de seguridad de hardware dedicados bajo el control del cliente.

Puede ser adecuado cuando una organización necesita:

  • Control directo sobre módulos HSM
  • Requisitos criptográficos especializados
  • Estándares regulatorios específicos
  • Integración con aplicaciones compatibles
  • Control exclusivo del material criptográfico

Secrets Manager y Parameter Store

AWS Secrets Manager ayuda a almacenar y rotar secretos como credenciales de bases de datos y claves API.

AWS Systems Manager Parameter Store almacena datos de configuración y valores seguros.

Evita almacenar secretos en:

  • Código fuente
  • Archivos públicos
  • Imágenes de contenedores
  • Variables sin protección
  • Plantillas de infraestructura compartidas
  • Registros

Dominio 6: Aspectos básicos y gobernanza de la seguridad

Este dominio representa el 14 %.

Incluye arquitecturas de múltiples cuentas, gobernanza, cumplimiento, implementación segura y mejora de la postura de seguridad.

Modelo de responsabilidad compartida

AWS es responsable de la seguridad de la nube. El cliente es responsable de la seguridad en la nube.

La distribución exacta depende del servicio.

Por ejemplo:

  • En Amazon EC2, el cliente administra el sistema operativo invitado.
  • En un servicio administrado, AWS puede asumir más responsabilidades operativas.
  • El cliente siempre debe controlar sus datos, identidades, permisos y configuraciones.

Arquitectura de múltiples cuentas

AWS Organizations ayuda a administrar varias cuentas.

Una estructura segura puede separar:

  • Producción
  • Desarrollo
  • Seguridad
  • Registro
  • Redes
  • Cargas de trabajo
  • Entornos de pruebas

La separación de cuentas puede reducir el impacto de un incidente y mejorar la aplicación de controles.

Service Control Policies

Las SCP establecen el máximo conjunto de permisos disponible para cuentas y unidades organizativas.

Una SCP:

  • No concede permisos por sí sola
  • Limita lo que las políticas IAM pueden autorizar
  • Puede aplicar restricciones organizativas
  • Puede incluir denegaciones explícitas

AWS Control Tower

AWS Control Tower ayuda a crear y gobernar un entorno de múltiples cuentas.

Puede proporcionar:

  • Landing zone
  • Controles preventivos
  • Controles de detección
  • Configuración central
  • Registro
  • Estructura organizativa
  • Creación de cuentas

Cumplimiento y auditoría

Servicios y recursos relevantes:

  • AWS Artifact
  • AWS Audit Manager
  • AWS Config
  • Security Hub
  • CloudTrail
  • AWS Organizations
  • AWS Control Tower

AWS Artifact proporciona acceso a determinados informes de cumplimiento y acuerdos.

AWS Audit Manager ayuda a recopilar evidencia para auditorías.

AWS Config registra configuraciones de recursos compatibles y puede evaluar su cumplimiento mediante reglas.

Diferencias entre SCS-C02 y SCS-C03

SCS-C03 reorganiza y actualiza el contenido del examen anterior.

Cambios importantes:

  • Detección es ahora un dominio independiente.
  • Respuesta ante incidentes es ahora un dominio independiente.
  • IAM aumentó del 16 % al 20 %.
  • Seguridad de infraestructura cambió del 20 % al 18 %.
  • Detección representa el 16 %.
  • Respuesta ante incidentes representa el 14 %.
  • El dominio de gobernanza recibió una denominación actualizada.
  • Se añadieron y reorganizaron servicios y conceptos actuales.

Los candidatos que estudiaron SCS-C02 deben revisar la comparación oficial entre SCS-C02 y SCS-C03.

Servicios más importantes para SCS-C03

Estudia el propósito y la interacción de:

  • AWS IAM
  • IAM Identity Center
  • AWS STS
  • AWS Organizations
  • AWS Control Tower
  • AWS KMS
  • AWS CloudHSM
  • AWS Secrets Manager
  • AWS CloudTrail
  • Amazon CloudWatch
  • Amazon GuardDuty
  • AWS Security Hub
  • Amazon Detective
  • Amazon Inspector
  • AWS Config
  • AWS WAF
  • AWS Shield
  • AWS Firewall Manager
  • AWS Network Firewall
  • Amazon Macie
  • Amazon Cognito
  • AWS Certificate Manager
  • AWS Systems Manager
  • Amazon EventBridge
  • AWS Lambda

No memorices solamente los nombres. Aprende qué problema resuelve cada servicio y cómo se combina con otros controles.

Plan de estudio SCS-C03 de 30 días

Semana 1: Detección y respuesta

Estudia:

  • CloudTrail
  • CloudWatch
  • GuardDuty
  • Security Hub
  • Detective
  • Inspector
  • Config
  • EventBridge
  • Respuesta automatizada
  • Conservación de evidencia

Crea alertas y revisa hallazgos de ejemplo.

Semana 2: Infraestructura e IAM

Practica:

  • VPC
  • Security Groups
  • Network ACLs
  • WAF
  • Shield
  • Network Firewall
  • IAM
  • STS
  • Federación
  • Acceso entre cuentas
  • SCP
  • Políticas de recursos
  • IAM Access Analyzer

Dedica tiempo adicional a IAM porque es el dominio con mayor ponderación.

Semana 3: Datos y gobernanza

Estudia:

  • AWS KMS
  • CloudHSM
  • Secrets Manager
  • Cifrado en tránsito
  • Cifrado en reposo
  • Políticas de claves
  • Organizations
  • Control Tower
  • Audit Manager
  • Artifact
  • Modelo de responsabilidad compartida

Practica la evaluación de políticas KMS e IAM.

Semana 4: Laboratorios y simuladores

Durante la última semana:

  1. Revisa los seis dominios.
  2. Realiza laboratorios de seguridad.
  3. Completa preguntas oficiales de AWS.
  4. Haz un simulador SCS-C03 con límite de tiempo.
  5. Clasifica los errores por dominio.
  6. Revisa la documentación oficial.
  7. Practica preguntas de ordenamiento.
  8. Repasa las diferencias entre SCS-C02 y SCS-C03.
  9. Repite el simulador después de corregir tus debilidades.

Puedes utilizar el material de preparación SCS-C03 después de completar el aprendizaje oficial.

Errores comunes durante la preparación

Evita estos errores:

  • Estudiar únicamente IAM
  • Ignorar la respuesta ante incidentes
  • Memorizar servicios sin entender escenarios
  • Confundir Security Groups con Network ACLs
  • Confundir GuardDuty con Inspector
  • Ignorar políticas de claves KMS
  • No practicar acceso entre cuentas
  • Estudiar solamente material de SCS-C02
  • Memorizar respuestas de simuladores
  • No revisar preguntas incorrectas
  • Ignorar la automatización de seguridad
  • No practicar la administración de múltiples cuentas

Preguntas frecuentes sobre SCS-C03

¿Es difícil el examen SCS-C03?

Sí. Es una certificación de especialidad que requiere conocimientos amplios y experiencia práctica en seguridad de AWS.

¿Cuántas preguntas contiene?

El examen contiene 65 preguntas: 50 afectan el puntaje y 15 no tienen puntaje.

¿Cuál es el puntaje mínimo?

El puntaje mínimo para aprobar es 750 en una escala de 100 a 1,000.

¿Cuánto dura el examen?

La duración es de 170 minutos.

¿Cuánto cuesta SCS-C03?

El precio oficial es de 300 USD. Pueden aplicarse impuestos o tipos de cambio locales.

¿Está disponible en español?

Sí. Está disponible en español de América Latina.

¿Necesito otra certificación AWS primero?

AWS no exige una certificación previa. Sin embargo, tener experiencia práctica y conocimientos de arquitectura AWS es muy recomendable.

¿Cuánto tiempo es válida la certificación?

Las certificaciones AWS tienen una validez de tres años.

¿Son suficientes las preguntas de práctica?

No. Deben combinarse con documentación oficial, experiencia práctica, laboratorios y revisión detallada de los dominios.

¿Qué ocurre si no apruebo?

Debes esperar 14 días naturales antes de volver a realizar el examen. Normalmente debes pagar nuevamente la tarifa completa.

AWS Certified Security – Specialty demuestra que puedes proteger identidades, redes, aplicaciones y datos en entornos AWS. Para aprobar, necesitas comprender cómo detectar amenazas, responder a incidentes, aplicar controles de infraestructura, diseñar permisos, proteger datos y gobernar una organización de múltiples cuentas.

Utiliza esta guía del examen AWS SCS-C03 como lista de preparación. Dedica tiempo adicional a IAM, pero estudia todos los dominios y practica escenarios que combinen varios servicios.

Cuando completes la documentación y los laboratorios oficiales, evalúa tu preparación con las preguntas actualizadas SCS-C03 y revisa cuidadosamente cada error antes del examen.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *