OWASP Application Security Verification Standard 4.0.3-es.xml

<?xml version="1.0" encoding="UTF-8" ?><root><Name>Application Security Verification Standard Project</Name><ShortName>ASVS</ShortName><Version>4.0.3</Version><Description>The OWASP Application Security Verification Standard (ASVS) Project provides a basis for testing web application technical security controls and also provides developers with a list of requirements for secure development.</Description><Requirements><item><Shortcode>V1</Shortcode><Ordinal>1</Ordinal><ShortName>Architecture</ShortName><Name>Arquitectura, Diseño y Modelado de Amenazas</Name><Items><item><Shortcode>V1.1</Shortcode><Ordinal>1</Ordinal><Name>Ciclo de Vida de Desarrollo de Software Seguro</Name><Items><item><Shortcode>V1.1.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique el uso de un ciclo de vida de desarrollo de software seguro que aborde la seguridad en todas las etapas del desarrollo. ([C1](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE></CWE><NIST></NIST></item><item><Shortcode>V1.1.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique el uso del modelado de amenazas para cada cambio de diseño o planificación de sprint para identificar amenazas, planificar contramedidas, facilitar respuestas de riesgo adecuadas y guiar las pruebas de seguridad.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>1053</item></CWE><NIST></NIST></item><item><Shortcode>V1.1.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique que todas las historias y características de usuario contienen restricciones de seguridad funcionales, como por ejemplo: &quot;Como usuario, debería poder ver y editar mi perfil. No debería ser capaz de ver o editar el perfil de nadie más&quot;</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>1110</item></CWE><NIST></NIST></item><item><Shortcode>V1.1.4</Shortcode><Ordinal>4</Ordinal><Description>Verifique la documentación y la justificación de todos los límites de confianza, componentes y flujos de datos significativos de la aplicación.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>1059</item></CWE><NIST></NIST></item><item><Shortcode>V1.1.5</Shortcode><Ordinal>5</Ordinal><Description>Verifique la definición y el análisis de seguridad de la arquitectura de alto nivel de la aplicación y todos los servicios remotos conectados. ([C1](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>1059</item></CWE><NIST></NIST></item><item><Shortcode>V1.1.6</Shortcode><Ordinal>6</Ordinal><Description>Verifique la implementación de controles de seguridad centralizados, simples (economía del diseño), comprobados, seguros y reutilizables para evitar controles duplicados, faltantes, ineficaces o inseguros. ([C10](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>637</item></CWE><NIST></NIST></item><item><Shortcode>V1.1.7</Shortcode><Ordinal>7</Ordinal><Description>Verifique la disponibilidad de una lista de comprobación de codificación segura, requisitos de seguridad, directriz o directiva para todos los desarrolladores y evaluadores.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>637</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V1.2</Shortcode><Ordinal>2</Ordinal><Name>Arquitectura de Autenticación</Name><Items><item><Shortcode>V1.2.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique el uso de cuentas de sistema operativo únicas o especiales con privilegios bajos para todos los componentes, servicios y servidores de la aplicación. ([C3](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>250</item></CWE><NIST></NIST></item><item><Shortcode>V1.2.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique que las comunicaciones entre los componentes de la aplicación, incluidas las API, el middleware y las capas de datos, se autentican. Los componentes deben tener los mínimos privilegios necesarios. ([C3](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>306</item></CWE><NIST></NIST></item><item><Shortcode>V1.2.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique que la aplicación utiliza un único mecanismo de autenticación comprobado que se sabe que es seguro, se puede ampliar para incluir una autenticación segura y tiene suficiente logging y supervisión para detectar abuso de cuenta o brechas.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>306</item></CWE><NIST></NIST></item><item><Shortcode>V1.2.4</Shortcode><Ordinal>4</Ordinal><Description>Verifique que todas las vías de autenticación y las API de administración de identidades implementan una fortaleza coherente del control de seguridad de autenticación, de modo que no haya alternativas más débiles por el riesgo de la aplicación.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>306</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V1.3</Shortcode><Ordinal>3</Ordinal><Name>Arquitectura de Gestión de Sesiones</Name><Items></Items></item><item><Shortcode>V1.4</Shortcode><Ordinal>4</Ordinal><Name>Arquitectura de Control de Acceso</Name><Items><item><Shortcode>V1.4.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique que los puntos de cumplimiento de confianza, tales como puertas de enlace de control de acceso, servidores y funciones serverless, exijan controles de acceso. Nunca aplique controles de acceso en el cliente.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>602</item></CWE><NIST></NIST></item><item><Shortcode>V1.4.2</Shortcode><Ordinal>2</Ordinal><Description>[ELIMINADO, NO ACCIONABLE]</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>False</Required><Requirement></Requirement></L2><L3><Required>False</Required><Requirement></Requirement></L3><CWE></CWE><NIST></NIST></item><item><Shortcode>V1.4.3</Shortcode><Ordinal>3</Ordinal><Description>[ELIMINADO, DUPLICADO CON 4.1.3]</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>False</Required><Requirement></Requirement></L2><L3><Required>False</Required><Requirement></Requirement></L3><CWE></CWE><NIST></NIST></item><item><Shortcode>V1.4.4</Shortcode><Ordinal>4</Ordinal><Description>Verifique que la aplicación utilice un mecanismo de control de acceso único y bien comprobado para acceder a datos y recursos protegidos. Todas las solicitudes deben pasar por este único mecanismo para evitar copiar y pegar o rutas alternativas inseguras. ([C7](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>284</item></CWE><NIST></NIST></item><item><Shortcode>V1.4.5</Shortcode><Ordinal>5</Ordinal><Description>Verifique que se utiliza el control de acceso basado en atributos o entidades mediante el cual el código comprueba la autorización del usuario para un elemento de característica o datos en lugar de solo su rol. Los permisos deben asignarse mediante roles. ([C7](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>275</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V1.5</Shortcode><Ordinal>5</Ordinal><Name>Arquitectura de Entradas y Salidas</Name><Items><item><Shortcode>V1.5.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique que los requisitos de entrada y salida definan claramente cómo manejar y procesar datos en función del tipo, contenido y las leyes, regulaciones y otras leyes aplicables, reglamentos y otras normas de cumplimiento de políticas.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>1029</item></CWE><NIST></NIST></item><item><Shortcode>V1.5.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique que no se usa serialización al comunicarse con clientes que no son de confianza. Si esto no es posible, asegúrese de que se apliquen controles de integridad adecuados (y posiblemente cifrado si se envían datos confidenciales) para evitar ataques de deserialización, incluida la inyección de objetos.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>502</item></CWE><NIST></NIST></item><item><Shortcode>V1.5.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique que la validación de datos de entrada (input) se aplica en una capa de servicio de confianza. ([C5](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>602</item></CWE><NIST></NIST></item><item><Shortcode>V1.5.4</Shortcode><Ordinal>4</Ordinal><Description>Verifique que la codificación de salida (output encode) se produce cerca o en el intérprete para el que está destinada. ([C4](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>116</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V1.6</Shortcode><Ordinal>6</Ordinal><Name>Arquitectura Criptográfica</Name><Items><item><Shortcode>V1.6.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique que existe una política explícita para la administración de claves criptográficas y que un ciclo de vida de clave criptográfica sigue un estándar de administración de claves como NIST SP 800-57.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>320</item></CWE><NIST></NIST></item><item><Shortcode>V1.6.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique que los consumidores de servicios criptográficos protegen el material clave y otros secretos mediante el uso de almacenes de claves o alternativas basadas en API.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>320</item></CWE><NIST></NIST></item><item><Shortcode>V1.6.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique que todas las claves y contraseñas son reemplazables y forman parte de un proceso bien definido para volver a cifrar los datos confidenciales.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>320</item></CWE><NIST></NIST></item><item><Shortcode>V1.6.4</Shortcode><Ordinal>4</Ordinal><Description>Verifique que la arquitectura trata los secretos del lado cliente (como claves simétricas, contraseñas o tokens de API) como inseguros y nunca los usa para proteger o acceder a datos confidenciales.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>320</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V1.7</Shortcode><Ordinal>7</Ordinal><Name>Arquitectura de Errores, Logging y Auditoría</Name><Items><item><Shortcode>V1.7.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique que se utilice un formato común y un enfoque de logging en todo el sistema. ([C9](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>1009</item></CWE><NIST></NIST></item><item><Shortcode>V1.7.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique que los registros de log se transmitan de forma segura a un sistema preferentemente remoto para análisis, detección, alertas y escalamiento. ([C9](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE></CWE><NIST></NIST></item></Items></item><item><Shortcode>V1.8</Shortcode><Ordinal>8</Ordinal><Name>Arquitectura de Protección de Datos y Privacidad</Name><Items><item><Shortcode>V1.8.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique que todos los datos confidenciales se identifiquen y clasifiquen en niveles de protección.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE></CWE><NIST></NIST></item><item><Shortcode>V1.8.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique que todos los niveles de protección tienen un conjunto asociado de requisitos de protección, como los requisitos de cifrado, los requisitos de integridad, la retención, la privacidad y otros requisitos de confidencialidad, y que estos se aplican en la arquitectura.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE></CWE><NIST></NIST></item></Items></item><item><Shortcode>V1.9</Shortcode><Ordinal>9</Ordinal><Name>Arquitectura de Comunicaciones</Name><Items><item><Shortcode>V1.9.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique que la aplicación cifra las comunicaciones entre componentes, especialmente cuando estos componentes se encuentran en contenedores, sistemas, sitios o proveedores de nube diferentes. ([C3](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>319</item></CWE><NIST></NIST></item><item><Shortcode>V1.9.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique que los componentes de la aplicación verifiquen la autenticidad de cada lado en un vínculo de comunicación para evitar ataques de &quot;persona en el medio&quot;. Por ejemplo, los componentes de la aplicación deben validar certificados y cadenas TLS.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>295</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V1.10</Shortcode><Ordinal>10</Ordinal><Name>Arquitectura de Software Malicioso</Name><Items><item><Shortcode>V1.10.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique que un sistema de control de código fuente está en uso, con procedimientos para garantizar que los check-ins están respaldados tickets de issues o solicitudes de cambio. El sistema de control de código fuente debe tener control de acceso y usuarios identificables para permitir la trazabilidad de cualquier cambio.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>284</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V1.11</Shortcode><Ordinal>11</Ordinal><Name>Arquitectura de la Lógica de Negocio</Name><Items><item><Shortcode>V1.11.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique la definición y documentación de todos los componentes de la aplicación en términos de las funciones de negocio o de seguridad que proporcionan.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>1059</item></CWE><NIST></NIST></item><item><Shortcode>V1.11.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique que todos los flujos de lógica de negocio de alto valor, incluida la autenticación, la administración de sesiones y el control de acceso, no compartan estados no sincronizados.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>362</item></CWE><NIST></NIST></item><item><Shortcode>V1.11.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique que todos los flujos de lógica de negocio de alto valor, incluida la autenticación, la administración de sesiones y el control de acceso, sean seguros para subprocesos y resistentes a condiciones de carrera time-of-check y time-of-use (race conditions).</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>False</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>367</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V1.12</Shortcode><Ordinal>12</Ordinal><Name>Arquitectura de Carga Segura de Archivos</Name><Items><item><Shortcode>V1.12.1</Shortcode><Ordinal>1</Ordinal><Description>[ELIMINADO, DUPLICADO CON 12.4.1]</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>False</Required><Requirement></Requirement></L2><L3><Required>False</Required><Requirement></Requirement></L3><CWE></CWE><NIST></NIST></item><item><Shortcode>V1.12.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique que los archivos subidos por el usuario, -si es necesario que se muestren o descarguen desde la aplicación-, se hace mediante descargas de secuencias de octetos o desde un dominio no relacionado, como un almacenamiento de archivos en la nube. Implemente una directiva de seguridad de contenido (CSP) adecuada para reducir el riesgo de vectores XSS u otros ataques desde el archivo cargado.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>646</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V1.13</Shortcode><Ordinal>13</Ordinal><Name>Arquitectura de API</Name><Items></Items></item><item><Shortcode>V1.14</Shortcode><Ordinal>14</Ordinal><Name>Arquitectura de Configuración</Name><Items><item><Shortcode>V1.14.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique la segregación de componentes de diferentes niveles de confianza a través de controles de seguridad bien definidos, reglas de corta fuego, pasarelas de API, proxies reversos, grupos de seguridad basados en nube, o mecanismos similares.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>923</item></CWE><NIST></NIST></item><item><Shortcode>V1.14.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique que las firmas binarias, las conexiones de confianza y los puntos de conexión verificados se usan para el despliegue de archivos binarios a dispositivos remotos.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>494</item></CWE><NIST></NIST></item><item><Shortcode>V1.14.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique que el canal de compilación advierte de componentes obsoletos o inseguros y realiza las acciones adecuadas.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>1104</item></CWE><NIST></NIST></item><item><Shortcode>V1.14.4</Shortcode><Ordinal>4</Ordinal><Description>Verifique que el canal de compilación contiene un paso para compilar y comprobar automáticamente el despliegue seguro de la aplicación, especialmente si la infraestructura de la aplicación está definida por software, como los scripts de compilación del entorno en la nube.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE></CWE><NIST></NIST></item><item><Shortcode>V1.14.5</Shortcode><Ordinal>5</Ordinal><Description>Verifique que los despliegues de aplicaciones sean en sandbox, contenedores y/o aislados a nivel de red para retrasar e impedir que los atacantes vulneren otras aplicaciones, especialmente cuando realizan acciones sensibles o peligrosas, como la deserialización. ([C5](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>265</item></CWE><NIST></NIST></item><item><Shortcode>V1.14.6</Shortcode><Ordinal>6</Ordinal><Description>Verifique que la aplicación no utiliza tecnologías del lado cliente no compatibles, inseguras o en desuso, como NSAPI plugins, Flash, Shockwave, ActiveX, Silverlight, NACL o client-side java applets.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>477</item></CWE><NIST></NIST></item></Items></item></Items></item><item><Shortcode>V2</Shortcode><Ordinal>2</Ordinal><ShortName>Authentication</ShortName><Name>Autenticación</Name><Items><item><Shortcode>V2.1</Shortcode><Ordinal>1</Ordinal><Name>Seguridad de Contraseña</Name><Items><item><Shortcode>V2.1.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique que las contraseñas del usuarios tienen al menos 12 caracteres de longitud (después de combinar varios espacios). ([C6](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>521</item></CWE><NIST><item>5.1.1.2</item></NIST></item><item><Shortcode>V2.1.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique que se permitan contraseñas de al menos 64 caracteres y que se denieguen contraseñas de más de 128 caracteres. ([C6](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>521</item></CWE><NIST><item>5.1.1.2</item></NIST></item><item><Shortcode>V2.1.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique que no se realiza el truncamiento de contraseña. Sin embargo, varios espacios consecutivos pueden ser reemplazados por un solo espacio. ([C6](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>521</item></CWE><NIST><item>5.1.1.2</item></NIST></item><item><Shortcode>V2.1.4</Shortcode><Ordinal>4</Ordinal><Description>Verifique que cualquier carácter Unicode imprimible, incluidos los caracteres neutros del idioma, como espacios y Emojis esté permitido en las contraseñas.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>521</item></CWE><NIST><item>5.1.1.2</item></NIST></item><item><Shortcode>V2.1.5</Shortcode><Ordinal>5</Ordinal><Description>Verifique que los usuarios pueden cambiar su contraseña.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>620</item></CWE><NIST><item>5.1.1.2</item></NIST></item><item><Shortcode>V2.1.6</Shortcode><Ordinal>6</Ordinal><Description>Verifique que la funcionalidad de cambio de contraseña requiere la contraseña actual y nueva del usuario.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>620</item></CWE><NIST><item>5.1.1.2</item></NIST></item><item><Shortcode>V2.1.7</Shortcode><Ordinal>7</Ordinal><Description>Verifique que las contraseñas enviadas durante el registro de la cuenta, el inicio de sesión y el cambio de contraseña se comprueban localmente contra un conjunto de contraseñas filtradas (como las 1,000 o 10,000 contraseñas más comunes que coinciden con la directiva de contraseñas del sistema) o mediante una API externa. Si se utiliza una API, una prueba de zero knowledge u otro mecanismo, asegúrese que la contraseña en texto plano no se envía ni se utiliza para verificar el estado de filtración de la contraseña. Si la contraseña esta filtrada, la aplicación debe exigir al usuario que establezca una nueva contraseña no filtrada. ([C6](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>521</item></CWE><NIST><item>5.1.1.2</item></NIST></item><item><Shortcode>V2.1.8</Shortcode><Ordinal>8</Ordinal><Description>Verifique que se proporciona un medidor de fortaleza de la contraseña para ayudar a los usuarios a establecer una contraseña más segura.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>521</item></CWE><NIST><item>5.1.1.2</item></NIST></item><item><Shortcode>V2.1.9</Shortcode><Ordinal>9</Ordinal><Description>Verifique que no hay reglas de composición de contraseñas que limiten el tipo de caracteres permitidos. No debe haber ningún requisito para mayúsculas o minúsculas o números o caracteres especiales. ([C6](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>521</item></CWE><NIST><item>5.1.1.2</item></NIST></item><item><Shortcode>V2.1.10</Shortcode><Ordinal>10</Ordinal><Description>Verifique que no haya rotación periódica de credenciales o solicitud del historial de contraseñas.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>263</item></CWE><NIST><item>5.1.1.2</item></NIST></item><item><Shortcode>V2.1.11</Shortcode><Ordinal>11</Ordinal><Description>Verifique que se permite la funcionalidad &quot;pegar&quot;, las aplicaciones auxiliares de contraseñas del browser y los administradores externos de contraseñas.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>521</item></CWE><NIST><item>5.1.1.2</item></NIST></item><item><Shortcode>V2.1.12</Shortcode><Ordinal>12</Ordinal><Description>Verifique que el usuario puede elegir entre ver temporalmente toda la contraseña enmascarada o ver temporalmente el último caracter escrito de la contraseña en plataformas que no tienen esto como funcionalidad integrada.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>521</item></CWE><NIST><item>5.1.1.2</item></NIST></item></Items></item><item><Shortcode>V2.2</Shortcode><Ordinal>2</Ordinal><Name>Seguridad General del Autenticador</Name><Items><item><Shortcode>V2.2.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique que los controles anti-automatización son efectivos para mitigar las pruebas de credenciales filtradas, fuerza bruta y ataques de bloqueo de cuentas. Estos controles incluyen el bloqueo de las contraseñas filtradas más comunes, bloqueos suaves, limitación de velocidad, CAPTCHA, retrasos cada vez mayores entre intentos, restricciones de direcciones IP o restricciones basadas en riesgos, como la ubicación, el primer inicio de sesión en un dispositivo, los intentos recientes de desbloquear la cuenta o similares. Verifique que no sea posible realizar más de 100 intentos fallidos por hora en una sola cuenta.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>307</item></CWE><NIST><item>5.2.2</item><item>5.1.1.2</item><item>5.1.4.2</item><item>5.1.5.2</item></NIST></item><item><Shortcode>V2.2.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique que el uso de autenticadores débiles (como SMS y correo electrónico) se limita a la verificación secundaria y la aprobación de transacciones y no como un reemplazo para métodos de autenticación más seguros. Verifique que se ofrezcan métodos más fuertes y no métodos débiles, que los usuarios sean conscientes de los riesgos o que se tomen las medidas adecuadas para limitar los riesgos de compromiso de la cuenta.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>304</item></CWE><NIST><item>5.2.10</item></NIST></item><item><Shortcode>V2.2.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique que las notificaciones seguras se envían a los usuarios después de las actualizaciones de los detalles de autenticación, como restablecimientos de credenciales, cambios de correo electrónico o dirección, inicio de sesión desde ubicaciones desconocidas o de riesgo. Se prefiere el uso de notificaciones push - en lugar de SMS o correo electrónico - , pero en ausencia de notificaciones push, SMS o correo electrónico es aceptable siempre y cuando no se divulgue información confidencial en la notificación.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>620</item></CWE><NIST></NIST></item><item><Shortcode>V2.2.4</Shortcode><Ordinal>4</Ordinal><Description>Verifique la resistencia a la suplantación contra el phishing, como el uso de la autenticación multifactor, los dispositivos criptográficos con intención (como las claves conectadas con un push para autenticarse) o en niveles AAL más altos, certificados del lado cliente.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>False</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>308</item></CWE><NIST><item>5.2.5</item></NIST></item><item><Shortcode>V2.2.5</Shortcode><Ordinal>5</Ordinal><Description>Verifique que donde se separan un proveedor de servicios de credenciales (CSP) y la aplicación que comprueba la autenticación, el TLS mutuamente autenticado está en su lugar entre los dos endpoints.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>False</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>319</item></CWE><NIST><item>5.2.6</item></NIST></item><item><Shortcode>V2.2.6</Shortcode><Ordinal>6</Ordinal><Description>Verifique la resistencia a la reproducción mediante el uso obligatorio de dispositivos de one-time password (OTP), autenticadores criptográficos o códigos de búsqueda.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>False</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>308</item></CWE><NIST><item>5.2.8</item></NIST></item><item><Shortcode>V2.2.7</Shortcode><Ordinal>7</Ordinal><Description>Verifique la intención de autenticarse exigiendo la entrada de un token de OTP o una acción iniciada por el usuario, como una pulsación de botón en un teclado de hardware FIDO.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>False</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>308</item></CWE><NIST><item>5.2.9</item></NIST></item></Items></item><item><Shortcode>V2.3</Shortcode><Ordinal>3</Ordinal><Name>Ciclo de Vida del Autenticador</Name><Items><item><Shortcode>V2.3.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique que las contraseñas iniciales o los códigos de activación generados por el sistema DEBEN ser generados de forma aleatoreamente segura, DEBE tener al menos 6 caracteres de largo y PUEDE contener letras y números, y expirar después de un corto período de tiempo. Estos secretos iniciales no deben permitirse su re-utilización para convertirse en la contraseña a largo plazo.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>330</item></CWE><NIST><item>5.1.1.2</item><item>A.3</item></NIST></item><item><Shortcode>V2.3.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique que se admite la inscripción y el uso de dispositivos de autenticación proporcionados por el suscriptor, como tokens U2F o FIDO.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>308</item></CWE><NIST><item>6.1.3</item></NIST></item><item><Shortcode>V2.3.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique que las instrucciones de renovación se envían con tiempo suficiente para renovar los autenticadores con límite de tiempo.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>287</item></CWE><NIST><item>6.1.4</item></NIST></item></Items></item><item><Shortcode>V2.4</Shortcode><Ordinal>4</Ordinal><Name>Almacenamiento de Credenciales</Name><Items><item><Shortcode>V2.4.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique que las contraseñas se almacenan en un forma tal que resisten ataques sin conexión. Las contraseñas DEBERÁN usar hash con salto mediante una derivación de llave de una sola vía aprobada o función de hash de contraseña. Las funciones derivación de llave y hash de contraseñas toman una contraseña, una salto y un factor de costo como entradas al generar un hash de contraseña. ([C6](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>916</item></CWE><NIST><item>5.1.1.2</item></NIST></item><item><Shortcode>V2.4.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique que el salto tiene al menos 32 bits de longitud y que se elige arbitrariamente para minimizar las colisiones de valor de salto entre los hashes almacenados. Para cada credencial, se DEBE almacenar un único valor de salto y el hash resultante. ([C6](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>916</item></CWE><NIST><item>5.1.1.2</item></NIST></item><item><Shortcode>V2.4.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique que si se utiliza PBKDF2, el recuento de iteraciones DEBE ser tan grande como el rendimiento del servidor de verificación lo permita, normalmente de al menos 100,000 iteraciones. ([C6](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>916</item></CWE><NIST><item>5.1.1.2</item></NIST></item><item><Shortcode>V2.4.4</Shortcode><Ordinal>4</Ordinal><Description>Verifique que si se utiliza bcrypt, el factor de trabajo DEBE ser tan grande como lo permita el rendimiento del servidor de verificación, con un mínimo de 10. ([C6](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>916</item></CWE><NIST><item>5.1.1.2</item></NIST></item><item><Shortcode>V2.4.5</Shortcode><Ordinal>5</Ordinal><Description>Verifique que se realiza una iteración adicional de una función de derivación de claves, utilizando un valor de salto que es secreto y que solo conoce el verificador. Genere el valor de salto utilizando un generador de bits aleatorios aprobado [SP 800-90Ar1] y proporcione al menos la fuerza de seguridad mínima especificada en la última revisión del SP 800-131A. El valor secreto del salto se almacenará por separado de las contraseñas hash (p. ej., en un dispositivo especializado como un módulo de seguridad de hardware).</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>916</item></CWE><NIST><item>5.1.1.2</item></NIST></item></Items></item><item><Shortcode>V2.5</Shortcode><Ordinal>5</Ordinal><Name>Recuperación de Credenciales</Name><Items><item><Shortcode>V2.5.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique que un secreto de activación o recuperación inicial generado por el sistema no se envíe en texto claro al usuario. ([C6](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>640</item></CWE><NIST><item>5.1.1.2</item></NIST></item><item><Shortcode>V2.5.2</Shortcode><Ordinal>2</Ordinal><Description>Verificar sugerencias de contraseña o autenticación basada en conocimientos (las llamadas &quot;preguntas secretas&quot;) no están presentes.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>640</item></CWE><NIST><item>5.1.1.2</item></NIST></item><item><Shortcode>V2.5.3</Shortcode><Ordinal>3</Ordinal><Description>Verificar la recuperación de credenciales de contraseña no revela la contraseña actual de ninguna manera. ([C6](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>640</item></CWE><NIST><item>5.1.1.2</item></NIST></item><item><Shortcode>V2.5.4</Shortcode><Ordinal>4</Ordinal><Description>Verificar que las cuentas compartidas o predeterminadas no estén presentes (por ejemplo. &quot;root&quot;, &quot;admin&quot;, o &quot;sa&quot;).</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>16</item></CWE><NIST><item>5.1.1.2</item><item>A.3</item></NIST></item><item><Shortcode>V2.5.5</Shortcode><Ordinal>5</Ordinal><Description>Verifique que si se cambia o reemplaza un factor de autenticación, se notifica al usuario de este evento.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>304</item></CWE><NIST><item>6.1.2.3</item></NIST></item><item><Shortcode>V2.5.6</Shortcode><Ordinal>6</Ordinal><Description>Verifique la contraseña olvidada y otras rutas de recuperación utilizan un mecanismo de recuperación seguro, como OTP basado en el tiempo (TOTP) u otro token de software, mobile push u otro mecanismo de recuperación sin conexión. ([C6](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>640</item></CWE><NIST><item>5.1.1.2</item></NIST></item><item><Shortcode>V2.5.7</Shortcode><Ordinal>7</Ordinal><Description>Verifique que si se pierden factores de autenticación OTP o multifactor, esa evidencia de prueba de identidad se realiza al mismo nivel que durante la inscripción.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>308</item></CWE><NIST><item>6.1.2.3</item></NIST></item></Items></item><item><Shortcode>V2.6</Shortcode><Ordinal>6</Ordinal><Name>Verificador de Secretos de Look-up</Name><Items><item><Shortcode>V2.6.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique que los secretos de búsqueda solo se pueden usar una vez.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>308</item></CWE><NIST><item>5.1.2.2</item></NIST></item><item><Shortcode>V2.6.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique que los secretos de búsqueda tengan suficiente aleatoriedad (112 bits de entropía), o si menos de 112 bits de entropía, saltados con un única y aleatoria salto de 32 bits y hasheado con un hash aprobado de una sola vía.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>330</item></CWE><NIST><item>5.1.2.2</item></NIST></item><item><Shortcode>V2.6.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique que los secretos de búsqueda son resistentes a los ataques sin conexión, como los valores predecibles.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>310</item></CWE><NIST><item>5.1.2.2</item></NIST></item></Items></item><item><Shortcode>V2.7</Shortcode><Ordinal>7</Ordinal><Name>Verificador Fuera de Banda</Name><Items><item><Shortcode>V2.7.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique que los autenticadores de texto sin cifrar fuera de banda tales como PSTN o SMS (&quot;restringido por NIST&quot;) no se ofrecen de forma predeterminada, y que en primer lugar se ofrecen alternativas más sólidas, como las notificaciones push.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>287</item></CWE><NIST><item>5.1.3.2</item></NIST></item><item><Shortcode>V2.7.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique que el verificador fuera de banda expira después de 10 minutos, fuera de las solicitudes de autenticación de banda, códigos o tokens.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>287</item></CWE><NIST><item>5.1.3.2</item></NIST></item><item><Shortcode>V2.7.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique que las solicitudes de autenticación, los códigos o los tokens de verificador fuera de banda solo se pueden usar una vez y solo para la solicitud de autenticación original.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>287</item></CWE><NIST><item>5.1.3.2</item></NIST></item><item><Shortcode>V2.7.4</Shortcode><Ordinal>4</Ordinal><Description>Verifique que el autenticador y el verificador fuera de banda se comuniquen a través de un canal independiente seguro.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>523</item></CWE><NIST><item>5.1.3.2</item></NIST></item><item><Shortcode>V2.7.5</Shortcode><Ordinal>5</Ordinal><Description>Verifique que el verificador fuera de banda conserva solo una versión hasheada del código de autenticación.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>256</item></CWE><NIST><item>5.1.3.2</item></NIST></item><item><Shortcode>V2.7.6</Shortcode><Ordinal>6</Ordinal><Description>Verifique que el código de autenticación inicial sea generado por un generador de números aleatorios seguro, que contiene al menos 20 bits de entropía (normalmente un número aleatorio digital de seis es suficiente).</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>310</item></CWE><NIST><item>5.1.3.2</item></NIST></item></Items></item><item><Shortcode>V2.8</Shortcode><Ordinal>8</Ordinal><Name>Verificador de Una Sola Vez</Name><Items><item><Shortcode>V2.8.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique que los OTP basados en el tiempo tienen una duración definida antes de expirar.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>613</item></CWE><NIST><item>5.1.4.2</item><item>5.1.5.2</item></NIST></item><item><Shortcode>V2.8.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique que las claves simétricas utilizadas para comprobar los OTP enviados están altamente protegidas, por ejemplo, mediante el uso de un módulo de seguridad de hardware o almacenamiento seguro de claves basadas en el sistema operativo.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>320</item></CWE><NIST><item>5.1.4.2</item><item>5.1.5.2</item></NIST></item><item><Shortcode>V2.8.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique que los algoritmos criptográficos aprobados se utilizan en la generación, siembra y verificación de OTP.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>326</item></CWE><NIST><item>5.1.4.2</item><item>5.1.5.2</item></NIST></item><item><Shortcode>V2.8.4</Shortcode><Ordinal>4</Ordinal><Description>Verifique que el OTP basado en el tiempo se pueda utilizar solamente una vez dentro del período de validez.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>287</item></CWE><NIST><item>5.1.4.2</item><item>5.1.5.2</item></NIST></item><item><Shortcode>V2.8.5</Shortcode><Ordinal>5</Ordinal><Description>Verifique que si se reutiliza un token OTP multifactor basado en el tiempo durante el período de validez, se registra en logs y se rechaza con notificación segura enviada al titular del dispositivo.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>287</item></CWE><NIST><item>5.1.5.2</item></NIST></item><item><Shortcode>V2.8.6</Shortcode><Ordinal>6</Ordinal><Description>Verifique que el generador OTP de un solo factor físico pueda ser revocado en caso de robo u otra pérdida. Asegúrese de que la revocación es efectiva inmediatamente en todas las sesiones iniciadas, independientemente de la ubicación.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>613</item></CWE><NIST><item>5.2.1</item></NIST></item><item><Shortcode>V2.8.7</Shortcode><Ordinal>7</Ordinal><Description>Verifique que los autenticadores biométricos se limitan a usarlos solo como factores secundarios junto con algo que Ud. tiene y algo que Ud. sabe.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>Optional</Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>308</item></CWE><NIST><item>5.2.3</item></NIST></item></Items></item><item><Shortcode>V2.9</Shortcode><Ordinal>9</Ordinal><Name>Verificador Criptográfico</Name><Items><item><Shortcode>V2.9.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique que las claves criptográficas utilizadas en la verificación se almacenan de forma segura y protegidas contra la divulgación, como el uso de un módulo de plataforma segura (TPM) o un módulo de seguridad de hardware (HSM) o un servicio de sistema operativo que puede utilizar este almacenamiento seguro.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>320</item></CWE><NIST><item>5.1.7.2</item></NIST></item><item><Shortcode>V2.9.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique que el mensaje de desafío tenga al menos 64 bits de longitud y sea estadísticamente único o sea único a lo largo de la vida útil del dispositivo criptográfico.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>330</item></CWE><NIST><item>5.1.7.2</item></NIST></item><item><Shortcode>V2.9.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique que se utilizan algoritmos criptográficos aprobados en la generación, la semilla y la verificación.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>327</item></CWE><NIST><item>5.1.7.2</item></NIST></item></Items></item><item><Shortcode>V2.10</Shortcode><Ordinal>10</Ordinal><Name>Autenticación de Servicio</Name><Items><item><Shortcode>V2.10.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique que los secretos dentro del servicio no se basan en credenciales invariables, como contraseñas, claves de API o cuentas compartidas con acceso con privilegios.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>OS assisted</Requirement></L2><L3><Required>True</Required><Requirement>HSM</Requirement></L3><CWE><item>287</item></CWE><NIST><item>5.1.1.1</item></NIST></item><item><Shortcode>V2.10.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique que si las contraseñas son necesarias para la autenticación de servicio, la cuenta de servicio utilizada no es una credencial predeterminada. (p. ej., root/root o admin/admin son predeterminados en algunos servicios durante la instalación).</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>OS assisted</Requirement></L2><L3><Required>True</Required><Requirement>HSM</Requirement></L3><CWE><item>255</item></CWE><NIST><item>5.1.1.1</item></NIST></item><item><Shortcode>V2.10.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique que las contraseñas se almacenan con suficiente protección para evitar ataques de recuperación sin conexión, incluido el acceso al sistema local.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>OS assisted</Requirement></L2><L3><Required>True</Required><Requirement>HSM</Requirement></L3><CWE><item>522</item></CWE><NIST><item>5.1.1.1</item></NIST></item><item><Shortcode>V2.10.4</Shortcode><Ordinal>4</Ordinal><Description>Verifique que las contraseñas, las integraciones con bases de datos y sistemas de terceros, las semillas y los secretos internos y las claves de API se administran de forma segura y no se incluyen en el código fuente ni se almacenan en los repositorios de código fuente. Dicho almacenamiento DEBE resistir ataques fuera de línea. Se recomienda el uso de un almacén de claves de software seguro (L1), TPM de hardware o un HSM (L3) para el almacenamiento de contraseñas.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>OS assisted</Requirement></L2><L3><Required>True</Required><Requirement>HSM</Requirement></L3><CWE><item>798</item></CWE><NIST></NIST></item></Items></item></Items></item><item><Shortcode>V3</Shortcode><Ordinal>3</Ordinal><ShortName>Session</ShortName><Name>Gestión de sesiones</Name><Items><item><Shortcode>V3.1</Shortcode><Ordinal>1</Ordinal><Name>Seguridad Fundamental en la Gestión de Sesiones</Name><Items><item><Shortcode>V3.1.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique que la aplicación nunca revela tokens de sesión en parámetros de dirección URL.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>598</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V3.2</Shortcode><Ordinal>2</Ordinal><Name>Binding de Sesión</Name><Items><item><Shortcode>V3.2.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique que la aplicación genera un nuevo token de sesión en la autenticación de usuario. ([C6](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>384</item></CWE><NIST><item>7.1</item></NIST></item><item><Shortcode>V3.2.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique que los tokens de sesión posean al menos 64 bits de entropía. ([C6](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>331</item></CWE><NIST><item>7.1</item></NIST></item><item><Shortcode>V3.2.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique que la aplicación solo almacena tokens de sesión en el navegador mediante métodos seguros, como proteger las cookies adecuadamente (consulte la sección 3.4) o el almacenamiento de sesión en HTML 5.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>539</item></CWE><NIST><item>7.1</item></NIST></item><item><Shortcode>V3.2.4</Shortcode><Ordinal>4</Ordinal><Description>Verifique que los tokens de sesión se generan mediante algoritmos criptográficos aprobados. ([C6](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>331</item></CWE><NIST><item>7.1</item></NIST></item></Items></item><item><Shortcode>V3.3</Shortcode><Ordinal>3</Ordinal><Name>Terminación de Sesión</Name><Items><item><Shortcode>V3.3.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique que el cierre de sesión y la expiración invalidan el token de sesión, de modo que el botón &quot;Atrás&quot; o un usuario de confianza posterior no reanude una sesión autenticada, incluso entre los usuarios de confianza. ([C6](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>613</item></CWE><NIST><item>7.1</item></NIST></item><item><Shortcode>V3.3.2</Shortcode><Ordinal>2</Ordinal><Description>Si los autenticadores permiten a los usuarios permanecer conectados, compruebe que la re-autenticación se produce periódicamente tanto cuando se utiliza activamente o después de un período de inactividad. ([C6](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement>30 días</Requirement></L1><L2><Required>True</Required><Requirement>12 horas o 30 minutos de inactividad, 2FA opcional</Requirement></L2><L3><Required>True</Required><Requirement>12 horas o 15 minutos de inactividad, con 2FA</Requirement></L3><CWE><item>613</item></CWE><NIST><item>7.2</item></NIST></item><item><Shortcode>V3.3.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique que la aplicación ofrece la opción de terminar todas las demás sesiones activas después de un cambio de contraseña correcto (incluido el cambio mediante el restablecimiento/recuperación de contraseña), y que esto es efectivo en toda la aplicación, el inicio de sesión federado (si está presente) y cualquier usuario de confianza.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>613</item></CWE><NIST></NIST></item><item><Shortcode>V3.3.4</Shortcode><Ordinal>4</Ordinal><Description>Verifique que los usuarios pueden ver y (habiendo vuelto a introducir las credenciales de inicio de sesión) cerrar sesión en cualquiera o todas las sesiones y dispositivos activos actualmente.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>613</item></CWE><NIST><item>7.1</item></NIST></item></Items></item><item><Shortcode>V3.4</Shortcode><Ordinal>4</Ordinal><Name>Gestión de Sesión Basada en Cookie</Name><Items><item><Shortcode>V3.4.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique que los tokens de sesión basados en cookies tengan el atributo &apos;Secure&apos; establecido. ([C6](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>614</item></CWE><NIST><item>7.1.1</item></NIST></item><item><Shortcode>V3.4.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique que los tokens de sesión basados en cookies tienen el atributo &apos;HttpOnly&apos; establecido. ([C6](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>1004</item></CWE><NIST><item>7.1.1</item></NIST></item><item><Shortcode>V3.4.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique que los tokens de sesión basados en cookies utilizan el atributo &apos;SameSite&apos; para limitar la exposición a ataques de falsificación de solicitudes entre sitios. ([C6](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>16</item></CWE><NIST><item>7.1.1</item></NIST></item><item><Shortcode>V3.4.4</Shortcode><Ordinal>4</Ordinal><Description>Verifique que los tokens de sesión basados en cookies utilizan el prefijo &quot;__Host-&quot; para que las cookies solo se envíen al host que configuró inicialmente la cookie.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>16</item></CWE><NIST><item>7.1.1</item></NIST></item><item><Shortcode>V3.4.5</Shortcode><Ordinal>5</Ordinal><Description>Verifique que si la aplicación se publica bajo un nombre de dominio con otras aplicaciones que establecen o usan cookies de sesión que podrían revelar las cookies de sesión, establezca el atributo de ruta en tokens de sesión basados en cookies utilizando la ruta más precisa posible. ([C6](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>16</item></CWE><NIST><item>7.1.1</item></NIST></item></Items></item><item><Shortcode>V3.5</Shortcode><Ordinal>5</Ordinal><Name>Administración de Sesiones Basada en Tokens</Name><Items><item><Shortcode>V3.5.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique que la aplicación permite a los usuarios revocar tokens de OAuth que forman relaciones de confianza con aplicaciones vinculadas.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>290</item></CWE><NIST><item>7.1.2</item></NIST></item><item><Shortcode>V3.5.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique que la aplicación utiliza tokens de sesión en lugar de claves y secretos de API estáticos, excepto con implementaciones heredadas.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>798</item></CWE><NIST></NIST></item><item><Shortcode>V3.5.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique que los tokens de sesión sin estado utilizan firmas digitales, cifrado y otras contramedidas para protegerse contra ataques de manipulación, envolvente, reproducción, cifrado nulo y sustitución de claves.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>345</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V3.6</Shortcode><Ordinal>6</Ordinal><Name>Reautenticación Federada</Name><Items><item><Shortcode>V3.6.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique que las partes de confianza (RP) especifiquen el tiempo máximo de autenticación para los proveedores de servicios de credenciales (CSP) y que los CSP vuelvan a autenticar al usuario si no han utilizado una sesión dentro de ese período.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>False</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>613</item></CWE><NIST><item>7.2.1</item></NIST></item><item><Shortcode>V3.6.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique que los proveedores de servicios de credenciales (CSP) informan a las partes de confianza (RP) del último evento de autenticación, para permitir que los RP determinen si necesitan volver a autenticar al usuario.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>False</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>613</item></CWE><NIST><item>7.2.1</item></NIST></item></Items></item><item><Shortcode>V3.7</Shortcode><Ordinal>7</Ordinal><Name>Defensas Contra las Vulnerabilidades de Gestión de Sesiones</Name><Items><item><Shortcode>V3.7.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique que la aplicación garantiza una sesión de inicio de sesión completa y válida o requiere una re-autenticación o verificación secundaria antes de permitir cualquier transacción confidencial o modificaciones de la cuenta.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>306</item></CWE><NIST></NIST></item></Items></item></Items></item><item><Shortcode>V4</Shortcode><Ordinal>4</Ordinal><ShortName>Access</ShortName><Name>Control de Acceso</Name><Items><item><Shortcode>V4.1</Shortcode><Ordinal>1</Ordinal><Name>Diseño de Control de Acceso General</Name><Items><item><Shortcode>V4.1.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique que la aplicación aplica las reglas de control de acceso en una capa de servicio de confianza, especialmente si el control de acceso del lado cliente está presente y podría ser bypaseado.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>602</item></CWE><NIST></NIST></item><item><Shortcode>V4.1.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique que todos los atributos de usuario y datos y la información de directiva utilizada por los controles de acceso no pueden ser manipulados por los usuarios finales a menos que se autorice específicamente.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>639</item></CWE><NIST></NIST></item><item><Shortcode>V4.1.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique que existe el principio de privilegios mínimos: los usuarios solo deben poder acceder a funciones, archivos de datos, direcciones URL, controladores, servicios y otros recursos, para los que poseen una autorización específica. Esto implica protección contra la suplantación y elevación de privilegios. ([C7](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>285</item></CWE><NIST></NIST></item><item><Shortcode>V4.1.4</Shortcode><Ordinal>4</Ordinal><Description>[ELIMINADO, DUPLICADO DE 4.1.3]</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>False</Required><Requirement></Requirement></L2><L3><Required>False</Required><Requirement></Requirement></L3><CWE></CWE><NIST></NIST></item><item><Shortcode>V4.1.5</Shortcode><Ordinal>5</Ordinal><Description>Verifique que los controles de acceso fallan de forma segura, incluso cuando se produce una excepción. ([C10](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>285</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V4.2</Shortcode><Ordinal>2</Ordinal><Name>Control de Acceso a Nivel de Operación</Name><Items><item><Shortcode>V4.2.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique que los datos confidenciales y las API están protegidos contra ataques de referencia insegura directa de objetos (IDOR; por sus siglas en inglés) dirigidos a la creación, lectura, actualización y eliminación de registros, como la creación o actualización del registro de otra persona, la visualización de los registros de todos o la eliminación de todos los registros.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>639</item></CWE><NIST></NIST></item><item><Shortcode>V4.2.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique que la aplicación o el framework aplica un mecanismo anti-CSRF seguro para proteger la funcionalidad autenticada, y eficaz anti-automatización o anti-CSRF protege la funcionalidad no autenticada.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>352</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V4.3</Shortcode><Ordinal>3</Ordinal><Name>Otras Consideraciones de Control de Acceso</Name><Items><item><Shortcode>V4.3.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique que las interfaces administrativas utilicen la autenticación multifactor adecuada para evitar el uso no autorizado.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>419</item></CWE><NIST></NIST></item><item><Shortcode>V4.3.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique que la exploración de directorios está deshabilitada a menos que se desee deliberadamente. Además, las aplicaciones no deben permitir la detección o divulgación de metadatos de archivos o directorios, como Thumbs.db, .DS_Store, .git o .svn.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>548</item></CWE><NIST></NIST></item><item><Shortcode>V4.3.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique que la aplicación tiene autorización adicional (como la autenticación paso a paso o adaptativa) para sistemas de menor valor y/ o segregación de tareas para aplicaciones de alto valor para aplicar controles antifraude según el riesgo de aplicación y fraudes previos.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>732</item></CWE><NIST></NIST></item></Items></item></Items></item><item><Shortcode>V5</Shortcode><Ordinal>5</Ordinal><ShortName>Validation</ShortName><Name>Validación, Desinfección y Codificación</Name><Items><item><Shortcode>V5.1</Shortcode><Ordinal>1</Ordinal><Name>Validación de Entrada</Name><Items><item><Shortcode>V5.1.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique que la aplicación tiene defensas contra los ataques de contaminación de parámetros HTTP, especialmente si el marco de la aplicación no hace ninguna distinción sobre el origen de los parámetros de solicitud (GET, POST, cookies, encabezados o variables de entorno).</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>235</item></CWE><NIST></NIST></item><item><Shortcode>V5.1.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique que los frameworks protegen contra ataques de asignación de parámetros masivos o que la aplicación tiene contramedidas para proteger contra la asignación de parámetros no seguros, como marcar campos privados o similares. ([C5](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>915</item></CWE><NIST></NIST></item><item><Shortcode>V5.1.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique que todas las entradas (campos de formulario HTML, solicitudes REST, parámetros de URL, encabezados HTTP, cookies, archivos por lotes, fuentes RSS, etc.) se validan mediante validación positiva (lista de permitidos). ([C5](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>20</item></CWE><NIST></NIST></item><item><Shortcode>V5.1.4</Shortcode><Ordinal>4</Ordinal><Description>Verifique que las estructuras de datos están fuertemente tipados y validados con un esquema definido que incluya caracteres permitidos, longitud y patrón (p. ej., números de tarjeta de crédito, direcciones de correo electrónico, números de teléfono, o validar que dos campos relacionados son razonables, como comprobar que el suburbio y el código postal coinciden). ([C5](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>20</item></CWE><NIST></NIST></item><item><Shortcode>V5.1.5</Shortcode><Ordinal>5</Ordinal><Description>Verifique que las redirecciones y reenvíos de URL solo permiten destinos que aparecen en una lista de permitidos, o muestra una advertencia al redirigir a contenido potencialmente no confiable.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>601</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V5.2</Shortcode><Ordinal>2</Ordinal><Name>Requisitos de Sanitización y Sandboxing</Name><Items><item><Shortcode>V5.2.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique que todas las entradas HTML que no son de confianza de los editores WYSIWYG o similares se sanitizan correctamente con una biblioteca de sanitización HTML o una función de marco de trabajo. ([C5](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>116</item></CWE><NIST></NIST></item><item><Shortcode>V5.2.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique que los datos no estructurados están sanitizados para aplicar medidas de seguridad, como caracteres permitidos y longitud.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>138</item></CWE><NIST></NIST></item><item><Shortcode>V5.2.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique que la aplicación sanitiza la entrada del usuario antes de pasar a los sistemas de correo para protegerse contra la inyección SMTP o IMAP.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>147</item></CWE><NIST></NIST></item><item><Shortcode>V5.2.4</Shortcode><Ordinal>4</Ordinal><Description>Verifique que la aplicación evita el uso de eval() u otras características de ejecución de código dinámico. Cuando no hay alternativa, cualquier entrada de usuario debe sanitizarse, y ponerlo en sandbox antes de ejecutarse.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>95</item></CWE><NIST></NIST></item><item><Shortcode>V5.2.5</Shortcode><Ordinal>5</Ordinal><Description>Verifique que la aplicación protege contra ataques de inyección de plantilla asegurándose que cualquier entrada de usuario que se incluya está sanitizada o en un lugar controlado.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>94</item></CWE><NIST></NIST></item><item><Shortcode>V5.2.6</Shortcode><Ordinal>6</Ordinal><Description>Verifique que la aplicación protege contra ataques SSRF, validando o desinfectando datos que no son de confianza o metadatos de archivos HTTP, como nombres de archivo y campos de entrada de URL, y utiliza listas de protocolos permitidos, dominios, rutas de acceso y puertos.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>918</item></CWE><NIST></NIST></item><item><Shortcode>V5.2.7</Shortcode><Ordinal>7</Ordinal><Description>Verifique que la aplicación desinfecta, deshabilita o pone en sandbox el contenido proporcionado por el usuario, con scripts de gráficos vectoriales escalables (SVG; por sus siglas en inglés) especialmente en lo que se refiere a XSS resultante de scripts en línea y foreignObject.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>159</item></CWE><NIST></NIST></item><item><Shortcode>V5.2.8</Shortcode><Ordinal>8</Ordinal><Description>Verifique que la aplicación desinfecta, deshabilita o pone en sandbox el contenido proporcionado por el usuario, con expresiones en lenguaje de plantilla o script como Markdown, CSS o las hojas de estilo XSL, BBCode o similares.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>94</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V5.3</Shortcode><Ordinal>3</Ordinal><Name>Codificación de Salida y Prevención de Inyección</Name><Items><item><Shortcode>V5.3.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique que la codificación de salida es relevante para el intérprete y el contexto requerido. Por ejemplo, utilice codificadores específicamente para valores HTML, atributos HTML, JavaScript, parámetros de URL, encabezados HTTP, SMTP y otros según lo requiera el contexto, especialmente a partir de entradas que no sean de confianza (por ejemplo, nombres con Unicode o apóstrofes, como ねこ u O&apos;Hara). ([C4](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>116</item></CWE><NIST></NIST></item><item><Shortcode>V5.3.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique que la codificación de salida conserva el juego de caracteres y la configuración regional elegidos por el usuario, de modo que cualquier punto de caracteres Unicode sea válido y se maneje de forma segura. ([C4](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>176</item></CWE><NIST></NIST></item><item><Shortcode>V5.3.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique que el escape de salida basado en contexto, preferiblemente automatizado - o en el peor de los casos, manual - protege contra XSS reflejado, almacenado y basado en DOM. ([C4](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>79</item></CWE><NIST></NIST></item><item><Shortcode>V5.3.4</Shortcode><Ordinal>4</Ordinal><Description>Verifique que la selección de datos o las consultas de base de datos (por ejemplo, SQL, HQL, ORM, NoSQL) utilizan consultas parametrizadas, ORM, marcos de entidades o están protegidas de los ataques de inyección de base de datos. ([C3](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>89</item></CWE><NIST></NIST></item><item><Shortcode>V5.3.5</Shortcode><Ordinal>5</Ordinal><Description>Verifique donde los mecanismos parametrizados o más seguros no están presentes, la codificación de la salida en el contexto específico se utiliza para proteger contra ataques de inyección, como el uso de escape SQL para proteger contra la inyección SQL. ([C3, C4](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>89</item></CWE><NIST></NIST></item><item><Shortcode>V5.3.6</Shortcode><Ordinal>6</Ordinal><Description>Verifique que la aplicación protege contra ataques de inyección de JSON, ataques de &quot;eval&quot; en JSON y evaluación de expresiones de JavaScript. ([C4](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>830</item></CWE><NIST></NIST></item><item><Shortcode>V5.3.7</Shortcode><Ordinal>7</Ordinal><Description>Verifique que la aplicación protege contra vulnerabilidades de inyección LDAP o que se han implementado controles de seguridad específicos para evitar la inyección LDAP. ([C4](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>90</item></CWE><NIST></NIST></item><item><Shortcode>V5.3.8</Shortcode><Ordinal>8</Ordinal><Description>Verifique que la aplicación protege contra la inyección de comandos del sistema operativo y que las llamadas al sistema operativo utilizan consultas de sistema operativo parametrizadas o utilicen codificación de salida de línea de comandos contextual. ([C4](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>78</item></CWE><NIST></NIST></item><item><Shortcode>V5.3.9</Shortcode><Ordinal>9</Ordinal><Description>Verifique que la aplicación protege contra ataques de inclusión de archivos locales (LFI) o de inclusión remota de archivos (RFI).</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>829</item></CWE><NIST></NIST></item><item><Shortcode>V5.3.10</Shortcode><Ordinal>10</Ordinal><Description>Verifique que la aplicación protege contra ataques de inyección XPath o de inyección XML. ([C4](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>643</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V5.4</Shortcode><Ordinal>4</Ordinal><Name>Memoria, Cadena y Código No Administrado</Name><Items><item><Shortcode>V5.4.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique que la aplicación utiliza cadenas de memoria segura, copia de memoria más segura y aritmética de puntero para detectar o evitar desbordamientos de pila, búffer o heap.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>120</item></CWE><NIST></NIST></item><item><Shortcode>V5.4.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique que las cadenas de formato no toman entradas potencialmente hostiles y son constantes.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>134</item></CWE><NIST></NIST></item><item><Shortcode>V5.4.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique que se utilizan técnicas de validación de signos, intervalos y entradas para evitar desbordamientos de enteros.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>190</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V5.5</Shortcode><Ordinal>5</Ordinal><Name>Prevención de Deserialización</Name><Items><item><Shortcode>V5.5.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique que los objetos serializados utilizan comprobaciones de integridad o están cifrados para evitar la creación de objetos hostiles o la manipulación de datos. ([C5](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>502</item></CWE><NIST></NIST></item><item><Shortcode>V5.5.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique que la aplicación restringe correctamente los analizadores XML para que solo usen la configuración más restrictiva posible y para asegurarse de que las características no seguras, como la resolución de entidades externas, están deshabilitadas para evitar ataques XML eXternal Entity (XXE).</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>611</item></CWE><NIST></NIST></item><item><Shortcode>V5.5.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique que la deserialización de datos que no son de confianza se evita o está protegida tanto en código personalizado como en bibliotecas de terceros (como analizadores JSON, XML y YAML).</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>502</item></CWE><NIST></NIST></item><item><Shortcode>V5.5.4</Shortcode><Ordinal>4</Ordinal><Description>Verifique que al analizar JSON en exploradores o backends basados en JavaScript, JSON.parse se utiliza para analizar el documento JSON. No utilice eval() para analizar JSON.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>95</item></CWE><NIST></NIST></item></Items></item></Items></item><item><Shortcode>V6</Shortcode><Ordinal>6</Ordinal><ShortName>Cryptography</ShortName><Name>Criptografía almacenada</Name><Items><item><Shortcode>V6.1</Shortcode><Ordinal>1</Ordinal><Name>Clasificación de Datos</Name><Items><item><Shortcode>V6.1.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique que los datos privados regulados se almacenan cifrados mientras están en reposo, como información de identificación personal (PII), información personal confidencial o datos evaluados que puedan estar sujetos al RGPD de la UE.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>311</item></CWE><NIST></NIST></item><item><Shortcode>V6.1.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique que los datos de salud regulados se almacenen cifrados mientras están en reposo, como registros médicos, detalles de dispositivos médicos o registros de investigación anonimizados.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>311</item></CWE><NIST></NIST></item><item><Shortcode>V6.1.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique que los datos financieros regulados se almacenen cifrados mientras están en reposo, como cuentas financieras, impagos o historial de crédito, registros fiscales, historial de pagos, beneficiarios o registros de mercado o de investigación anonimizados.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>311</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V6.2</Shortcode><Ordinal>2</Ordinal><Name>Algoritmos</Name><Items><item><Shortcode>V6.2.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique que todos los módulos criptográficos fallan de forma segura y que los errores se gestionan de forma que no se habiliten los ataques &quot;Padding Oracle&quot;.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>310</item></CWE><NIST></NIST></item><item><Shortcode>V6.2.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique que se utilicen algoritmos, modos y bibliotecas criptográficas probados por la industria o aprobados por el gobierno, en lugar de criptografía codificada personalizada. ([C8](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>327</item></CWE><NIST></NIST></item><item><Shortcode>V6.2.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique que los modos de vector de inicialización de cifrado, configuración de cifrado y bloque están configurados de forma segura mediante los últimos consejos vigentes.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>326</item></CWE><NIST></NIST></item><item><Shortcode>V6.2.4</Shortcode><Ordinal>4</Ordinal><Description>Verifique que los algoritmos de número aleatorio, cifrado o hash, longitudes de clave, rondas, cifrados o modos, se puedan reconfigurar, actualizar o intercambiar en cualquier momento, para protegerse contra ruptura criptográficas. ([C8](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>326</item></CWE><NIST></NIST></item><item><Shortcode>V6.2.5</Shortcode><Ordinal>5</Ordinal><Description>Verifique que los modos de bloque inseguros conocidos (i.e., ECB, etc.), los modos de relleno (i.e. PKCS#1 v1.5, etc.), los cifrados con tamaños de bloque pequeños (i.e. Triple-DES, Blowfish, etc.), y los algoritmos de hashing débiles (i.e. MD5, SHA1, etc.) no se utilizan a menos que sea necesario para la compatibilidad con versiones anteriores.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>326</item></CWE><NIST></NIST></item><item><Shortcode>V6.2.6</Shortcode><Ordinal>6</Ordinal><Description>Verifique que los &quot;nonces&quot;, los vectores de inicialización y otros números de uso único no se deben usar más de una vez con una clave de cifrado determinada. El método de generación debe ser adecuado para el algoritmo que se está utilizando.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>326</item></CWE><NIST></NIST></item><item><Shortcode>V6.2.7</Shortcode><Ordinal>7</Ordinal><Description>Verifique que los datos cifrados se autentiquen a través de firmas, modos de cifrado autenticados, o HMAC para asegurarse de que el texto cifrado no sea alterado por una parte no autorizada.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>False</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>326</item></CWE><NIST></NIST></item><item><Shortcode>V6.2.8</Shortcode><Ordinal>8</Ordinal><Description>Verifique que todas las operaciones criptográficas son de tiempo constante, sin operaciones de &quot;cortocircuito&quot; en comparaciones, cálculos o devoluciones, para evitar fugas de información.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>False</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>385</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V6.3</Shortcode><Ordinal>3</Ordinal><Name>Valores Aleatorios</Name><Items><item><Shortcode>V6.3.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique que todos los números aleatorios, nombres de archivo aleatorios, GUID aleatorios y cadenas aleatorias se generan utilizando el generador de números aleatorios criptográficamente seguro aprobado por el módulo criptográfico cuando estos valores aleatorios están destinados a no ser adivinables por un atacante.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>338</item></CWE><NIST></NIST></item><item><Shortcode>V6.3.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique que los GUID aleatorios se crean mediante el algoritmo GUID v4 y un generador de números pseudoaleatorio (CSPRNG) criptográficamente seguro. Los GUID creados con otros generadores de números pseudoaleatorios pueden ser predecibles.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>338</item></CWE><NIST></NIST></item><item><Shortcode>V6.3.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique que los números aleatorios se crean con la entropía adecuada incluso cuando la aplicación está bajo carga pesada, o que la aplicación se degrada correctamente en tales circunstancias.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>False</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>338</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V6.4</Shortcode><Ordinal>4</Ordinal><Name>Gestión de Secretos</Name><Items><item><Shortcode>V6.4.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique que una solución de gestión de secretos, como un almacén de claves, se utiliza para crear, almacenar, controlar el acceso y destruir secretos de forma segura. ([C8](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>798</item></CWE><NIST></NIST></item><item><Shortcode>V6.4.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique que el material de claves no está expuesto a la aplicación, sino que utiliza un módulo de seguridad aislado como un almacén para operaciones criptográficas. ([C8](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>320</item></CWE><NIST></NIST></item></Items></item></Items></item><item><Shortcode>V7</Shortcode><Ordinal>7</Ordinal><ShortName>Error</ShortName><Name>Manejo y Registro de Errores</Name><Items><item><Shortcode>V7.1</Shortcode><Ordinal>1</Ordinal><Name>Contenido de Registro de Log</Name><Items><item><Shortcode>V7.1.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique que la aplicación no registra las credenciales ni los detalles de pago. Los tokens de sesión solo deben almacenarse en registros de forma irreversible y hasheados. ([C9, C10](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>532</item></CWE><NIST></NIST></item><item><Shortcode>V7.1.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique que la aplicación no registra otros datos confidenciales tal como se definen en las leyes de privacidad locales o la política de seguridad pertinente. ([C9](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>532</item></CWE><NIST></NIST></item><item><Shortcode>V7.1.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique que la aplicación registra eventos relevantes para la seguridad, incluidos los eventos de autenticación correctos y con errores, los errores de control de acceso, los errores de deserialización y los errores de validación de entrada. ([C5, C7](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>778</item></CWE><NIST></NIST></item><item><Shortcode>V7.1.4</Shortcode><Ordinal>4</Ordinal><Description>Verifique que cada evento de registro incluye la información necesaria que permitiría una investigación detallada de la escala de tiempo cuando se produce un evento. ([C9](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>778</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V7.2</Shortcode><Ordinal>2</Ordinal><Name>Procesamiento del Log</Name><Items><item><Shortcode>V7.2.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique que se registran todas las decisiones de autenticación, sin almacenar tokens o contraseñas de sesión confidenciales. Esto debe incluir solicitudes con los metadatos relevantes necesarios para las investigaciones de seguridad.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>778</item></CWE><NIST></NIST></item><item><Shortcode>V7.2.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique que se pueden registrar todas las decisiones de control de acceso y que se registran todas las decisiones erróneas. Esto debe incluir solicitudes con los metadatos pertinentes necesarios para las investigaciones de seguridad.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>285</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V7.3</Shortcode><Ordinal>3</Ordinal><Name>Protección de Logs</Name><Items><item><Shortcode>V7.3.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique que todos los componentes de registro codifiquen adecuadamente los datos para evitar la inyección de registros. ([C9](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>117</item></CWE><NIST></NIST></item><item><Shortcode>V7.3.2</Shortcode><Ordinal>2</Ordinal><Description>[ELIMINADO, DUPLICADO DE 7.3.1]</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>False</Required><Requirement></Requirement></L2><L3><Required>False</Required><Requirement></Requirement></L3><CWE></CWE><NIST></NIST></item><item><Shortcode>V7.3.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique que los registros de seguridad están protegidos contra el acceso y la modificación no autorizados. ([C9](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>200</item></CWE><NIST></NIST></item><item><Shortcode>V7.3.4</Shortcode><Ordinal>4</Ordinal><Description>Verifique que la fuente donde se lee el tiempo están sincronizados con la hora y la zona horaria correctas. Considere firmemente el registro solo en UTC si los sistemas son globales para ayudar con el análisis forense posterior al incidente. ([C9](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE></CWE><NIST></NIST></item></Items></item><item><Shortcode>V7.4</Shortcode><Ordinal>4</Ordinal><Name>Control de Errores</Name><Items><item><Shortcode>V7.4.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique que se muestra un mensaje genérico cuando se produce un error inesperado o sensible a la seguridad, potencialmente con un identificador único que el personal de soporte técnico puede usar para investigar. ([C10](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>210</item></CWE><NIST></NIST></item><item><Shortcode>V7.4.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique que el control de excepciones (o un equivalente funcional) se utiliza en todo el código base para tener en cuenta las condiciones de error esperadas e inesperadas. ([C10](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>544</item></CWE><NIST></NIST></item><item><Shortcode>V7.4.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique que se define un controlador de errores de &quot;último recurso&quot; que detectará todas las excepciones no controladas. ([C10](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>431</item></CWE><NIST></NIST></item></Items></item></Items></item><item><Shortcode>V8</Shortcode><Ordinal>8</Ordinal><ShortName>Data</ShortName><Name>Protección de Datos</Name><Items><item><Shortcode>V8.1</Shortcode><Ordinal>1</Ordinal><Name>Protección General de Datos</Name><Items><item><Shortcode>V8.1.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique que la aplicación protege los datos confidenciales de la caché en componentes del servidor, como balanceadores de carga y cachés de aplicaciones.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>524</item></CWE><NIST></NIST></item><item><Shortcode>V8.1.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique que todas las copias almacenadas en caché o temporales de datos confidenciales almacenados en el servidor están protegidas contra el acceso no autorizado o purgadas/invalidadas después de que el usuario autorizado acceda a los datos confidenciales.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>524</item></CWE><NIST></NIST></item><item><Shortcode>V8.1.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique que la aplicación minimiza el número de parámetros de una solicitud, como campos ocultos, variables Ajax, cookies y valores de encabezado.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>233</item></CWE><NIST></NIST></item><item><Shortcode>V8.1.4</Shortcode><Ordinal>4</Ordinal><Description>Verifique que la aplicación puede detectar y alertar sobre números anormales de solicitudes, como por IP, usuario, total por hora o día, o lo que tenga sentido para la aplicación.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>770</item></CWE><NIST></NIST></item><item><Shortcode>V8.1.5</Shortcode><Ordinal>5</Ordinal><Description>Verifique que se realizan copias de seguridad periódicas de datos importantes y que se realizan pruebas de la restauración de datos.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>False</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>19</item></CWE><NIST></NIST></item><item><Shortcode>V8.1.6</Shortcode><Ordinal>6</Ordinal><Description>Verifique que las copias de seguridad se almacenan de forma segura para evitar que los datos sean robados o se dañen.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>False</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>19</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V8.2</Shortcode><Ordinal>2</Ordinal><Name>Protección de datos del lado del cliente</Name><Items><item><Shortcode>V8.2.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique que la aplicación establece suficientes encabezados anti-almacenamiento en caché para que los datos confidenciales no se almacenen en caché en los navegadores modernos.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>525</item></CWE><NIST></NIST></item><item><Shortcode>V8.2.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique que los datos almacenados en el almacenamiento del navegador (como localStorage, sessionStorage, IndexedDB o cookies) no contengan datos confidenciales.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>922</item></CWE><NIST></NIST></item><item><Shortcode>V8.2.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique que los datos autenticados se borran del almacenamiento del cliente, como el DOM del explorador, después de que se termine el cliente o la sesión.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>922</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V8.3</Shortcode><Ordinal>3</Ordinal><Name>Datos Privados Confidenciales</Name><Items><item><Shortcode>V8.3.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique que los datos confidenciales se envían al servidor en el cuerpo o encabezados del mensaje HTTP y que los parámetros de cadena de consulta de cualquier verbo HTTP no contienen datos confidenciales.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>319</item></CWE><NIST></NIST></item><item><Shortcode>V8.3.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique que los usuarios tienen un método para eliminar o exportar sus datos sobre demanda (on demand).</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>212</item></CWE><NIST></NIST></item><item><Shortcode>V8.3.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique que se proporciona a los usuarios un lenguaje claro con respecto a la recopilación y el uso de la información personal suministrada y que los usuarios han proporcionado el consentimiento de aceptación para el uso de esos datos antes de que se utilicen de alguna manera.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>285</item></CWE><NIST></NIST></item><item><Shortcode>V8.3.4</Shortcode><Ordinal>4</Ordinal><Description>Verifique que se han identificado todos los datos confidenciales creados y procesados por la aplicación, y asegúrese de que existe una política sobre cómo tratar los datos confidenciales. ([C8](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>200</item></CWE><NIST></NIST></item><item><Shortcode>V8.3.5</Shortcode><Ordinal>5</Ordinal><Description>Verifique que el acceso a los datos confidenciales se audita (sin registrar los datos confidenciales en sí), si los datos se recopilan en las directivas de protección de datos pertinentes o donde se requiere el registro del acceso.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>532</item></CWE><NIST></NIST></item><item><Shortcode>V8.3.6</Shortcode><Ordinal>6</Ordinal><Description>Verifique que la información confidencial contenida en la memoria se sobrescribe tan pronto como ya no sea necesaria para mitigar los ataques de volcado de memoria, utilizando ceros o datos aleatorios.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>226</item></CWE><NIST></NIST></item><item><Shortcode>V8.3.7</Shortcode><Ordinal>7</Ordinal><Description>Verifique que la información confidencial o privada que se requiere que se cifre, se cifra mediante algoritmos aprobados que proporcionan confidencialidad e integridad. ([C8](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>327</item></CWE><NIST></NIST></item><item><Shortcode>V8.3.8</Shortcode><Ordinal>8</Ordinal><Description>Verifique que la información personal confidencial está sujeta a la clasificación de retención de datos, de forma que los datos antiguos o desactualizados se eliminen automáticamente, según una programación o según la situación lo requiera.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>285</item></CWE><NIST></NIST></item></Items></item></Items></item><item><Shortcode>V9</Shortcode><Ordinal>9</Ordinal><ShortName>Communications</ShortName><Name>Comunicación</Name><Items><item><Shortcode>V9.1</Shortcode><Ordinal>1</Ordinal><Name>Seguridad de la Comunicación del Cliente</Name><Items><item><Shortcode>V9.1.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique que TLS se utilice para toda la conectividad del cliente y que no recurra a comunicaciones inseguras o no cifradas. ([C8](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>319</item></CWE><NIST></NIST></item><item><Shortcode>V9.1.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique con herramientas de prueba TLS actualizadas que solo estén habilitados los conjuntos de cifrado fuertes, con los conjuntos de cifrado más fuertes configurados como preferidos.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>326</item></CWE><NIST></NIST></item><item><Shortcode>V9.1.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique que solo estén habilitadas las últimas versiones recomendadas del protocolo TLS, como TLS 1.2 y TLS 1.3. La última versión del protocolo TLS debería ser la opción preferida.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>326</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V9.2</Shortcode><Ordinal>2</Ordinal><Name>Seguridad de la Comunicación del Servidor</Name><Items><item><Shortcode>V9.2.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique que las conexiones hacia y desde el servidor utilizan certificados TLS de confianza. Cuando se utilizan certificados generados internamente o autofirmados, el servidor debe configurarse para que solo confíe en las CA internas específicas y en los certificados autofirmados específicos. Todos los demás deben ser rechazados.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>295</item></CWE><NIST></NIST></item><item><Shortcode>V9.2.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique que las comunicaciones cifradas, como TLS, se utilizan para todas las conexiones entrantes y salientes, incluidos los puertos de administración, monitoreo, la autenticación, la API o las llamadas a servicios web, la base de datos, la nube, el serverless, el mainframe, ya sean externos o de conexiones de asociados. El servidor no debe volver a protocolos inseguros o no cifrados.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>319</item></CWE><NIST></NIST></item><item><Shortcode>V9.2.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique que se autentican todas las conexiones cifradas a sistemas externos que implican información o funciones confidenciales.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>287</item></CWE><NIST></NIST></item><item><Shortcode>V9.2.4</Shortcode><Ordinal>4</Ordinal><Description>Verifique que la adecuada revocación de certificación, como la comprobación de Online Certificate Status Protocol (OCSP), esté habilitada y configurada.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>299</item></CWE><NIST></NIST></item><item><Shortcode>V9.2.5</Shortcode><Ordinal>5</Ordinal><Description>Verifique que se hace logging de errores de conexión TLS de back-end.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>False</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>544</item></CWE><NIST></NIST></item></Items></item></Items></item><item><Shortcode>V10</Shortcode><Ordinal>10</Ordinal><ShortName>Malicious</ShortName><Name>Código Malicioso</Name><Items><item><Shortcode>V10.1</Shortcode><Ordinal>1</Ordinal><Name>Integridad de Código</Name><Items><item><Shortcode>V10.1.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique que se está utilizando una herramienta de análisis de código que puede detectar código potencialmente malintencionado, como funciones de tiempo, operaciones de archivos no seguras y conexiones de red.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>False</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>749</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V10.2</Shortcode><Ordinal>2</Ordinal><Name>Búsqueda de Código Malicioso</Name><Items><item><Shortcode>V10.2.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique que el código fuente de la aplicación y las bibliotecas de terceros no contienen capacidades no autorizadas de recopilación de datos o de &quot;llamadas a casa&quot;. Cuando detecte dicha funcionalidad, obtenga el permiso explicito del usuario para que sea operado así, antes de recopilar cualquier dato.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>359</item></CWE><NIST></NIST></item><item><Shortcode>V10.2.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique que la aplicación no solicite permisos innecesarios o excesivos para funciones o sensores relacionados con la privacidad, como contactos, cámaras, micrófonos o ubicación.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>272</item></CWE><NIST></NIST></item><item><Shortcode>V10.2.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique que el código fuente de la aplicación y las bibliotecas de terceros no contienen puertas traseras, como cuentas, claves o código ofuscado, blobs binarios no documentados, rootkits o anti-depuración, características de depuración inseguras o de otro modo funcionalidades desactualizadas, inseguras u ocultas que podrían usarse maliciosamente si se descubren.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>False</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>507</item></CWE><NIST></NIST></item><item><Shortcode>V10.2.4</Shortcode><Ordinal>4</Ordinal><Description>Verifique que el código fuente de la aplicación y las bibliotecas de terceros no contienen bombas de tiempo mediante la búsqueda de funciones relacionadas con la fecha y la hora.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>False</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>511</item></CWE><NIST></NIST></item><item><Shortcode>V10.2.5</Shortcode><Ordinal>5</Ordinal><Description>Verifique que el código fuente de la aplicación y las bibliotecas de terceros no contienen código malintencionado, como salami attacks, logic bypasses o bombas lógicas.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>False</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>511</item></CWE><NIST></NIST></item><item><Shortcode>V10.2.6</Shortcode><Ordinal>6</Ordinal><Description>Verifique que el código fuente de la aplicación y las bibliotecas de terceros no contienen huevos de pascua ni ninguna otra funcionalidad potencialmente no deseada.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>False</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>507</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V10.3</Shortcode><Ordinal>3</Ordinal><Name>Integridad de Aplicación</Name><Items><item><Shortcode>V10.3.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique si la aplicación tiene una característica de actualización automática de cliente o servidor, las actualizaciones deben obtenerse a través de canales seguros y firmados digitalmente. El código de actualización debe validar la firma digital de la actualización antes de instalar o ejecutar la actualización.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>16</item></CWE><NIST></NIST></item><item><Shortcode>V10.3.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique que la aplicación emplea protecciones de integridad, como la firma de código o la integridad de subrecursos. La aplicación no debe cargar ni ejecutar código de fuentes que no sean de confianza, como la carga de includes, plugins, módulos, código o bibliotecas de fuentes que no sean de confianza o de Internet.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>353</item></CWE><NIST></NIST></item><item><Shortcode>V10.3.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique que la aplicación tiene protección contra takeovers de subdominios si la aplicación se basa en entradas DNS o subdominios DNS, como nombres de dominio expirados, punteros DNS obsoletos o CNAME, proyectos expirados en repositorios de código fuente públicos o API de nube transitorias, funciones serverless o buckets de almacenamiento (*autogen-bucket-id*.cloud.example.com) o similares. Las protecciones pueden incluir asegurarse de que los nombres DNS utilizados por las aplicaciones se comprueban regularmente para comprobar su caducidad o cambio.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>350</item></CWE><NIST></NIST></item></Items></item></Items></item><item><Shortcode>V11</Shortcode><Ordinal>11</Ordinal><ShortName>BusLogic</ShortName><Name>Lógica de Negocio</Name><Items><item><Shortcode>V11.1</Shortcode><Ordinal>1</Ordinal><Name>Seguridad de la Lógica de Negocio</Name><Items><item><Shortcode>V11.1.1</Shortcode><Ordinal>1</Ordinal><Description>Verificar que la aplicación solo procesará flujos de la lógica de negocio para el mismo usuario en orden de pasos secuenciales y sin omitir pasos.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>841</item></CWE><NIST></NIST></item><item><Shortcode>V11.1.2</Shortcode><Ordinal>2</Ordinal><Description>Verificar que la aplicación solo procesará flujos de lógica de negocios con todos los pasos que se procesan en tiempo humano realista, es decir, las transacciones no se envían demasiado rápido.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>799</item></CWE><NIST></NIST></item><item><Shortcode>V11.1.3</Shortcode><Ordinal>3</Ordinal><Description>Verificar que la aplicación tiene límites adecuados para acciones o transacciones de negocio específicas, y que se aplican correctamente con base en los usuarios.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>770</item></CWE><NIST></NIST></item><item><Shortcode>V11.1.4</Shortcode><Ordinal>4</Ordinal><Description>Verifique que la aplicación tenga controles anti-automatización para proteger contra llamadas excesivas, como exfiltración masiva de datos, solicitudes de lógica empresarial, carga de archivos o ataques de denegación de servicio.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>770</item></CWE><NIST></NIST></item><item><Shortcode>V11.1.5</Shortcode><Ordinal>5</Ordinal><Description>Verificar que la aplicación tiene límites de lógica empresarial o validación para protegerse contra riesgos o amenazas empresariales probables, identificados mediante el modelado de amenazas o metodologías similares.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>841</item></CWE><NIST></NIST></item><item><Shortcode>V11.1.6</Shortcode><Ordinal>6</Ordinal><Description>Verifique que la aplicación no tenga problemas de &quot;Time Of Check to Time Of Use&quot; (TOCTOU) u otras race conditions para operaciones sensibles.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>367</item></CWE><NIST></NIST></item><item><Shortcode>V11.1.7</Shortcode><Ordinal>7</Ordinal><Description>Verificar que la aplicación supervisa eventos o actividades inusuales desde una perspectiva de lógica de negocios. Por ejemplo, los intentos de realizar acciones fuera de servicio o acciones que un usuario normal nunca intentaría. ([C9](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>754</item></CWE><NIST></NIST></item><item><Shortcode>V11.1.8</Shortcode><Ordinal>8</Ordinal><Description>Verificar que la aplicación tiene alertas configurables cuando se detectan ataques automatizados o actividad inusual.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>390</item></CWE><NIST></NIST></item></Items></item></Items></item><item><Shortcode>V12</Shortcode><Ordinal>12</Ordinal><ShortName>Files</ShortName><Name>Archivos y Recursos</Name><Items><item><Shortcode>V12.1</Shortcode><Ordinal>1</Ordinal><Name>Carga de Archivos</Name><Items><item><Shortcode>V12.1.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique que la aplicación no aceptará archivos grandes que puedan llenar el almacenamiento o provocar una denegación de servicio.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>400</item></CWE><NIST></NIST></item><item><Shortcode>V12.1.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique que la aplicación compruebe los archivos comprimidos (p. ej. zip, gz, docx, odt) contra el tamaño máximo sin comprimir permitido y con el número máximo de archivos antes de descomprimir el archivo.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>409</item></CWE><NIST></NIST></item><item><Shortcode>V12.1.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique que se aplica una cuota de tamaño de archivo y un número máximo de archivos por usuario para asegurarse de que un solo usuario no puede llenar el almacenamiento con demasiados archivos o archivos excesivamente grandes.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>770</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V12.2</Shortcode><Ordinal>2</Ordinal><Name>Integridad de Archivos</Name><Items><item><Shortcode>V12.2.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique que los archivos obtenidos de orígenes que no son de confianza se validan para que sean del tipo esperado en función del contenido del archivo.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>434</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V12.3</Shortcode><Ordinal>3</Ordinal><Name>Ejecución de Archivos</Name><Items><item><Shortcode>V12.3.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique que los metadatos del nombre de archivo enviados por el usuario no se utilizan directamente por los sistemas de archivos del sistema o del marco de trabajo y que se utiliza una API de dirección URL para proteger contra el recorrido de ruta de acceso.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>22</item></CWE><NIST></NIST></item><item><Shortcode>V12.3.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique que los metadatos del nombre de archivo enviados por el usuario se validan o ignoran para evitar la divulgación, creación, actualización o eliminación de archivos locales (LFI).</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>73</item></CWE><NIST></NIST></item><item><Shortcode>V12.3.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique que los metadatos del nombre de archivo enviados por el usuario se validan o omiten para evitar la divulgación o ejecución de archivos remotos a través de ataques de inclusión remota de archivos (RFI) o falsificación de solicitudes del lado del servidor (SSRF).</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>98</item></CWE><NIST></NIST></item><item><Shortcode>V12.3.4</Shortcode><Ordinal>4</Ordinal><Description>Verifique que la aplicación protege contra la descarga de archivos reflectantes (RFD) validando o ignorando los nombres de archivo enviados por el usuario en un parámetro JSON, JSONP o URL, el encabezado Content-Type de respuesta debe establecerse en text/plain y el encabezado Content-Disposition debe tener un nombre de archivo fijo.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>641</item></CWE><NIST></NIST></item><item><Shortcode>V12.3.5</Shortcode><Ordinal>5</Ordinal><Description>Verifique que los metadatos de archivos que no son de confianza no se utilizan directamente con la API del sistema o las bibliotecas, para proteger contra la inyección de comandos del sistema operativo.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>78</item></CWE><NIST></NIST></item><item><Shortcode>V12.3.6</Shortcode><Ordinal>6</Ordinal><Description>Verifique que la aplicación no incluye ni ejecuta funcionalidad desde orígenes que no son de confianza, como redes de distribución de contenido no verificadas, bibliotecas de JavaScript, bibliotecas node npm o archivos DLL server-side.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>829</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V12.4</Shortcode><Ordinal>4</Ordinal><Name>Almacenamiento de Archivos</Name><Items><item><Shortcode>V12.4.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique que los archivos obtenidos de fuentes no confiables se almacenen fuera de la raíz web, con permisos limitados.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>552</item></CWE><NIST></NIST></item><item><Shortcode>V12.4.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique que los escáneres antivirus analicen los archivos obtenidos de fuentes no confiables para evitar la carga y el servicio de contenido malicioso conocido.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>509</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V12.5</Shortcode><Ordinal>5</Ordinal><Name>Descarga de Archivos</Name><Items><item><Shortcode>V12.5.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique que la capa web está configurado para transmitir solo archivos con extensiones específicas, para evitar la filtración accidental de información o código fuente. Por ejemplo, los archivos de copia de seguridad (p. ej. .bak), los archivos de trabajo temporales (p. ej. .swp), los archivos comprimidos (.zip, .tar.gz, etc.) y otras extensiones utilizadas comúnmente por los editores deben bloquearse a menos que sea necesario.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>552</item></CWE><NIST></NIST></item><item><Shortcode>V12.5.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique que las solicitudes directas a los archivos cargados nunca se ejecutarán como contenido HTML/JavaScript.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>434</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V12.6</Shortcode><Ordinal>6</Ordinal><Name>Protección SSRF</Name><Items><item><Shortcode>V12.6.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique que el servidor web o de aplicaciones está configurado con una lista de permisos de recursos o sistemas a los que el servidor puede enviar solicitudes o cargar datos o archivos.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>918</item></CWE><NIST></NIST></item></Items></item></Items></item><item><Shortcode>V13</Shortcode><Ordinal>13</Ordinal><ShortName>API</ShortName><Name>API y Servicios Web</Name><Items><item><Shortcode>V13.1</Shortcode><Ordinal>1</Ordinal><Name>Seguridad Genérica de Servicios Web</Name><Items><item><Shortcode>V13.1.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique que todos los componentes de la aplicación utilizan las mismas codificaciones y analizadores para evitar el análisis de ataques que explotan un comportamiento de análisis de archivos o URI diferente que se podría usar en ataques SSRF y RFI.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>116</item></CWE><NIST></NIST></item><item><Shortcode>V13.1.2</Shortcode><Ordinal>2</Ordinal><Description>[DELETED, DUPLICATE OF 4.3.1]</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>False</Required><Requirement></Requirement></L2><L3><Required>False</Required><Requirement></Requirement></L3><CWE></CWE><NIST></NIST></item><item><Shortcode>V13.1.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique que las direcciones URL de la API no exponen información confidencial, como API keys, los tokens de sesión, etc.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>598</item></CWE><NIST></NIST></item><item><Shortcode>V13.1.4</Shortcode><Ordinal>4</Ordinal><Description>Verifique que las decisiones de autorización se toman en el URI, se aplican mediante seguridad programática o declarativa en el controlador o enrutador, y en el nivel de recursos, se aplican mediante permisos basados en modelos.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>285</item></CWE><NIST></NIST></item><item><Shortcode>V13.1.5</Shortcode><Ordinal>5</Ordinal><Description>Verifique que las solicitudes que contienen tipos de contenido inesperados o contenido que falta se rechazan con encabezados adecuados (estado de respuesta HTTP 406 Inaceptable o 415 Tipo de medio no compatible).</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>434</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V13.2</Shortcode><Ordinal>2</Ordinal><Name>Servicio Web RESTful</Name><Items><item><Shortcode>V13.2.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique que los métodos HTTP RESTful habilitados son una opción válida para el usuario o la acción, como impedir que los usuarios normales usen DELETE o PUT en recursos o API protegidos.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>650</item></CWE><NIST></NIST></item><item><Shortcode>V13.2.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique que la validación del esquema JSON está en su lugar y se comprueba antes de aceptar la entrada.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>20</item></CWE><NIST></NIST></item><item><Shortcode>V13.2.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique que los servicios web RESTful que utilizan cookies están protegidos contra la falsificación de solicitudes entre sitios, mediante el uso de una o más de las siguientes formas: patrón de cookies de doble envío, &quot;nonces&quot; CSRF o comprobaciones de encabezado de solicitud de origen.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>352</item></CWE><NIST></NIST></item><item><Shortcode>V13.2.4</Shortcode><Ordinal>4</Ordinal><Description>[DELETED, DUPLICATE OF 11.1.4]</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>False</Required><Requirement></Requirement></L2><L3><Required>False</Required><Requirement></Requirement></L3><CWE></CWE><NIST></NIST></item><item><Shortcode>V13.2.5</Shortcode><Ordinal>5</Ordinal><Description>Verifique que los servicios REST comprueben explícitamente que el tipo de contenido entrante sea el esperado, como application/xml o application/json.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>436</item></CWE><NIST></NIST></item><item><Shortcode>V13.2.6</Shortcode><Ordinal>6</Ordinal><Description>Verifique que los encabezados de mensaje y la carga útil (payload) son confiables y no se modifican en tránsito. Requerir un cifrado seguro para el transporte (solo TLS) puede ser suficiente en muchos casos, ya que proporciona confidencialidad y protección de integridad. Las firmas digitales por cada mensaje pueden proporcionar una garantía adicional sobre las protecciones de transporte para aplicaciones de alta seguridad, pero conllevan complejidad y riesgos adicionales para compensar los beneficios.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>345</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V13.3</Shortcode><Ordinal>3</Ordinal><Name>Servicio Web SOAP</Name><Items><item><Shortcode>V13.3.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique que la validación del esquema XSD tiene lugar para garantizar un documento XML formado correctamente, seguido de la validación de cada campo de entrada antes de que se realice cualquier procesamiento de esos datos.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>20</item></CWE><NIST></NIST></item><item><Shortcode>V13.3.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique que el payload del mensaje está firmada mediante WS-Security para garantizar un transporte fiable entre el cliente y el servicio.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>345</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V13.4</Shortcode><Ordinal>4</Ordinal><Name>GraphQL</Name><Items><item><Shortcode>V13.4.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique que se utiliza una lista de permisos de consulta o una combinación de limitación de profundidad y limitación de cantidad para evitar que GraphQL o la expresión de la capa de datos provoque una denegación de servicio (DoS) como resultado de costosas consultas anidadas. Para escenarios más avanzados, se debe usar el análisis de costos de consulta.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>770</item></CWE><NIST></NIST></item><item><Shortcode>V13.4.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique que GraphQL u otra lógica de autorización de capa de datos podría implementarse en la capa de lógica de negocio en lugar de la capa GraphQL.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>285</item></CWE><NIST></NIST></item></Items></item></Items></item><item><Shortcode>V14</Shortcode><Ordinal>14</Ordinal><ShortName>Config</ShortName><Name>Configuración</Name><Items><item><Shortcode>V14.1</Shortcode><Ordinal>1</Ordinal><Name>Compilación y Despliegue</Name><Items><item><Shortcode>V14.1.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique que los procesos de compilación y despliegue de aplicaciones se realizan de forma segura y repetible, como la automatización de CI/CD, la administración de configuración automatizada y los scripts de despliegue automatizado.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE></CWE><NIST></NIST></item><item><Shortcode>V14.1.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique que los indicadores del compilador están configurados para habilitar todas las protecciones y advertencias de desbordamiento de búfer disponibles, incluida la aleatorización de la pila, la prevención de la ejecución de datos y para interrumpir la compilación si se encuentra un puntero no seguro, memoria, cadena de formato, entero u operaciones de cadena.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>120</item></CWE><NIST></NIST></item><item><Shortcode>V14.1.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique que la configuración del servidor está hardenizada según las recomendaciones del servidor de aplicaciones y los framewors en uso.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>16</item></CWE><NIST></NIST></item><item><Shortcode>V14.1.4</Shortcode><Ordinal>4</Ordinal><Description>Verifique que la aplicación, la configuración y todas las dependencias se pueden volver a implementar mediante scripts de implementación automatizada, crearse a partir de un runbook documentado y probado en un tiempo razonable o restaurarse a partir de copias de seguridad de forma oportuna.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE></CWE><NIST></NIST></item><item><Shortcode>V14.1.5</Shortcode><Ordinal>5</Ordinal><Description>Verifique que los administradores autorizados pueden verificar la integridad de todas las configuraciones relevantes para la seguridad para detectar una posible manipulación.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>False</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE></CWE><NIST></NIST></item></Items></item><item><Shortcode>V14.2</Shortcode><Ordinal>2</Ordinal><Name>Dependencias</Name><Items><item><Shortcode>V14.2.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique que todos los componentes estén actualizados, preferiblemente utilizando un comprobador de dependencias durante el tiempo de compilación. ([C2](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>1026</item></CWE><NIST></NIST></item><item><Shortcode>V14.2.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique que se eliminen todas las funciones, documentación, aplicaciones de muestra y configuraciones innecesarias.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>1002</item></CWE><NIST></NIST></item><item><Shortcode>V14.2.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique que si los activos de la aplicación, como bibliotecas JavaScript, fuentes CSS o web, se hospedan externamente en una red de entrega de contenido (CDN) o un proveedor externo, se usa la integridad de subrecursos (SRI) para validar la integridad del activo.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>829</item></CWE><NIST></NIST></item><item><Shortcode>V14.2.4</Shortcode><Ordinal>4</Ordinal><Description>Verifique que los componentes de terceros provienen de repositorios predefinidos, de confianza y mantenidos continuamente. ([C2](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>829</item></CWE><NIST></NIST></item><item><Shortcode>V14.2.5</Shortcode><Ordinal>5</Ordinal><Description>Verifique que se mantenga una Lista de materiales de software (SBOM; por sus siglas en inglés) de todas las bibliotecas de terceros en uso. ([C2](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE></CWE><NIST></NIST></item><item><Shortcode>V14.2.6</Shortcode><Ordinal>6</Ordinal><Description>Verifique que la superficie de ataque se reduce mediante sandboxing o encapsular bibliotecas de terceros para exponer solo el comportamiento necesario en la aplicación. ([C2](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>265</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V14.3</Shortcode><Ordinal>3</Ordinal><Name>Divulgación de Seguridad Involuntaria</Name><Items><item><Shortcode>V14.3.1</Shortcode><Ordinal>1</Ordinal><Description>[ELIMINADO, DUPLICADO DE 7.4.1]</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>False</Required><Requirement></Requirement></L2><L3><Required>False</Required><Requirement></Requirement></L3><CWE></CWE><NIST></NIST></item><item><Shortcode>V14.3.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique que los modos de depuración del servidor web o de aplicaciones y del framework de aplicaciones están deshabilitados en producción para eliminar las características de depuración, las consolas de desarrollador y las divulgaciones de seguridad no deseadas.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>497</item></CWE><NIST></NIST></item><item><Shortcode>V14.3.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique que los encabezados HTTP o cualquier parte de la respuesta HTTP no exponen información detallada de la versión de los componentes del sistema.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>200</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V14.4</Shortcode><Ordinal>4</Ordinal><Name>Encabezados de Seguridad HTTP</Name><Items><item><Shortcode>V14.4.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique que cada respuesta HTTP contenga un encabezado de tipo de contenido. También especifique un conjunto de caracteres seguro (p. ej., UTF-8, ISO-8859-1) si los tipos de contenido son texto/*, /+xml y aplicación/xml. El contenido debe coincidir con el encabezado de tipo de contenido proporcionado.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>173</item></CWE><NIST></NIST></item><item><Shortcode>V14.4.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique que todas las respuestas de API contienen un encabezado Content-Disposition: attachment; filename=&quot;api.json&quot; (u otro nombre de archivo apropiado para el tipo de contenido).</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>116</item></CWE><NIST></NIST></item><item><Shortcode>V14.4.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique que existe un encabezado de respuesta de Directiva de Seguridad de Contenido (CSP) que ayuda a mitigar el impacto de los ataques XSS como vulnerabilidades de inyección de HTML, DOM, JSON y JavaScript.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>1021</item></CWE><NIST></NIST></item><item><Shortcode>V14.4.4</Shortcode><Ordinal>4</Ordinal><Description>Verifique que todas las respuestas contienen un encabezado X-Content-Type-Options: nosniff.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>116</item></CWE><NIST></NIST></item><item><Shortcode>V14.4.5</Shortcode><Ordinal>5</Ordinal><Description>Verifique que se incluye un encabezado Strict-Transport-Security en todas las respuestas y para todos los subdominios, como Strict-Transport-Security: max-age-15724800; includeSubdomains.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>523</item></CWE><NIST></NIST></item><item><Shortcode>V14.4.6</Shortcode><Ordinal>6</Ordinal><Description>Verifique que se incluya adecuadamente un encabezado de Referrer-Policy para evitar exponer información confidencial en la URL a través del encabezado de referencia a partes que no son de confianza.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>116</item></CWE><NIST></NIST></item><item><Shortcode>V14.4.7</Shortcode><Ordinal>7</Ordinal><Description>Verifique que el contenido de una aplicación web no se puede incrustar en un sitio de terceros de forma predeterminada y que la inserción de los recursos exactos solo se permite cuando sea necesario mediante el uso adecuado de Content-Security-Polic: frame-ancestors y encabezados de respuesta X-Frame-Options.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>1021</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V14.5</Shortcode><Ordinal>5</Ordinal><Name>Validación de Encabezado de Solicitud HTTP</Name><Items><item><Shortcode>V14.5.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique que el servidor de aplicaciones solo acepta los métodos HTTP que utiliza la aplicación/API, incluidas las pre-flight OPTIONS, y los Logs/alertas en cualquier solicitud que no sea válida para el contexto de la aplicación.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>749</item></CWE><NIST></NIST></item><item><Shortcode>V14.5.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique que el encabezado Origin proporcionado no se utiliza para las decisiones de autenticación o control de acceso, ya que un atacante puede cambiar fácilmente el encabezado Origin.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>346</item></CWE><NIST></NIST></item><item><Shortcode>V14.5.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique que el encabezado Cross-Origin Resource Sharing (CORS) Access-Control-Allow-Origin utiliza una estricta lista de permisos de dominios y subdominios de confianza para que coincidan entre si, y no se permita el origen &quot;nulo&quot;.</Description><L1><Required>True</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>346</item></CWE><NIST></NIST></item><item><Shortcode>V14.5.4</Shortcode><Ordinal>4</Ordinal><Description>Verifique que la aplicación autentica los encabezados HTTP agregados por un proxy de confianza o dispositivos SSO, como un token de portador.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement></Requirement></L3><CWE><item>306</item></CWE><NIST></NIST></item></Items></item></Items></item></Requirements></root>