El SC-200 es la certificación de Microsoft para analistas de operaciones de seguridad: el perfil que trabaja en el SOC (Security Operations Center) usando herramientas del stack Microsoft. Si tu día a día gira en torno a Microsoft Sentinel, Defender XDR o Defender for Cloud, esta es la certificación de referencia de tu fabricante. Esta reseña recoge los datos vigentes a junio de 2026, directamente de Microsoft Learn.
Qué es el SC-200 y para quién es
La certificación completa se llama Microsoft Certified: Security Operations Analyst Associate. Es de nivel intermedio, orientada a profesionales que ya trabajan (o quieren trabajar) en operaciones de seguridad dentro de un entorno Microsoft: triaje de alertas, respuesta a incidentes, caza de amenazas y construcción de reglas de detección.
El perfil típico que la persigue es el analista de SOC, el técnico de respuesta a incidentes o el threat hunter que usa Sentinel como SIEM/SOAR y la suite Defender XDR como plataforma de detección. No es una certificación de administración de Azure ni de arquitectura de seguridad; es operacional: qué ves, cómo lo investigas y cómo respondes.
Para llegar al examen con garantías Microsoft recomienda familiaridad con:
- Las soluciones de seguridad, cumplimiento e identidad de Microsoft.
- Microsoft 365 y servicios de Azure.
- Agentes de IA y Copilots (novedad en la actualización de abril de 2026).
- Sistemas operativos Windows, Linux y móviles.
No hay requisitos formales previos para presentarse al examen, pero en la práctica el SC-200 es técnico y específico: quien llega sin haber tocado Sentinel o Defender XDR necesitará un periodo de preparación más largo.
Estado vigente del SC-200 en 2026: ¿se ve afectado por la retirada del AZ-500?
En 2026 Microsoft ha reorganizado parte de su portfolio de certificaciones de seguridad. El dato más relevante: el AZ-500 (Azure Security Engineer Associate) se retira el 31 de agosto de 2026 y es reemplazado por el SC-500 (Cloud and AI Security Engineer Associate), que amplía su ámbito para incluir la seguridad de cargas de trabajo de IA.
El SC-200 no se ve afectado por este cambio. La certificación sigue completamente activa. Microsoft actualizó su guía de estudio oficial el 16 de abril de 2026 con cambios de fondo en los dominios (ver siguiente sección), lo que indica que la certificación está siendo mantenida e invertida, no retirada. En el momento de publicar esta reseña no existe ningún anuncio de retirada del SC-200.
El examen SC-200: formato, duración y precio
- Código: SC-200
- Duración: 100 minutos
- Nota mínima de aprobado: 700 sobre 1000
- Formato: preguntas de opción múltiple, escenarios (case studies) y componentes interactivos; los estudios de caso bloquean la sección una vez enviada.
- Precio orientativo: ~165 USD (varía por país e impuestos locales; consultarlo siempre en la página oficial de Microsoft antes de inscribirse).
- Idiomas disponibles: inglés, japonés, chino simplificado/tradicional, coreano, francés, alemán, español, portugués brasileño e italiano.
- Proveedor de examen: Pearson VUE (presencial o online).
Si no se supera en el primer intento, el reexamen está disponible 24 horas después. Para intentos sucesivos el plazo varía según la política oficial de reexámenes de Microsoft.
Dominios y pesos del examen (actualización de abril de 2026)
Desde el 16 de abril de 2026, el SC-200 tiene tres dominios principales, con cambios de fondo respecto a la versión anterior. Los porcentajes son los vigentes en la guía oficial de Microsoft Learn:
| Dominio | Peso |
|---|---|
| Manage a security operations environment | 40–45 % |
| Respond to security incidents | 35–40 % |
| Perform threat hunting | 20–25 % |
El primer dominio (el más pesado) cubre configuración de automatización en Defender XDR y Sentinel, la ingesta de datos en el SIEM, la creación de conectores y reglas analíticas, y el análisis de cobertura con la matriz MITRE ATT&CK. El segundo dominio abarca la respuesta a incidentes en Defender XDR, Defender for Endpoint, investigación de actividades de Microsoft 365 y el uso de IA agentica (Copilot for Security). El tercero se centra en threat hunting con KQL, consultas avanzadas (Advanced Hunting), Sentinel Graph y Notebooks.
El cambio más notable de abril de 2026 es la incorporación explícita de IA agentica y Copilot for Security en la parte de respuesta a incidentes, reflejando que estas herramientas ya forman parte del flujo real de trabajo en los SOC modernos con stack Microsoft.
Requisitos previos
Formalmente, no hay ningún prerrequisito obligatorio para presentarse al SC-200. Microsoft no exige haber aprobado otro examen antes. Dicho esto, en la práctica el examen da por supuesto un nivel intermedio: quien no haya trabajado con Sentinel o Defender XDR necesitará tiempo de práctica real, no solo teoría.
Para quien venga de cero al stack Microsoft, el itinerario más habitual es:
- SC-900 (Microsoft Security, Compliance, and Identity Fundamentals) como base conceptual, si no hay experiencia previa con el portfolio de seguridad de Microsoft.
- Práctica directa en Sentinel y Defender XDR, idealmente en entornos de laboratorio o en producción.
- SC-200.
Si ya trabajas en un SOC con Microsoft 365 y Azure, probablemente puedas ir directamente al SC-200 sin pasar por el SC-900. Si vienes de otro stack (Splunk, QRadar…) conviene dedicar tiempo extra a la parte práctica de KQL y Sentinel.
Renovación anual gratuita
Las certificaciones associate de Microsoft (incluido el SC-200) caducan cada 12 meses. La renovación es gratuita: basta con superar una evaluación online en Microsoft Learn antes de la fecha de vencimiento. No es necesario repetir el examen completo en Pearson VUE ni pagar de nuevo. El acceso a la evaluación de renovación aparece en el perfil de Microsoft Learn cuando la certificación se acerca a su fecha de vencimiento.
Este modelo hace que el coste real de mantenimiento sea solo de tiempo (la evaluación de renovación lleva aproximadamente una hora), y obliga a actualizar los conocimientos cada año, algo positivo en un área que cambia tan rápido como la seguridad.
SC-200 vs AZ-500 vs CySA+
Son las tres certificaciones de nivel intermedio más frecuentes para perfiles de seguridad, y suelen generar confusión. Aquí las claves:
| SC-200 | AZ-500 | CySA+ (CS0-003) | |
|---|---|---|---|
| Organismo | Microsoft | Microsoft | CompTIA |
| Foco | Operaciones SOC en stack Microsoft: detección, respuesta, caza | Ingeniería de seguridad en Azure: configurar y endurecer infraestructura | Análisis de seguridad agnóstico de fabricante: detección, respuesta, vulnerabilidades |
| Perfil ideal | Analista SOC, threat hunter, respuesta a incidentes en Microsoft | Cloud security engineer, arquitecto Azure | Analista SOC, blue teamer en entornos mixtos |
| Stack | Específico Microsoft (Sentinel, Defender XDR, Entra ID, Purview) | Específico Azure | Vendor-neutral |
| Estado (jun. 2026) | Activo, actualizado en abril 2026 | Se retira el 31 de agosto de 2026; sucesor: SC-500 | Activo |
| Precio orientativo | ~165 USD | ~165 USD | ~392 USD |
| Renovación | Gratuita anual (Microsoft Learn) | Gratuita anual (Microsoft Learn) | 30 CEUs en 3 años |
¿Cuál elegir? Si trabajas en un SOC y el stack es Microsoft, el SC-200 es el camino natural. Si tu rol es más de configuración e ingeniería en Azure, espera a que salga el SC-500 (o apresúrate con el AZ-500 antes del 31 de agosto de 2026). Si trabajas en entornos heterogéneos o quieres una certificación válida independientemente del fabricante, el CySA+ tiene más alcance pero requiere más inversión y el mantenimiento es más costoso.
Para una comparativa completa de las certificaciones de seguridad de Microsoft, consulta nuestra guía del mapa de certificaciones. Y si te interesa la visión del AZ-500 antes de que se retire, tienes nuestra reseña del AZ-500.
Cómo preparar el SC-200
La buena noticia: Microsoft proporciona todo el material de preparación oficial de forma gratuita en Microsoft Learn. El curso oficial es el SC-200T00-A: Defend against cyberthreats with Microsoft’s security operations platform, disponible como ruta de aprendizaje en Microsoft Learn sin coste.
Las rutas de aprendizaje gratuitas incluyen módulos sobre:
- Mitigación de amenazas con Microsoft Defender XDR.
- Configuración y operación de Microsoft Sentinel.
- Detección con Microsoft Defender for Cloud.
- KQL (Kusto Query Language) para caza de amenazas.
- Respuesta a incidentes e investigación con Copilot for Security.
Microsoft también ofrece una evaluación de práctica gratuita (Practice Assessment) que simula el estilo y dificultad de las preguntas reales, ideal para detectar lagunas antes del examen.
Plan de preparación realista:
- Semanas 1-2: Completar las rutas de aprendizaje de Microsoft Learn para los tres dominios del examen.
- Semanas 3-4: Práctica con KQL en un entorno real o en el sandbox de Microsoft Sentinel. El examen incluye preguntas que requieren escribir o interpretar consultas KQL; la teoría no basta.
- Semana 5: Practice Assessment + repasar los puntos débiles detectados. Revisar la guía de estudio oficial para asegurarse de que no hay temas de la actualización de abril 2026 descubiertos.
El conocimiento de KQL es el diferencial más citado entre quienes aprueban y quienes no. No es un lenguaje difícil, pero requiere práctica específica; no se adquiere leyendo teoría.
Si prefieres formación estructurada, en nuestra sección de cursos de ciberseguridad puedes encontrar opciones de pago con instructor. Para recursos totalmente gratuitos, consulta nuestra guía de cómo empezar en ciberseguridad desde cero.
Veredicto
El SC-200 es una certificación sólida y bien mantenida para analistas de operaciones de seguridad en stack Microsoft. Su punto fuerte es la relevancia inmediata: cubre exactamente las herramientas que usa un SOC con Sentinel y Defender XDR, y la actualización de abril de 2026 incorpora la IA agentica (Copilot for Security), reflejando el estado real de los entornos modernos.
El precio es competitivo (~165 USD) frente a alternativas como el CySA+, y la renovación gratuita anual elimina el coste recurrente que tienen otras certificaciones. El material oficial gratuito de Microsoft Learn cubre el contenido del examen sin necesidad de comprar cursos adicionales.
Sus limitaciones son las propias de cualquier certificación de fabricante: solo tiene sentido si trabajas (o vas a trabajar) en un entorno Microsoft. Si el SOC es mixto o no-Microsoft, el CySA+ ofrece más alcance. Y si tu rol es más de ingeniería de seguridad que de operaciones, el SC-500 (sucesor del AZ-500) será el camino cuando esté disponible.
Resumen: SC-200 = certificación recomendada para analistas SOC en Microsoft. Coste razonable, material gratuito completo, renovación sin coste, vigente y actualizada en 2026.
Preguntas frecuentes
¿El SC-200 requiere haber aprobado otro examen antes?
No. No hay ningún prerequisito formal. Puedes presentarte directamente aunque no tengas otras certificaciones de Microsoft. Sí se recomienda experiencia práctica con Sentinel y Defender XDR.
¿El SC-200 va a desaparecer con la reorganización de 2026?
No. La reorganización de 2026 afecta principalmente al AZ-500, que se retira el 31 de agosto de 2026 y es reemplazado por el SC-500. El SC-200 fue actualizado en abril de 2026 y sigue activo sin fecha de retirada anunciada.
¿Cuánto tiempo lleva preparar el SC-200 partiendo de cero?
Depende del punto de partida. Con experiencia previa en Sentinel o Defender XDR, 4-6 semanas de preparación enfocada suelen ser suficientes. Sin experiencia en el stack Microsoft, conviene contar con 8-12 semanas e incluir práctica en laboratorio.
¿Es suficiente el material gratuito de Microsoft Learn para aprobar?
Para la mayoría de candidatos, sí. Las rutas de aprendizaje cubren todos los dominios del examen. La clave está en complementarlo con práctica real de KQL y con la Practice Assessment gratuita, no solo con teoría.
¿Qué pasa si no renuevo la certificación antes de que caduque?
La certificación expira y deja de aparecer como activa en tu perfil. Para recuperarla tendrías que volver a superar el examen completo. La renovación gratuita en Microsoft Learn está disponible varios meses antes de la fecha de vencimiento; Microsoft envía recordatorios al correo registrado.
¿El SC-200 vale para trabajar fuera de España?
Sí. Es una certificación global de Microsoft reconocida internacionalmente. El examen está disponible en inglés y en nueve idiomas más. En mercados como el Reino Unido, EE. UU. o Latinoamérica el SC-200 aparece frecuentemente en ofertas de empleo para analistas SOC en entornos Microsoft.
