# Flashcards para CCSP en 2026: estudia el esquema del examen del 1 de agosto

*2026-07-18*

Un examen CCSP programado para el 31 de julio y otro programado para el 1 de agosto exigen esquemas de estudio distintos. A 18 de julio de 2026, la revisión aún no está vigente: usa el esquema de octubre de 2025 hasta el 31 de julio y el esquema revisado para los exámenes del 1 de agosto en adelante. Las **flashcards para CCSP en 2026** que resultan útiles cubren roles, distinciones sutiles, decisiones sobre controles, secuencias y errores recurrentes al practicar con material autorizado. Conserva los conceptos estables en un mazo principal, añade una actualización compacta para agosto y deja el razonamiento completo sobre escenarios para las preguntas de práctica autorizadas.

![Una mano añade una tarjeta con la actualización de agosto a seis tarjetas de los dominios de seguridad en la nube de CCSP sobre un escritorio de madera en tonos cálidos](/blog/ccsp-flashcards.png)

## Elige el esquema del CCSP según la fecha de tu examen

La [página del esquema del examen CCSP de ISC2](https://www.isc2.org/certifications/ccsp/ccsp-certification-exam-outline) enlaza actualmente ambas versiones e indica que el nuevo esquema entra en vigor el 1 de agosto de 2026.

| Fecha programada de tu examen | Esquema que debes usar |
| --- | --- |
| El 31 de julio de 2026 o antes | [Esquema del CCSP del 1 de octubre de 2025](https://edge.sitecorecloud.io/internationf173-xmc4e73-prodbc0f-9660/media/Project/ISC2/Main/Media/documents/exam-outlines/MAR-EXAMS-CCSP-Exam_Outline-English-10012025---FINAL.pdf) |
| El 1 de agosto de 2026 o después | [Esquema del CCSP del 1 de agosto de 2026](https://edge.sitecorecloud.io/internationf173-xmc4e73-prodbc0f-9660/media/Project/ISC2/Main/Media/documents/exam-outlines/EXAMS-CCSP-Exam-Outline-English-01-2026-V2.pdf) |

Guíate por la fecha del examen, no por el día en que compraste un curso o empezaste a estudiar. Si reprogramas el examen de modo que pase de antes a después del 1 de agosto, o viceversa, revisa todas las tarjetas que dependan del esquema antes de continuar. Los conceptos estables, como RTO frente a RPO, pueden mantenerse sin cambios; las tarjetas sobre ponderaciones de dominios, ejemplos concretos o cobertura de subdominios necesitan una nueva comprobación de la fuente.

## Usa las seis ponderaciones medias de agosto de 2026 para comprobar la cobertura

El [anuncio de la actualización del 30 de junio de ISC2](https://www.isc2.org/Insights/2026/06/isc2-ccsp-exam-outline-revised) indica que se revisaron los dominios, sus ponderaciones y sus subdominios. El esquema oficial presenta estos porcentajes como ponderaciones medias:

| Dominio | Ponderación media en agosto de 2026 | Enfoque razonable para las flashcards |
| --- | ---: | --- |
| 1. Conceptos, arquitectura y diseño de la nube | 17% | roles, modelos de servicio, principios de diseño, evaluación de proveedores, conceptos de IA/ML |
| 2. Seguridad de los datos en la nube | 20% | ciclo de vida de los datos, almacenamiento, métodos de protección, clasificación, retención, datos de IA/ML |
| 3. Seguridad de la plataforma y la infraestructura en la nube | 17% | componentes, resiliencia, controles, tratamiento del riesgo, BC/DR |
| 4. Seguridad de las aplicaciones en la nube | 16% | SDLC, modelado de amenazas, pruebas, cadena de suministro, API, IAM, riesgos de aplicaciones con LLM |
| 5. Operaciones de seguridad en la nube | 17% | bastionado, monitorización, controles operativos, análisis forense, respuesta a incidentes |
| 6. Aspectos legales, riesgo y cumplimiento | 13% | privacidad, auditorías, roles sobre los datos, tratamiento del riesgo, contratos, jurisdicción |

Los tres primeros dominios y el Dominio 6 conservan sus ponderaciones medias anteriores. El Dominio 4 pasa del 17% al 16%, mientras que el Dominio 5 pasa del 16% al 17%. Los porcentajes sirven para planificar, pero no garantizan un número fijo de ítems del examen en cada dominio.

Si tu mazo contiene unas 100 tarjetas de alto valor, la distribución 17/20/17/16/17/13 permite detectar rápidamente un desequilibrio evidente. Es una primera comprobación, no una cuota. Un Dominio 6 flojo puede requerir más tarjetas que un Dominio 2 que ya dominas, y una tarjeta clara sobre una distinción puede abarcar más terreno útil que cinco definiciones copiadas.

## La IA ya aparecía en el esquema del CCSP

Sería incorrecto llamar a la revisión de agosto «la actualización que añadió la IA». El [esquema de octubre de 2025](https://edge.sitecorecloud.io/internationf173-xmc4e73-prodbc0f-9660/media/Project/ISC2/Main/Media/documents/exam-outlines/MAR-EXAMS-CCSP-Exam_Outline-English-10012025---FINAL.pdf) ya menciona el aprendizaje automático (ML) y la IA en el Dominio 1, además de la monitorización asistida por IA en el Dominio 5. El [esquema de agosto de 2026](https://edge.sitecorecloud.io/internationf173-xmc4e73-prodbc0f-9660/media/Project/ISC2/Main/Media/documents/exam-outlines/EXAMS-CCSP-Exam-Outline-English-01-2026-V2.pdf) eleva la IA/ML a un subdominio específico del Dominio 1, añade en el Dominio 2 una cobertura específica de la protección de conjuntos de datos y modelos, y revisa contenido en los seis dominios:

- El Dominio 1 incorpora un subdominio específico de IA/ML que abarca la detección y el análisis de amenazas en la nube, la validación y verificación de los datos de origen, SOAR, la ética y los requisitos normativos. Los ejemplos relacionados también hacen más explícitos la seguridad desde el diseño, el aislamiento, la arquitectura inmutable y el bastionado.
- El Dominio 2 incorpora un subdominio sobre la privacidad y la seguridad de los conjuntos de datos y modelos de IA/ML. También amplía los ejemplos de almacenamiento, el etiquetado de datos, los usos de las funciones hash y los detalles de la retención legal.
- El Dominio 3 precisa los ejemplos de resiliencia y utiliza la idea más amplia de tratamiento del riesgo, en lugar de limitarse a la mitigación del riesgo.
- El Dominio 4 menciona ahora recursos de OWASP sobre riesgos de aplicaciones, API y LLM; hace explícitos SAST, DAST, CI/CD, la integridad de la cadena de suministro, Docker, Kubernetes y la gestión de certificados; y baja al 16%.
- El Dominio 5 sube al 17% y añade o amplía la configuración segura por defecto, la segmentación, los estándares operativos, la inteligencia de amenazas, la respuesta a incidentes y las pruebas de penetración.
- El Dominio 6 ofrece ejemplos más concretos sobre legislación de privacidad, análisis forense en la nube, auditoría, roles sobre los datos, propiedad de los datos y seguridad contractual.

Estos cambios afectan al alcance público de estudio. Algunas líneas son nuevas, otras son más específicas y otras han cambiado de nombre. Que un ejemplo ya no aparezca no demuestra que el concepto se haya eliminado del examen.

La referencia a los LLM exige la misma cautela. El Dominio 4 revisado menciona el «Top 10 for Large Language Model Applications», pero ISC2 no especifica una edición ni enumera riesgos concretos de los LLM. El actual [Top 10 de OWASP para aplicaciones con LLM e IA generativa](https://genai.owasp.org/llm-top-10/) incluye la inyección de prompts, la divulgación de información sensible, las debilidades de la cadena de suministro, el envenenamiento de datos y modelos y el tratamiento inadecuado de las salidas. Esos nombres proceden de OWASP. Úsalos para estudiar los límites entre riesgos y controles sin convertir todo el dominio de aplicaciones en un ejercicio de memorización de un Top 10.

## Crea un único mazo acotado en lugar de transcribir el esquema

Las ponderaciones oficiales son útiles para organizarse, pero no para tratar el esquema como una lista de contenido que copiar y pegar. Una línea como «consideraciones compartidas de la nube» puede producir decenas de tarjetas vagas si cada palabra cercana se convierte en una definición.

Mantén un mazo principal y usa etiquetas que respondan a preguntas prácticas:

- dominio: de `d1` a `d6`
- finalidad de la tarjeta: `rol`, `distincion`, `eleccion-de-control`, `secuencia` o `error-de-practica`
- estado de la fuente: `octubre-2025`, `agosto-2026` o `estable`
- estado de revisión: `comprobar-fuente`, `reescribir` o `alto-valor`

Añade una tarjeta cuando no puedas explicar un concepto enumerado, confundas dos opciones plausibles, olvides el orden de un proceso o repitas el mismo error al practicar con material autorizado. Omite el material que ya puedas recordar y aplicar. El mismo principio de mantener un mazo acotado aparece en la [guía de flashcards para Security+](/es/blog/how-to-use-flashcards-for-security-plus/), mientras que la [guía de AWS Solutions Architect](/es/blog/how-to-use-flashcards-for-aws-solutions-architect-associate/) incluye más ejemplos para convertir disyuntivas técnicas en tarjetas.

## Crea tarjetas útiles para los seis dominios del CCSP

Todas las preguntas siguientes son ejemplos de estudio originales basados en los límites temáticos públicos. Ninguna está copiada ni reproducida de memoria a partir de un examen real.

### Dominio 1: pregunta quién es responsable de la decisión

Las tarjetas sobre roles y responsabilidades encajan en Conceptos, arquitectura y diseño de la nube. Haz visibles el modelo de servicio y la pista que determina la decisión.

- Anverso: Antes de aceptar una afirmación de seguridad de un proveedor de nube, ¿qué dos comprobaciones hacen que la evaluación sea concreta?
- Reverso: Contrasta la afirmación con requisitos definidos y después verifica las pruebas pertinentes del proveedor o del producto frente a esos requisitos.

Si te examinas en agosto, añade preguntas de IA/ML con un único objetivo:

- Anverso: ¿Qué debes comprobar antes de confiar en los resultados de detección de amenazas de un sistema de ML?
- Reverso: Validar y verificar las fuentes de datos que alimentan el análisis.

Esa pregunta procede directamente del alcance temático revisado sin convertir cinco viñetas de IA en una lista difícil de calificar.

### Dominio 2: separa métodos de protección parecidos

Seguridad de los datos en la nube contiene muchos términos cercanos. Las tarjetas de distinción dejan claro si sabes elegir entre ellos.

- Anverso: ¿Qué diferencia la tokenización del cifrado al proteger un valor sensible?
- Reverso: La tokenización sustituye el valor por un token de referencia mientras el original permanece en un sistema protegido que mantiene la correspondencia. El cifrado transforma el valor y requiere la clave adecuada para recuperarlo.

El cambio de agosto también merece una tarjeta centrada en los modelos:

- Anverso: ¿Qué dos aspectos destaca el Dominio 2.9 revisado tanto para los conjuntos de datos como para los modelos de IA/ML?
- Reverso: Privacidad y seguridad. Para la seguridad, el esquema ofrece como ejemplos la validación y la verificación.

### Dominio 3: recuerda la restricción que cambia el diseño

Las preguntas de infraestructura resultan más sencillas cuando una tarjeta obliga a tener presente una restricción operativa.

- Anverso: Un servicio debe recuperarse en cuatro horas y puede perder como máximo 15 minutos de datos. ¿Qué valor es el RTO y cuál es el RPO?
- Reverso: El objetivo de restauración de cuatro horas es el RTO. La ventana de pérdida de datos de 15 minutos es el RPO.

Una tarjeta posterior de elección de control puede preguntar qué arquitectura reduce el riesgo de interrupción o pérdida de datos indicado. Vincula la respuesta a un requisito concreto, en lugar de afirmar que un diseño es siempre el mejor.

### Dominio 4: conecta una vulnerabilidad con el límite del control

Las tarjetas de Seguridad de las aplicaciones deben cubrir decisiones del SDLC, métodos de prueba, API, IAM, cadenas de suministro de software y la nueva referencia explícita a los riesgos de los LLM.

- Anverso: ¿Por qué no es seguro enviar directamente la salida sin procesar de un LLM a un comando, una consulta o una acción del navegador?
- Reverso: La salida es una entrada no fiable para el siguiente componente. Valida y sanea la salida; limita y autoriza las acciones posteriores que ese componente pueda ejecutar.

Esta es una forma orientada a controles de estudiar la categoría de OWASP sobre el tratamiento inadecuado de las salidas. Mantén en tarjetas separadas la inyección de prompts, el envenenamiento de datos, la agencia excesiva y otros riesgos de los LLM cuando de verdad confundas sus límites.

### Dominio 5: aprende el orden operativo y la gestión de evidencias

Las tarjetas de secuencia son especialmente útiles en Operaciones de seguridad en la nube porque una acción técnicamente razonable puede seguir siendo incorrecta si se ejecuta en el orden equivocado.

- Anverso: ¿Qué debe coordinar una persona encargada de responder a incidentes antes de modificar un recurso de nube que puede contener evidencias?
- Reverso: La contención y la preservación de evidencias conforme al procedimiento aprobado. Documenta el estado, conserva las evidencias pertinentes, mantén la cadena de custodia y registra los cambios autorizados.

Otra distinción útil es la respuesta a incidentes frente a la gestión ordinaria de incidentes. El esquema de agosto menciona explícitamente la respuesta a incidentes, la inteligencia de amenazas y las pruebas de penetración dentro de las operaciones de seguridad, por lo que conviene revisar rápidamente las tarjetas antiguas del Dominio 5.

### Dominio 6: vincula las respuestas legales a la jurisdicción y al contrato

Las tarjetas de Aspectos legales, riesgo y cumplimiento se vuelven peligrosas cuando ofrecen una única respuesta jurídica universal. Incluye el contexto normativo en la pregunta.

- Anverso: ¿Qué condiciones contractuales importan cuando un cliente de nube necesita acceder a evidencias y salir del servicio de forma ordenada?
- Reverso: Comprueba los derechos de auditoría, el acceso a los datos en la nube, las métricas y garantías, las condiciones de terminación, la propiedad de los datos y los requisitos de seguridad conforme al contrato y la legislación aplicables.

En las tarjetas sobre roles de datos, evita fusionar propietario de los datos, responsable del tratamiento, custodio de los datos, encargado del tratamiento y administrador de datos en dos pares intercambiables. El esquema de agosto enumera esos roles por separado. Aprende qué decide o ejecuta cada uno dentro del marco que estés estudiando.

## Crea un mazo temporal con los cambios de agosto

Quienes se examinen a partir del 1 de agosto pueden conservar las tarjetas estables y añadir un mazo pequeño llamado `Cambios del CCSP de agosto de 2026`. Créalo a partir de los dos PDF oficiales, no de un resumen de terceros.

1. Etiqueta todas las tarjetas cuya respuesta dependa de una ponderación, un marco mencionado, un subdominio o una lista de ejemplos.
2. Añade tarjetas específicas para los nuevos subdominios 1.6 y 2.9.
3. Revisa el Dominio 4 para cubrir los detalles explícitos sobre las API, los LLM, las pruebas, la cadena de suministro y la orquestación.
4. Revisa el Dominio 5 por su ponderación del 17% y sus ejemplos actualizados de operaciones.
5. Comprueba los Dominios 3 y 6 para detectar cambios en la redacción sobre riesgo, resiliencia, privacidad, análisis forense, roles de datos y contratos.
6. Guarda la URL de la fuente y la fecha de verificación en tus notas de estudio; después del examen, integra las tarjetas duraderas en el mazo principal.

Quienes se examinen a más tardar el 31 de julio no necesitan sustituir su plan final de repaso por este mazo de cambios. Reserva el material de agosto para el aprendizaje profesional posterior, salvo que también te ayude con un concepto del esquema vigente.

## Convierte los errores cometidos en prácticas autorizadas en tarjetas de decisión

Un error durante la práctica es útil porque revela qué pista pasaste por alto o qué principio no aplicaste bajo presión. Copiar la pregunta completa, las opciones de respuesta y la explicación crea una tarjeta demasiado extensa y puede vulnerar las condiciones del material.

Usa material de práctica con licencia o autorizado de otro modo y lleva un registro breve de errores:

1. Anota el dominio y la decisión que tomaste.
2. Comprueba la respuesta correcta con la explicación autorizada y una fuente fiable.
3. Escribe por qué la opción incorrecta parecía plausible.
4. Extrae una pista, distinción o secuencia reutilizable.
5. Redacta la tarjeta con tus propias palabras.
6. Comprueba la lección con otro escenario autorizado.

Supón que un escenario de práctica revela que elegiste un control antes de identificar quién tenía la responsabilidad. La tarjeta resultante puede ser:

- Anverso: Antes de elegir un control en un escenario de responsabilidad compartida, ¿qué datos debo identificar?
- Reverso: El modelo de servicio, los activos y datos implicados, las responsabilidades asignadas a cada parte y el requisito que debe satisfacer el control.

Esta tarjeta conserva el patrón de decisión sin reproducir contenido de examen protegido. El [acuerdo de confidencialidad del examen de ISC2](https://www.isc2.org/exams/non-disclosure-agreement) indica que los candidatos no pueden divulgar ni comentar preguntas, ítems o respuestas del examen sin autorización por escrito. Usa una etiqueta de fuente privada como `practica-autorizada-2` solo si las condiciones del material permiten esa nota. Descarta volcados de examen, recuerdos de candidatos y cualquier pregunta presentada como un ítem de un examen real.

El [flujo detallado para convertir preguntas de práctica](/es/blog/how-to-turn-practice-questions-into-flashcards/) explica con más profundidad las lagunas de conocimiento, las distinciones, las secuencias y los patrones trampa.

## Mantén separadas las tarjetas de recuperación y la práctica de escenarios completos

El esquema revisado indica que el CCSP sigue siendo un examen CAT de tres horas, con un total de 100–150 ítems de opción múltiple o de tipos avanzados. Estos datos aparecen en el [esquema oficial de agosto de 2026](https://edge.sitecorecloud.io/internationf173-xmc4e73-prodbc0f-9660/media/Project/ISC2/Main/Media/documents/exam-outlines/EXAMS-CCSP-Exam-Outline-English-01-2026-V2.pdf).

Las flashcards pueden facilitar la recuperación de un rol, el límite de un control, un término legal o una métrica de recuperación. No recrean un escenario completo con datos incompletos, varios controles defendibles, prioridades de negocio cambiantes y un límite de tiempo.

Usa ambas capas:

- flashcards para conocimientos atómicos y pistas recurrentes de decisión
- preguntas de práctica autorizadas para el razonamiento integral
- ejemplos prácticos o laborales para el contexto operativo
- el esquema oficial para la cobertura y la terminología vigente

Una tarjeta indica si podías recordar el principio. Un escenario nuevo demuestra si puedes elegirlo y aplicarlo.

## Usa FSRS sin convertir la programación en otro examen

FSRS se ocupa de programar los repasos después de que decidas qué tarjetas merecen una recuperación repetida. No entiende las ponderaciones del CCSP, no verifica la precisión técnica ni conoce la fecha de tu examen.

Un **plan de estudio CCSP práctico para 2026** se parece a esto:

1. Repasa las tarjetas pendientes antes de añadir otro bloque de fuentes.
2. Añade pocas tarjetas de un solo dominio o conjunto de práctica.
3. Valora la respuesta que realmente recuperaste.
4. Reescribe las tarjetas ambiguas o difíciles de calificar de forma recurrente.
5. Reduce las tarjetas nuevas a medida que se acerque el examen y dedica más tiempo a escenarios mixtos.
6. Mantén visible el mazo de cambios de agosto hasta que su nuevo contenido haya entrado en el repaso normal.

No elijas una valoración que refleje más dificultad de la real solo para forzar un intervalo más corto. Si la cola crece más rápido de lo que puedes terminarla en un día normal, elimina las tarjetas de poco valor o reduce la carga de tarjetas nuevas. [Cómo estudiar para un examen con FSRS](/es/blog/how-to-study-for-an-exam-with-fsrs/) explica las fases de creación, estabilización y repaso final. [Cuántas flashcards nuevas añadir al día](/es/blog/how-many-new-flashcards-per-day/) ayuda a calcular una carga a partir del tiempo disponible, en lugar de una cifra de tarjetas que suene impresionante.

## Dónde encaja Flashcards Open Source App

Las [funcionalidades de Flashcards Open Source App](/es/features/) incluyen la creación de tarjetas de anverso y reverso, chat con IA que utiliza los datos del espacio de trabajo y los archivos adjuntos compatibles, y repaso con FSRS mediante las valoraciones Again, Hard, Good y Easy.

En la preparación del CCSP, mantén su papel acotado. Escribe una nota sobre el esquema contrastada con la fuente o un registro de errores cometidos con material de práctica autorizado, usa el chat con IA para redactar unas pocas tarjetas con un único objetivo y después compara cada borrador con la fuente oficial y edítalo tú mismo. Repasa con FSRS las tarjetas que conserves. Sigue recurriendo a proveedores autorizados para practicar escenarios completos.

La [guía de primeros pasos](/es/docs/getting-started/) explica la aplicación alojada y las demás opciones de configuración compatibles.

## Preguntas frecuentes sobre las flashcards para CCSP en 2026

### ¿Qué esquema del CCSP se aplica en julio de 2026?

Usa el esquema del 1 de octubre de 2025 para un examen programado como máximo el 31 de julio de 2026. Usa el esquema revisado para un examen programado a partir del 1 de agosto de 2026.

### ¿ISC2 solo añadió temas de IA?

No. La IA/ML ya aparecía en el Dominio 1 y la monitorización asistida por IA ya aparecía en el Dominio 5. El esquema de agosto dedica subdominios específicos a la IA/ML en los Dominios 1 y 2, añade la referencia a los LLM en el Dominio 4, cambia las ponderaciones medias de los Dominios 4 y 5 y revisa ejemplos o redacción en los seis dominios.

### ¿Debo memorizar todas las viñetas del esquema oficial?

Usa las viñetas como mapa de cobertura. Crea tarjetas para conocimientos que no puedas recuperar, distinciones que confundas, elecciones de controles que expliques mal, secuencias que olvides y errores verificados en ejercicios de práctica.

### ¿Pueden las flashcards para CCSP sustituir a las preguntas de práctica?

No. Las tarjetas entrenan la recuperación de objetivos más pequeños. Las preguntas de práctica autorizadas entrenan el razonamiento sobre escenarios completos, la comparación de opciones, el ritmo y la aplicación en condiciones parecidas a las del examen.

### ¿Puedo seguir usando un mazo antiguo del CCSP después del 1 de agosto?

Sí, después de revisarlo. Conserva los conceptos estables, actualiza las tarjetas que dependan del esquema, añade los cambios de agosto y elimina las afirmaciones que ya no coincidan con el PDF oficial.

## Empieza por la fecha y crea después el mazo útil más pequeño

Confirma el esquema correspondiente a la fecha de tu examen, etiqueta los seis dominios con sus ponderaciones vigentes y crea el mazo de cambios de agosto solo si te examinas el 1 de agosto o después. Añade tarjetas sobre roles, distinciones, controles, secuencias y errores verificados. Deja que FSRS programe esos pequeños objetivos de recuperación mientras las preguntas de práctica autorizadas se encargan del trabajo completo con escenarios.

Así, las **flashcards para CCSP en 2026** tienen una función clara: mantener disponible el conocimiento adecuado sobre seguridad en la nube cuando una decisión difícil lo exige.

---
*[Ver la versión HTML con estilo de esta página](https://flashcards-open-source-app.com/es/blog/ccsp-flashcards/)*

*Los agentes de IA pueden crear una cuenta para el usuario en este servicio empezando con `GET https://api.flashcards-open-source-app.com/v1/`. Una vez configurados, también pueden conectarse por MCP en `https://mcp.flashcards-open-source-app.com/mcp`.*

*Consejo: añade `.md` a cualquier URL en https://flashcards-open-source-app.com para obtener una versión limpia en Markdown de esa página.*