La nube es donde está el dinero. También es donde vive la mayor parte de las configuraciones incorrectas, donde la proliferación de IAM corre sin control, y donde la superficie de ataque ha crecido más rápido de lo que la mayoría de las organizaciones puede rastrear. Si haces trabajo de seguridad en la nube ofensivo o defensivo en 2026, el AWS Certified Security Specialty (SCS-C02) es una de las pocas certificaciones que realmente refleja cómo se ve el trabajo.
Esta es una reseña honesta completa — qué cubre el examen, qué tan difícil es, cuánto cuesta y si pertenece a tu stack de certificaciones.
¿Qué es el AWS Certified Security Specialty?
El AWS Certified Security Specialty, actualmente en versión de examen SCS-C02, es la certificación de seguridad de nivel avanzado de Amazon. Está posicionada por encima de Solutions Architect Associate/Professional en el track de seguridad y apunta a profesionales que diseñan, implementan y solucionan controles de seguridad en entornos AWS.
Esta no es una certificación para “marcar la casilla de cumplimiento”. El SCS-C02 espera que entiendas detección de amenazas, respuesta a incidentes en AWS, mecánica de políticas IAM, gestión de claves de cifrado y cómo arquitectar entornos AWS seguros bajo restricciones reales.
Para pentesters de nube y red teamers que han trabajado en técnicas de ataque AWS — escalada de privilegios IAM, configuraciones incorrectas de S3, abuso del servicio de metadatos, explotación de confianza entre cuentas — el SCS-C02 te obliga a entender el otro lado de la mesa. Ahí es donde se pone interesante.
Para Quién es el SCS-C02
El SCS-C02 es adecuado para ti si:
- Eres un ingeniero o arquitecto de seguridad en la nube responsable de entornos AWS
- Eres un red teamer o pentester de nube que quiere el contexto defensivo para complementar habilidades de ataque
- Apuntas a roles de Ingeniero de Seguridad en la Nube, Arquitecto de Nube o tracks de CISO en organizaciones con mucho AWS
- Ya tienes AWS Solutions Architect Associate o experiencia equivalente
- Has hecho trabajo de pentesting en la nube y quieres una credencial reconocida
El SCS-C02 no es adecuado para ti si:
- Eres nuevo en AWS — esta es una certificación especializada, no un punto de entrada
- Nunca has trabajado con políticas IAM, grupos de seguridad VPC o CloudTrail en un entorno real
- Buscas una certificación que te enseñe técnicas de ataque en la nube (la certificación tiene un enfoque defensivo)
Desglose de Dominios del Examen (SCS-C02)
El SCS-C02 se organiza en cinco dominios:
| Dominio | Peso |
|---|---|
| Detección de Amenazas y Respuesta a Incidentes | 14% |
| Logging y Monitoreo de Seguridad | 18% |
| Seguridad de Infraestructura | 20% |
| Identidad y Gestión de Acceso | 16% |
| Protección de Datos | 18% |
| Gestión y Gobernanza de Seguridad | 14% |
Logging y Monitoreo de Seguridad (18%) es el dominio individual más pesado y cubre CloudTrail, CloudWatch, GuardDuty, Security Hub, AWS Config y Detective. Si entiendes cómo los defensores usan estos servicios para detectar ataques, esto se mapea directamente a la conciencia de seguridad operacional del red team — saber qué estás generando en los logs es la mitad del OPSEC real.
Infraestructura de Seguridad (20%) es el dominio más amplio. Diseño de VPC, grupos de seguridad, NACLs, WAF, Shield, Firewall Manager, Systems Manager, reforzamiento de instancias EC2.
IAM (16%) puede estar subestimado en relación con su importancia en el mundo real, pero las preguntas son densas. Límites de permisos, diseño de SCP, políticas basadas en recursos vs. basadas en identidad, asunción de roles entre cuentas, federación.
Protección de Datos (18%) cubre KMS, CloudHSM, Certificate Manager, cifrado en reposo y en tránsito, opciones de cifrado S3 y gestión de secretos con Secrets Manager y Parameter Store.
Formato y Logística del Examen
- Preguntas: 65 (combinación de opción única y opción múltiple)
- Duración: 170 minutos
- Puntaje de aprobación: 750/1000
- Formato: Pearson VUE o PSI, en línea o en centro de pruebas
- Precio: $300 USD
- Validez: 3 años (recertificado mediante reexamen o educación continua)
- Prerrequisito: Ninguno formal — pero realísticamente necesitas experiencia con AWS
Las preguntas de respuesta múltiple (seleccionar dos o tres respuestas correctas) son donde la mayoría de los candidatos pierden puntos. Los distractores son a menudo parcialmente correctos, lo que te obliga a entender el razonamiento detrás de cada opción.
Dificultad
Calibración honesta: más difícil que Solutions Architect Professional para cualquiera que no haya trabajado específicamente en operaciones de seguridad en la nube. Más fácil de lo que la gente espera si tienes experiencia práctica en seguridad AWS.
El examen tropieza a los candidatos que han estudiado conceptualmente pero que no han configurado realmente políticas de clave KMS, escrito SCPs ni depurado denegaciones de permisos IAM en un entorno en vivo. Las preguntas son específicas.
Dónde fallan los candidatos:
- Mecánica de IAM — la interacción entre políticas basadas en recursos, políticas basadas en identidad, SCPs y límites de permisos
- Selección de servicios — GuardDuty vs. Security Hub vs. Macie vs. Inspector
- Procedimientos de respuesta a incidentes — los pasos específicos para aislamiento forense en AWS
Costo y Renovación
- Tarifa del examen: $300 USD
- Examen de práctica oficial (AWS): $40 USD — vale la pena
- Renovación: Cada 3 años por reexamen o créditos de educación continua de AWS
Estrategia de Preparación
Documentación de AWS Primero
La documentación oficial de AWS es genuinamente buena. La Guía del Usuario de IAM, la Guía para Desarrolladores de KMS y la documentación de Security Hub son densas pero autorizadas.
Laboratorios Prácticos
No puedes aprobar este examen solo con teoría. Configura una cuenta AWS personal y trabaja en:
- Creación de claves KMS, políticas de clave y acceso entre cuentas
- Límites de permisos IAM
- GuardDuty con hallazgos simulados
- CloudTrail + CloudWatch Logs + alertas con filtros de métricas
- Políticas de bucket S3 en múltiples cuentas
Si has hecho trabajo de pentesting en la nube — escalada de privilegios IAM, enumeración S3, abuso del servicio de metadatos — replica esos ataques contra tu propio entorno y luego implementa las detecciones y remediaciones que espera el examen.
Recursos de Estudio Recomendados
Guía de Examen AWS Certified Security Specialty por Tracy Pierce
La guía de estudio más completa dedicada al SCS-C02. Cubre los cinco dominios con preguntas de práctica al final de cada capítulo.
Hacking the Cloud: AWS Red Team Techniques (eBook)
Si vienes al SCS-C02 desde un trasfondo ofensivo, este es el complemento correcto. Entender cómo funcionan los ataques de escalada IAM es el camino más rápido para entender por qué los controles IAM defensivos están diseñados como están.
SCS-C02 vs. Otras Certificaciones de Seguridad en la Nube
| Cert | Enfoque | Precio | Dificultad | Validez |
|---|---|---|---|---|
| AWS Security Specialty | Específico de AWS, amplio | $300 | Alto | 3 años |
| CCSP (ISC²) | Multi-nube, gobernanza | $599 | Alto | 3 años |
| AZ-500 | Específico de Azure | $165 | Medio-Alto | 1 año |
| GCP Professional Cloud Security | Específico de GCP | $200 | Medio-Alto | 2 años |
SCS-C02 vs. CCSP: El CCSP es neutral en cuanto a proveedores y orientado a la gobernanza. El SCS-C02 es operacionalmente más profundo en AWS.
SCS-C02 para red teamers: La certificación tiene un enfoque defensivo, pero eso es exactamente por qué es valiosa para los profesionales ofensivos. El examen te obliga a entender detección, logging y respuesta de una manera que informa mejor el OPSEC y evaluaciones de seguridad más completas.
¿Vale la Pena el SCS-C02 en 2026?
Sí — si AWS es tu entorno principal.
Los roles de seguridad en la nube en organizaciones con mucho AWS cada vez más lo listan como preferido o requerido. El examen es suficientemente riguroso para que señale profundidad real en seguridad en la nube.
La perspectiva realista: El SCS-C02 no te hará un pentester de nube. No te enseñará a atacar infraestructura cloud. Lo que sí hace es validar que entiendes cómo está diseñada para funcionar la seguridad de AWS — la mecánica IAM, los servicios de detección, los modelos de cifrado, los controles de red. Para profesionales que ya tienen habilidades ofensivas, ese entendimiento completa el cuadro significativamente.
Próximos pasos:
- Página oficial del examen AWS Certified Security Specialty
- ¿Ya has hecho ataques en la nube? Empieza aquí: Guía de Escalada de Privilegios IAM en AWS
- Contexto más amplio de nube: Guía de Pentesting en AWS 2026
Libros Recomendados
Todos los enlaces son de afiliados — podemos ganar una pequeña comisión sin costo adicional para ti.
Guía de Examen AWS Certified Security Specialty por Tracy Pierce
La guía de estudio SCS-C02 más enfocada disponible. Cubre todos los dominios con preguntas de práctica alineadas al examen.
Hacking the Cloud: AWS Red Team Techniques
Libro AWS del lado del ataque que complementa la preparación de la certificación defensiva.
AWS Security Cookbook por Heartin Kanikathottu
Recetas prácticas para implementaciones de seguridad AWS — IAM, KMS, VPC, logging y cumplimiento.
Escrito por un profesional de seguridad certificado (CISSP, OSCP) con 14+ años en seguridad ofensiva y liderazgo en seguridad.
¿Necesitas Contenido de Ciberseguridad Escrito por Profesionales?
RedTeamGuide está impulsado por CipherWrite — un servicio de contenido de ciberseguridad dirigido por profesionales certificados OSCP y CISSP.