OWASP Application Security Verification Standard 4.0.3-es.json

{
  "Name": "Application Security Verification Standard Project",
  "ShortName": "ASVS",
  "Version": "4.0.3",
  "Description": "The OWASP Application Security Verification Standard (ASVS) Project provides a basis for testing web application technical security controls and also provides developers with a list of requirements for secure development.",
  "Requirements": [
    {
      "Shortcode": "V1",
      "Ordinal": 1,
      "ShortName": "Architecture",
      "Name": "Arquitectura, Dise\u00f1o y Modelado de Amenazas",
      "Items": [
        {
          "Shortcode": "V1.1",
          "Ordinal": 1,
          "Name": "Ciclo de Vida de Desarrollo de Software Seguro",
          "Items": [
            {
              "Shortcode": "V1.1.1",
              "Ordinal": 1,
              "Description": "Verifique el uso de un ciclo de vida de desarrollo de software seguro que aborde la seguridad en todas las etapas del desarrollo. ([C1](https://owasp.org/www-project-proactive-controls/#div-numbering))",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [],
              "NIST": []
            },
            {
              "Shortcode": "V1.1.2",
              "Ordinal": 2,
              "Description": "Verifique el uso del modelado de amenazas para cada cambio de dise\u00f1o o planificaci\u00f3n de sprint para identificar amenazas, planificar contramedidas, facilitar respuestas de riesgo adecuadas y guiar las pruebas de seguridad.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                1053
              ],
              "NIST": []
            },
            {
              "Shortcode": "V1.1.3",
              "Ordinal": 3,
              "Description": "Verifique que todas las historias y caracter\u00edsticas de usuario contienen restricciones de seguridad funcionales, como por ejemplo: \"Como usuario, deber\u00eda poder ver y editar mi perfil. No deber\u00eda ser capaz de ver o editar el perfil de nadie m\u00e1s\"",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                1110
              ],
              "NIST": []
            },
            {
              "Shortcode": "V1.1.4",
              "Ordinal": 4,
              "Description": "Verifique la documentaci\u00f3n y la justificaci\u00f3n de todos los l\u00edmites de confianza, componentes y flujos de datos significativos de la aplicaci\u00f3n.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                1059
              ],
              "NIST": []
            },
            {
              "Shortcode": "V1.1.5",
              "Ordinal": 5,
              "Description": "Verifique la definici\u00f3n y el an\u00e1lisis de seguridad de la arquitectura de alto nivel de la aplicaci\u00f3n y todos los servicios remotos conectados. ([C1](https://owasp.org/www-project-proactive-controls/#div-numbering))",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                1059
              ],
              "NIST": []
            },
            {
              "Shortcode": "V1.1.6",
              "Ordinal": 6,
              "Description": "Verifique la implementaci\u00f3n de controles de seguridad centralizados, simples (econom\u00eda del dise\u00f1o), comprobados, seguros y reutilizables para evitar controles duplicados, faltantes, ineficaces o inseguros. ([C10](https://owasp.org/www-project-proactive-controls/#div-numbering))",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                637
              ],
              "NIST": []
            },
            {
              "Shortcode": "V1.1.7",
              "Ordinal": 7,
              "Description": "Verifique la disponibilidad de una lista de comprobaci\u00f3n de codificaci\u00f3n segura, requisitos de seguridad, directriz o directiva para todos los desarrolladores y evaluadores.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                637
              ],
              "NIST": []
            }
          ]
        },
        {
          "Shortcode": "V1.2",
          "Ordinal": 2,
          "Name": "Arquitectura de Autenticaci\u00f3n",
          "Items": [
            {
              "Shortcode": "V1.2.1",
              "Ordinal": 1,
              "Description": "Verifique el uso de cuentas de sistema operativo \u00fanicas o especiales con privilegios bajos para todos los componentes, servicios y servidores de la aplicaci\u00f3n. ([C3](https://owasp.org/www-project-proactive-controls/#div-numbering))",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                250
              ],
              "NIST": []
            },
            {
              "Shortcode": "V1.2.2",
              "Ordinal": 2,
              "Description": "Verifique que las comunicaciones entre los componentes de la aplicaci\u00f3n, incluidas las API, el middleware y las capas de datos, se autentican. Los componentes deben tener los m\u00ednimos privilegios necesarios. ([C3](https://owasp.org/www-project-proactive-controls/#div-numbering))",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                306
              ],
              "NIST": []
            },
            {
              "Shortcode": "V1.2.3",
              "Ordinal": 3,
              "Description": "Verifique que la aplicaci\u00f3n utiliza un \u00fanico mecanismo de autenticaci\u00f3n comprobado que se sabe que es seguro, se puede ampliar para incluir una autenticaci\u00f3n segura y tiene suficiente logging y supervisi\u00f3n para detectar abuso de cuenta o brechas.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                306
              ],
              "NIST": []
            },
            {
              "Shortcode": "V1.2.4",
              "Ordinal": 4,
              "Description": "Verifique que todas las v\u00edas de autenticaci\u00f3n y las API de administraci\u00f3n de identidades implementan una fortaleza coherente del control de seguridad de autenticaci\u00f3n, de modo que no haya alternativas m\u00e1s d\u00e9biles por el riesgo de la aplicaci\u00f3n.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                306
              ],
              "NIST": []
            }
          ]
        },
        {
          "Shortcode": "V1.3",
          "Ordinal": 3,
          "Name": "Arquitectura de Gesti\u00f3n de Sesiones",
          "Items": []
        },
        {
          "Shortcode": "V1.4",
          "Ordinal": 4,
          "Name": "Arquitectura de Control de Acceso",
          "Items": [
            {
              "Shortcode": "V1.4.1",
              "Ordinal": 1,
              "Description": "Verifique que los puntos de cumplimiento de confianza, tales como puertas de enlace de control de acceso, servidores y funciones serverless, exijan controles de acceso. Nunca aplique controles de acceso en el cliente.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                602
              ],
              "NIST": []
            },
            {
              "Shortcode": "V1.4.2",
              "Ordinal": 2,
              "Description": "[ELIMINADO, NO ACCIONABLE]",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": false,
                "Requirement": ""
              },
              "L3": {
                "Required": false,
                "Requirement": ""
              },
              "CWE": [],
              "NIST": []
            },
            {
              "Shortcode": "V1.4.3",
              "Ordinal": 3,
              "Description": "[ELIMINADO, DUPLICADO CON 4.1.3]",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": false,
                "Requirement": ""
              },
              "L3": {
                "Required": false,
                "Requirement": ""
              },
              "CWE": [],
              "NIST": []
            },
            {
              "Shortcode": "V1.4.4",
              "Ordinal": 4,
              "Description": "Verifique que la aplicaci\u00f3n utilice un mecanismo de control de acceso \u00fanico y bien comprobado para acceder a datos y recursos protegidos. Todas las solicitudes deben pasar por este \u00fanico mecanismo para evitar copiar y pegar o rutas alternativas inseguras. ([C7](https://owasp.org/www-project-proactive-controls/#div-numbering))",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                284
              ],
              "NIST": []
            },
            {
              "Shortcode": "V1.4.5",
              "Ordinal": 5,
              "Description": "Verifique que se utiliza el control de acceso basado en atributos o entidades mediante el cual el c\u00f3digo comprueba la autorizaci\u00f3n del usuario para un elemento de caracter\u00edstica o datos en lugar de solo su rol. Los permisos deben asignarse mediante roles. ([C7](https://owasp.org/www-project-proactive-controls/#div-numbering))",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                275
              ],
              "NIST": []
            }
          ]
        },
        {
          "Shortcode": "V1.5",
          "Ordinal": 5,
          "Name": "Arquitectura de Entradas y Salidas",
          "Items": [
            {
              "Shortcode": "V1.5.1",
              "Ordinal": 1,
              "Description": "Verifique que los requisitos de entrada y salida definan claramente c\u00f3mo manejar y procesar datos en funci\u00f3n del tipo, contenido y las leyes, regulaciones y otras leyes aplicables, reglamentos y otras normas de cumplimiento de pol\u00edticas.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                1029
              ],
              "NIST": []
            },
            {
              "Shortcode": "V1.5.2",
              "Ordinal": 2,
              "Description": "Verifique que no se usa serializaci\u00f3n al comunicarse con clientes que no son de confianza. Si esto no es posible, aseg\u00farese de que se apliquen controles de integridad adecuados (y posiblemente cifrado si se env\u00edan datos confidenciales) para evitar ataques de deserializaci\u00f3n, incluida la inyecci\u00f3n de objetos.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                502
              ],
              "NIST": []
            },
            {
              "Shortcode": "V1.5.3",
              "Ordinal": 3,
              "Description": "Verifique que la validaci\u00f3n de datos de entrada (input) se aplica en una capa de servicio de confianza. ([C5](https://owasp.org/www-project-proactive-controls/#div-numbering))",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                602
              ],
              "NIST": []
            },
            {
              "Shortcode": "V1.5.4",
              "Ordinal": 4,
              "Description": "Verifique que la codificaci\u00f3n de salida (output encode) se produce cerca o en el int\u00e9rprete para el que est\u00e1 destinada. ([C4](https://owasp.org/www-project-proactive-controls/#div-numbering))",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                116
              ],
              "NIST": []
            }
          ]
        },
        {
          "Shortcode": "V1.6",
          "Ordinal": 6,
          "Name": "Arquitectura Criptogr\u00e1fica",
          "Items": [
            {
              "Shortcode": "V1.6.1",
              "Ordinal": 1,
              "Description": "Verifique que existe una pol\u00edtica expl\u00edcita para la administraci\u00f3n de claves criptogr\u00e1ficas y que un ciclo de vida de clave criptogr\u00e1fica sigue un est\u00e1ndar de administraci\u00f3n de claves como NIST SP 800-57.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                320
              ],
              "NIST": []
            },
            {
              "Shortcode": "V1.6.2",
              "Ordinal": 2,
              "Description": "Verifique que los consumidores de servicios criptogr\u00e1ficos protegen el material clave y otros secretos mediante el uso de almacenes de claves o alternativas basadas en API.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                320
              ],
              "NIST": []
            },
            {
              "Shortcode": "V1.6.3",
              "Ordinal": 3,
              "Description": "Verifique que todas las claves y contrase\u00f1as son reemplazables y forman parte de un proceso bien definido para volver a cifrar los datos confidenciales.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                320
              ],
              "NIST": []
            },
            {
              "Shortcode": "V1.6.4",
              "Ordinal": 4,
              "Description": "Verifique que la arquitectura trata los secretos del lado cliente (como claves sim\u00e9tricas, contrase\u00f1as o tokens de API) como inseguros y nunca los usa para proteger o acceder a datos confidenciales.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                320
              ],
              "NIST": []
            }
          ]
        },
        {
          "Shortcode": "V1.7",
          "Ordinal": 7,
          "Name": "Arquitectura de Errores, Logging y Auditor\u00eda",
          "Items": [
            {
              "Shortcode": "V1.7.1",
              "Ordinal": 1,
              "Description": "Verifique que se utilice un formato com\u00fan y un enfoque de logging en todo el sistema. ([C9](https://owasp.org/www-project-proactive-controls/#div-numbering))",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                1009
              ],
              "NIST": []
            },
            {
              "Shortcode": "V1.7.2",
              "Ordinal": 2,
              "Description": "Verifique que los registros de log se transmitan de forma segura a un sistema preferentemente remoto para an\u00e1lisis, detecci\u00f3n, alertas y escalamiento. ([C9](https://owasp.org/www-project-proactive-controls/#div-numbering))",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [],
              "NIST": []
            }
          ]
        },
        {
          "Shortcode": "V1.8",
          "Ordinal": 8,
          "Name": "Arquitectura de Protecci\u00f3n de Datos y Privacidad",
          "Items": [
            {
              "Shortcode": "V1.8.1",
              "Ordinal": 1,
              "Description": "Verifique que todos los datos confidenciales se identifiquen y clasifiquen en niveles de protecci\u00f3n.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [],
              "NIST": []
            },
            {
              "Shortcode": "V1.8.2",
              "Ordinal": 2,
              "Description": "Verifique que todos los niveles de protecci\u00f3n tienen un conjunto asociado de requisitos de protecci\u00f3n, como los requisitos de cifrado, los requisitos de integridad, la retenci\u00f3n, la privacidad y otros requisitos de confidencialidad, y que estos se aplican en la arquitectura.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [],
              "NIST": []
            }
          ]
        },
        {
          "Shortcode": "V1.9",
          "Ordinal": 9,
          "Name": "Arquitectura de Comunicaciones",
          "Items": [
            {
              "Shortcode": "V1.9.1",
              "Ordinal": 1,
              "Description": "Verifique que la aplicaci\u00f3n cifra las comunicaciones entre componentes, especialmente cuando estos componentes se encuentran en contenedores, sistemas, sitios o proveedores de nube diferentes. ([C3](https://owasp.org/www-project-proactive-controls/#div-numbering))",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                319
              ],
              "NIST": []
            },
            {
              "Shortcode": "V1.9.2",
              "Ordinal": 2,
              "Description": "Verifique que los componentes de la aplicaci\u00f3n verifiquen la autenticidad de cada lado en un v\u00ednculo de comunicaci\u00f3n para evitar ataques de \"persona en el medio\". Por ejemplo, los componentes de la aplicaci\u00f3n deben validar certificados y cadenas TLS.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                295
              ],
              "NIST": []
            }
          ]
        },
        {
          "Shortcode": "V1.10",
          "Ordinal": 10,
          "Name": "Arquitectura de Software Malicioso",
          "Items": [
            {
              "Shortcode": "V1.10.1",
              "Ordinal": 1,
              "Description": "Verifique que un sistema de control de c\u00f3digo fuente est\u00e1 en uso, con procedimientos para garantizar que los check-ins est\u00e1n respaldados tickets de issues o solicitudes de cambio. El sistema de control de c\u00f3digo fuente debe tener control de acceso y usuarios identificables para permitir la trazabilidad de cualquier cambio.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                284
              ],
              "NIST": []
            }
          ]
        },
        {
          "Shortcode": "V1.11",
          "Ordinal": 11,
          "Name": "Arquitectura de la L\u00f3gica de Negocio",
          "Items": [
            {
              "Shortcode": "V1.11.1",
              "Ordinal": 1,
              "Description": "Verifique la definici\u00f3n y documentaci\u00f3n de todos los componentes de la aplicaci\u00f3n en t\u00e9rminos de las funciones de negocio o de seguridad que proporcionan.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                1059
              ],
              "NIST": []
            },
            {
              "Shortcode": "V1.11.2",
              "Ordinal": 2,
              "Description": "Verifique que todos los flujos de l\u00f3gica de negocio de alto valor, incluida la autenticaci\u00f3n, la administraci\u00f3n de sesiones y el control de acceso, no compartan estados no sincronizados.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                362
              ],
              "NIST": []
            },
            {
              "Shortcode": "V1.11.3",
              "Ordinal": 3,
              "Description": "Verifique que todos los flujos de l\u00f3gica de negocio de alto valor, incluida la autenticaci\u00f3n, la administraci\u00f3n de sesiones y el control de acceso, sean seguros para subprocesos y resistentes a condiciones de carrera time-of-check y time-of-use (race conditions).",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": false,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                367
              ],
              "NIST": []
            }
          ]
        },
        {
          "Shortcode": "V1.12",
          "Ordinal": 12,
          "Name": "Arquitectura de Carga Segura de Archivos",
          "Items": [
            {
              "Shortcode": "V1.12.1",
              "Ordinal": 1,
              "Description": "[ELIMINADO, DUPLICADO CON 12.4.1]",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": false,
                "Requirement": ""
              },
              "L3": {
                "Required": false,
                "Requirement": ""
              },
              "CWE": [],
              "NIST": []
            },
            {
              "Shortcode": "V1.12.2",
              "Ordinal": 2,
              "Description": "Verifique que los archivos subidos por el usuario, -si es necesario que se muestren o descarguen desde la aplicaci\u00f3n-, se hace mediante descargas de secuencias de octetos o desde un dominio no relacionado, como un almacenamiento de archivos en la nube. Implemente una directiva de seguridad de contenido (CSP) adecuada para reducir el riesgo de vectores XSS u otros ataques desde el archivo cargado.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                646
              ],
              "NIST": []
            }
          ]
        },
        {
          "Shortcode": "V1.13",
          "Ordinal": 13,
          "Name": "Arquitectura de API",
          "Items": []
        },
        {
          "Shortcode": "V1.14",
          "Ordinal": 14,
          "Name": "Arquitectura de Configuraci\u00f3n",
          "Items": [
            {
              "Shortcode": "V1.14.1",
              "Ordinal": 1,
              "Description": "Verifique la segregaci\u00f3n de componentes de diferentes niveles de confianza a trav\u00e9s de controles de seguridad bien definidos, reglas de corta fuego, pasarelas de API, proxies reversos, grupos de seguridad basados en nube, o mecanismos similares.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                923
              ],
              "NIST": []
            },
            {
              "Shortcode": "V1.14.2",
              "Ordinal": 2,
              "Description": "Verifique que las firmas binarias, las conexiones de confianza y los puntos de conexi\u00f3n verificados se usan para el despliegue de archivos binarios a dispositivos remotos.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                494
              ],
              "NIST": []
            },
            {
              "Shortcode": "V1.14.3",
              "Ordinal": 3,
              "Description": "Verifique que el canal de compilaci\u00f3n advierte de componentes obsoletos o inseguros y realiza las acciones adecuadas.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                1104
              ],
              "NIST": []
            },
            {
              "Shortcode": "V1.14.4",
              "Ordinal": 4,
              "Description": "Verifique que el canal de compilaci\u00f3n contiene un paso para compilar y comprobar autom\u00e1ticamente el despliegue seguro de la aplicaci\u00f3n, especialmente si la infraestructura de la aplicaci\u00f3n est\u00e1 definida por software, como los scripts de compilaci\u00f3n del entorno en la nube.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [],
              "NIST": []
            },
            {
              "Shortcode": "V1.14.5",
              "Ordinal": 5,
              "Description": "Verifique que los despliegues de aplicaciones sean en sandbox, contenedores y/o aislados a nivel de red para retrasar e impedir que los atacantes vulneren otras aplicaciones, especialmente cuando realizan acciones sensibles o peligrosas, como la deserializaci\u00f3n. ([C5](https://owasp.org/www-project-proactive-controls/#div-numbering))",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                265
              ],
              "NIST": []
            },
            {
              "Shortcode": "V1.14.6",
              "Ordinal": 6,
              "Description": "Verifique que la aplicaci\u00f3n no utiliza tecnolog\u00edas del lado cliente no compatibles, inseguras o en desuso, como NSAPI plugins, Flash, Shockwave, ActiveX, Silverlight, NACL o client-side java applets.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                477
              ],
              "NIST": []
            }
          ]
        }
      ]
    },
    {
      "Shortcode": "V2",
      "Ordinal": 2,
      "ShortName": "Authentication",
      "Name": "Autenticaci\u00f3n",
      "Items": [
        {
          "Shortcode": "V2.1",
          "Ordinal": 1,
          "Name": "Seguridad de Contrase\u00f1a",
          "Items": [
            {
              "Shortcode": "V2.1.1",
              "Ordinal": 1,
              "Description": "Verifique que las contrase\u00f1as del usuarios tienen al menos 12 caracteres de longitud (despu\u00e9s de combinar varios espacios). ([C6](https://owasp.org/www-project-proactive-controls/#div-numbering))",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                521
              ],
              "NIST": [
                "5.1.1.2"
              ]
            },
            {
              "Shortcode": "V2.1.2",
              "Ordinal": 2,
              "Description": "Verifique que se permitan contrase\u00f1as de al menos 64 caracteres y que se denieguen contrase\u00f1as de m\u00e1s de 128 caracteres. ([C6](https://owasp.org/www-project-proactive-controls/#div-numbering))",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                521
              ],
              "NIST": [
                "5.1.1.2"
              ]
            },
            {
              "Shortcode": "V2.1.3",
              "Ordinal": 3,
              "Description": "Verifique que no se realiza el truncamiento de contrase\u00f1a. Sin embargo, varios espacios consecutivos pueden ser reemplazados por un solo espacio. ([C6](https://owasp.org/www-project-proactive-controls/#div-numbering))",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                521
              ],
              "NIST": [
                "5.1.1.2"
              ]
            },
            {
              "Shortcode": "V2.1.4",
              "Ordinal": 4,
              "Description": "Verifique que cualquier car\u00e1cter Unicode imprimible, incluidos los caracteres neutros del idioma, como espacios y Emojis est\u00e9 permitido en las contrase\u00f1as.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                521
              ],
              "NIST": [
                "5.1.1.2"
              ]
            },
            {
              "Shortcode": "V2.1.5",
              "Ordinal": 5,
              "Description": "Verifique que los usuarios pueden cambiar su contrase\u00f1a.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                620
              ],
              "NIST": [
                "5.1.1.2"
              ]
            },
            {
              "Shortcode": "V2.1.6",
              "Ordinal": 6,
              "Description": "Verifique que la funcionalidad de cambio de contrase\u00f1a requiere la contrase\u00f1a actual y nueva del usuario.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                620
              ],
              "NIST": [
                "5.1.1.2"
              ]
            },
            {
              "Shortcode": "V2.1.7",
              "Ordinal": 7,
              "Description": "Verifique que las contrase\u00f1as enviadas durante el registro de la cuenta, el inicio de sesi\u00f3n y el cambio de contrase\u00f1a se comprueban localmente contra un conjunto de contrase\u00f1as filtradas (como las 1,000 o 10,000 contrase\u00f1as m\u00e1s comunes que coinciden con la directiva de contrase\u00f1as del sistema) o mediante una API externa. Si se utiliza una API, una prueba de zero knowledge u otro mecanismo, aseg\u00farese que la contrase\u00f1a en texto plano no se env\u00eda ni se utiliza para verificar el estado de filtraci\u00f3n de la contrase\u00f1a. Si la contrase\u00f1a esta filtrada, la aplicaci\u00f3n debe exigir al usuario que establezca una nueva contrase\u00f1a no filtrada. ([C6](https://owasp.org/www-project-proactive-controls/#div-numbering))",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                521
              ],
              "NIST": [
                "5.1.1.2"
              ]
            },
            {
              "Shortcode": "V2.1.8",
              "Ordinal": 8,
              "Description": "Verifique que se proporciona un medidor de fortaleza de la contrase\u00f1a para ayudar a los usuarios a establecer una contrase\u00f1a m\u00e1s segura.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                521
              ],
              "NIST": [
                "5.1.1.2"
              ]
            },
            {
              "Shortcode": "V2.1.9",
              "Ordinal": 9,
              "Description": "Verifique que no hay reglas de composici\u00f3n de contrase\u00f1as que limiten el tipo de caracteres permitidos. No debe haber ning\u00fan requisito para may\u00fasculas o min\u00fasculas o n\u00fameros o caracteres especiales. ([C6](https://owasp.org/www-project-proactive-controls/#div-numbering))",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                521
              ],
              "NIST": [
                "5.1.1.2"
              ]
            },
            {
              "Shortcode": "V2.1.10",
              "Ordinal": 10,
              "Description": "Verifique que no haya rotaci\u00f3n peri\u00f3dica de credenciales o solicitud del historial de contrase\u00f1as.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                263
              ],
              "NIST": [
                "5.1.1.2"
              ]
            },
            {
              "Shortcode": "V2.1.11",
              "Ordinal": 11,
              "Description": "Verifique que se permite la funcionalidad \"pegar\", las aplicaciones auxiliares de contrase\u00f1as del browser y los administradores externos de contrase\u00f1as.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                521
              ],
              "NIST": [
                "5.1.1.2"
              ]
            },
            {
              "Shortcode": "V2.1.12",
              "Ordinal": 12,
              "Description": "Verifique que el usuario puede elegir entre ver temporalmente toda la contrase\u00f1a enmascarada o ver temporalmente el \u00faltimo caracter escrito de la contrase\u00f1a en plataformas que no tienen esto como funcionalidad integrada.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                521
              ],
              "NIST": [
                "5.1.1.2"
              ]
            }
          ]
        },
        {
          "Shortcode": "V2.2",
          "Ordinal": 2,
          "Name": "Seguridad General del Autenticador",
          "Items": [
            {
              "Shortcode": "V2.2.1",
              "Ordinal": 1,
              "Description": "Verifique que los controles anti-automatizaci\u00f3n son efectivos para mitigar las pruebas de credenciales filtradas, fuerza bruta y ataques de bloqueo de cuentas. Estos controles incluyen el bloqueo de las contrase\u00f1as filtradas m\u00e1s comunes, bloqueos suaves, limitaci\u00f3n de velocidad, CAPTCHA, retrasos cada vez mayores entre intentos, restricciones de direcciones IP o restricciones basadas en riesgos, como la ubicaci\u00f3n, el primer inicio de sesi\u00f3n en un dispositivo, los intentos recientes de desbloquear la cuenta o similares. Verifique que no sea posible realizar m\u00e1s de 100 intentos fallidos por hora en una sola cuenta.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                307
              ],
              "NIST": [
                "5.2.2",
                "5.1.1.2",
                "5.1.4.2",
                "5.1.5.2"
              ]
            },
            {
              "Shortcode": "V2.2.2",
              "Ordinal": 2,
              "Description": "Verifique que el uso de autenticadores d\u00e9biles (como SMS y correo electr\u00f3nico) se limita a la verificaci\u00f3n secundaria y la aprobaci\u00f3n de transacciones y no como un reemplazo para m\u00e9todos de autenticaci\u00f3n m\u00e1s seguros. Verifique que se ofrezcan m\u00e9todos m\u00e1s fuertes y no m\u00e9todos d\u00e9biles, que los usuarios sean conscientes de los riesgos o que se tomen las medidas adecuadas para limitar los riesgos de compromiso de la cuenta.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                304
              ],
              "NIST": [
                "5.2.10"
              ]
            },
            {
              "Shortcode": "V2.2.3",
              "Ordinal": 3,
              "Description": "Verifique que las notificaciones seguras se env\u00edan a los usuarios despu\u00e9s de las actualizaciones de los detalles de autenticaci\u00f3n, como restablecimientos de credenciales, cambios de correo electr\u00f3nico o direcci\u00f3n, inicio de sesi\u00f3n desde ubicaciones desconocidas o de riesgo. Se prefiere el uso de notificaciones push - en lugar de SMS o correo electr\u00f3nico - , pero en ausencia de notificaciones push, SMS o correo electr\u00f3nico es aceptable siempre y cuando no se divulgue informaci\u00f3n confidencial en la notificaci\u00f3n.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                620
              ],
              "NIST": []
            },
            {
              "Shortcode": "V2.2.4",
              "Ordinal": 4,
              "Description": "Verifique la resistencia a la suplantaci\u00f3n contra el phishing, como el uso de la autenticaci\u00f3n multifactor, los dispositivos criptogr\u00e1ficos con intenci\u00f3n (como las claves conectadas con un push para autenticarse) o en niveles AAL m\u00e1s altos, certificados del lado cliente.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": false,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                308
              ],
              "NIST": [
                "5.2.5"
              ]
            },
            {
              "Shortcode": "V2.2.5",
              "Ordinal": 5,
              "Description": "Verifique que donde se separan un proveedor de servicios de credenciales (CSP) y la aplicaci\u00f3n que comprueba la autenticaci\u00f3n, el TLS mutuamente autenticado est\u00e1 en su lugar entre los dos endpoints.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": false,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                319
              ],
              "NIST": [
                "5.2.6"
              ]
            },
            {
              "Shortcode": "V2.2.6",
              "Ordinal": 6,
              "Description": "Verifique la resistencia a la reproducci\u00f3n mediante el uso obligatorio de dispositivos de one-time password (OTP), autenticadores criptogr\u00e1ficos o c\u00f3digos de b\u00fasqueda.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": false,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                308
              ],
              "NIST": [
                "5.2.8"
              ]
            },
            {
              "Shortcode": "V2.2.7",
              "Ordinal": 7,
              "Description": "Verifique la intenci\u00f3n de autenticarse exigiendo la entrada de un token de OTP o una acci\u00f3n iniciada por el usuario, como una pulsaci\u00f3n de bot\u00f3n en un teclado de hardware FIDO.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": false,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                308
              ],
              "NIST": [
                "5.2.9"
              ]
            }
          ]
        },
        {
          "Shortcode": "V2.3",
          "Ordinal": 3,
          "Name": "Ciclo de Vida del Autenticador",
          "Items": [
            {
              "Shortcode": "V2.3.1",
              "Ordinal": 1,
              "Description": "Verifique que las contrase\u00f1as iniciales o los c\u00f3digos de activaci\u00f3n generados por el sistema DEBEN ser generados de forma aleatoreamente segura, DEBE tener al menos 6 caracteres de largo y PUEDE contener letras y n\u00fameros, y expirar despu\u00e9s de un corto per\u00edodo de tiempo. Estos secretos iniciales no deben permitirse su re-utilizaci\u00f3n para convertirse en la contrase\u00f1a a largo plazo.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                330
              ],
              "NIST": [
                "5.1.1.2",
                "A.3"
              ]
            },
            {
              "Shortcode": "V2.3.2",
              "Ordinal": 2,
              "Description": "Verifique que se admite la inscripci\u00f3n y el uso de dispositivos de autenticaci\u00f3n proporcionados por el suscriptor, como tokens U2F o FIDO.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                308
              ],
              "NIST": [
                "6.1.3"
              ]
            },
            {
              "Shortcode": "V2.3.3",
              "Ordinal": 3,
              "Description": "Verifique que las instrucciones de renovaci\u00f3n se env\u00edan con tiempo suficiente para renovar los autenticadores con l\u00edmite de tiempo.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                287
              ],
              "NIST": [
                "6.1.4"
              ]
            }
          ]
        },
        {
          "Shortcode": "V2.4",
          "Ordinal": 4,
          "Name": "Almacenamiento de Credenciales",
          "Items": [
            {
              "Shortcode": "V2.4.1",
              "Ordinal": 1,
              "Description": "Verifique que las contrase\u00f1as se almacenan en un forma tal que resisten ataques sin conexi\u00f3n. Las contrase\u00f1as DEBER\u00c1N usar hash con salto mediante una derivaci\u00f3n de llave de una sola v\u00eda aprobada o funci\u00f3n de hash de contrase\u00f1a. Las funciones derivaci\u00f3n de llave y hash de contrase\u00f1as toman una contrase\u00f1a, una salto y un factor de costo como entradas al generar un hash de contrase\u00f1a. ([C6](https://owasp.org/www-project-proactive-controls/#div-numbering))",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                916
              ],
              "NIST": [
                "5.1.1.2"
              ]
            },
            {
              "Shortcode": "V2.4.2",
              "Ordinal": 2,
              "Description": "Verifique que el salto tiene al menos 32 bits de longitud y que se elige arbitrariamente para minimizar las colisiones de valor de salto entre los hashes almacenados. Para cada credencial, se DEBE almacenar un \u00fanico valor de salto y el hash resultante. ([C6](https://owasp.org/www-project-proactive-controls/#div-numbering))",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                916
              ],
              "NIST": [
                "5.1.1.2"
              ]
            },
            {
              "Shortcode": "V2.4.3",
              "Ordinal": 3,
              "Description": "Verifique que si se utiliza PBKDF2, el recuento de iteraciones DEBE ser tan grande como el rendimiento del servidor de verificaci\u00f3n lo permita, normalmente de al menos 100,000 iteraciones. ([C6](https://owasp.org/www-project-proactive-controls/#div-numbering))",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                916
              ],
              "NIST": [
                "5.1.1.2"
              ]
            },
            {
              "Shortcode": "V2.4.4",
              "Ordinal": 4,
              "Description": "Verifique que si se utiliza bcrypt, el factor de trabajo DEBE ser tan grande como lo permita el rendimiento del servidor de verificaci\u00f3n, con un m\u00ednimo de 10. ([C6](https://owasp.org/www-project-proactive-controls/#div-numbering))",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                916
              ],
              "NIST": [
                "5.1.1.2"
              ]
            },
            {
              "Shortcode": "V2.4.5",
              "Ordinal": 5,
              "Description": "Verifique que se realiza una iteraci\u00f3n adicional de una funci\u00f3n de derivaci\u00f3n de claves, utilizando un valor de salto que es secreto y que solo conoce el verificador. Genere el valor de salto utilizando un generador de bits aleatorios aprobado [SP 800-90Ar1] y proporcione al menos la fuerza de seguridad m\u00ednima especificada en la \u00faltima revisi\u00f3n del SP 800-131A. El valor secreto del salto se almacenar\u00e1 por separado de las contrase\u00f1as hash (p. ej., en un dispositivo especializado como un m\u00f3dulo de seguridad de hardware).",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                916
              ],
              "NIST": [
                "5.1.1.2"
              ]
            }
          ]
        },
        {
          "Shortcode": "V2.5",
          "Ordinal": 5,
          "Name": "Recuperaci\u00f3n de Credenciales",
          "Items": [
            {
              "Shortcode": "V2.5.1",
              "Ordinal": 1,
              "Description": "Verifique que un secreto de activaci\u00f3n o recuperaci\u00f3n inicial generado por el sistema no se env\u00ede en texto claro al usuario. ([C6](https://owasp.org/www-project-proactive-controls/#div-numbering))",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                640
              ],
              "NIST": [
                "5.1.1.2"
              ]
            },
            {
              "Shortcode": "V2.5.2",
              "Ordinal": 2,
              "Description": "Verificar sugerencias de contrase\u00f1a o autenticaci\u00f3n basada en conocimientos (las llamadas \"preguntas secretas\") no est\u00e1n presentes.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                640
              ],
              "NIST": [
                "5.1.1.2"
              ]
            },
            {
              "Shortcode": "V2.5.3",
              "Ordinal": 3,
              "Description": "Verificar la recuperaci\u00f3n de credenciales de contrase\u00f1a no revela la contrase\u00f1a actual de ninguna manera. ([C6](https://owasp.org/www-project-proactive-controls/#div-numbering))",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                640
              ],
              "NIST": [
                "5.1.1.2"
              ]
            },
            {
              "Shortcode": "V2.5.4",
              "Ordinal": 4,
              "Description": "Verificar que las cuentas compartidas o predeterminadas no est\u00e9n presentes (por ejemplo. \"root\", \"admin\", o \"sa\").",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                16
              ],
              "NIST": [
                "5.1.1.2",
                "A.3"
              ]
            },
            {
              "Shortcode": "V2.5.5",
              "Ordinal": 5,
              "Description": "Verifique que si se cambia o reemplaza un factor de autenticaci\u00f3n, se notifica al usuario de este evento.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                304
              ],
              "NIST": [
                "6.1.2.3"
              ]
            },
            {
              "Shortcode": "V2.5.6",
              "Ordinal": 6,
              "Description": "Verifique la contrase\u00f1a olvidada y otras rutas de recuperaci\u00f3n utilizan un mecanismo de recuperaci\u00f3n seguro, como OTP basado en el tiempo (TOTP) u otro token de software, mobile push u otro mecanismo de recuperaci\u00f3n sin conexi\u00f3n. ([C6](https://owasp.org/www-project-proactive-controls/#div-numbering))",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                640
              ],
              "NIST": [
                "5.1.1.2"
              ]
            },
            {
              "Shortcode": "V2.5.7",
              "Ordinal": 7,
              "Description": "Verifique que si se pierden factores de autenticaci\u00f3n OTP o multifactor, esa evidencia de prueba de identidad se realiza al mismo nivel que durante la inscripci\u00f3n.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                308
              ],
              "NIST": [
                "6.1.2.3"
              ]
            }
          ]
        },
        {
          "Shortcode": "V2.6",
          "Ordinal": 6,
          "Name": "Verificador de Secretos de Look-up",
          "Items": [
            {
              "Shortcode": "V2.6.1",
              "Ordinal": 1,
              "Description": "Verifique que los secretos de b\u00fasqueda solo se pueden usar una vez.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                308
              ],
              "NIST": [
                "5.1.2.2"
              ]
            },
            {
              "Shortcode": "V2.6.2",
              "Ordinal": 2,
              "Description": "Verifique que los secretos de b\u00fasqueda tengan suficiente aleatoriedad (112 bits de entrop\u00eda), o si menos de 112 bits de entrop\u00eda, saltados con un \u00fanica y aleatoria salto de 32 bits y hasheado con un hash aprobado de una sola v\u00eda.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                330
              ],
              "NIST": [
                "5.1.2.2"
              ]
            },
            {
              "Shortcode": "V2.6.3",
              "Ordinal": 3,
              "Description": "Verifique que los secretos de b\u00fasqueda son resistentes a los ataques sin conexi\u00f3n, como los valores predecibles.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                310
              ],
              "NIST": [
                "5.1.2.2"
              ]
            }
          ]
        },
        {
          "Shortcode": "V2.7",
          "Ordinal": 7,
          "Name": "Verificador Fuera de Banda",
          "Items": [
            {
              "Shortcode": "V2.7.1",
              "Ordinal": 1,
              "Description": "Verifique que los autenticadores de texto sin cifrar fuera de banda tales como PSTN o SMS (\"restringido por NIST\") no se ofrecen de forma predeterminada, y que en primer lugar se ofrecen alternativas m\u00e1s s\u00f3lidas, como las notificaciones push.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                287
              ],
              "NIST": [
                "5.1.3.2"
              ]
            },
            {
              "Shortcode": "V2.7.2",
              "Ordinal": 2,
              "Description": "Verifique que el verificador fuera de banda expira despu\u00e9s de 10 minutos, fuera de las solicitudes de autenticaci\u00f3n de banda, c\u00f3digos o tokens.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                287
              ],
              "NIST": [
                "5.1.3.2"
              ]
            },
            {
              "Shortcode": "V2.7.3",
              "Ordinal": 3,
              "Description": "Verifique que las solicitudes de autenticaci\u00f3n, los c\u00f3digos o los tokens de verificador fuera de banda solo se pueden usar una vez y solo para la solicitud de autenticaci\u00f3n original.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                287
              ],
              "NIST": [
                "5.1.3.2"
              ]
            },
            {
              "Shortcode": "V2.7.4",
              "Ordinal": 4,
              "Description": "Verifique que el autenticador y el verificador fuera de banda se comuniquen a trav\u00e9s de un canal independiente seguro.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                523
              ],
              "NIST": [
                "5.1.3.2"
              ]
            },
            {
              "Shortcode": "V2.7.5",
              "Ordinal": 5,
              "Description": "Verifique que el verificador fuera de banda conserva solo una versi\u00f3n hasheada del c\u00f3digo de autenticaci\u00f3n.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                256
              ],
              "NIST": [
                "5.1.3.2"
              ]
            },
            {
              "Shortcode": "V2.7.6",
              "Ordinal": 6,
              "Description": "Verifique que el c\u00f3digo de autenticaci\u00f3n inicial sea generado por un generador de n\u00fameros aleatorios seguro, que contiene al menos 20 bits de entrop\u00eda (normalmente un n\u00famero aleatorio digital de seis es suficiente).",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                310
              ],
              "NIST": [
                "5.1.3.2"
              ]
            }
          ]
        },
        {
          "Shortcode": "V2.8",
          "Ordinal": 8,
          "Name": "Verificador de Una Sola Vez",
          "Items": [
            {
              "Shortcode": "V2.8.1",
              "Ordinal": 1,
              "Description": "Verifique que los OTP basados en el tiempo tienen una duraci\u00f3n definida antes de expirar.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                613
              ],
              "NIST": [
                "5.1.4.2",
                "5.1.5.2"
              ]
            },
            {
              "Shortcode": "V2.8.2",
              "Ordinal": 2,
              "Description": "Verifique que las claves sim\u00e9tricas utilizadas para comprobar los OTP enviados est\u00e1n altamente protegidas, por ejemplo, mediante el uso de un m\u00f3dulo de seguridad de hardware o almacenamiento seguro de claves basadas en el sistema operativo.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                320
              ],
              "NIST": [
                "5.1.4.2",
                "5.1.5.2"
              ]
            },
            {
              "Shortcode": "V2.8.3",
              "Ordinal": 3,
              "Description": "Verifique que los algoritmos criptogr\u00e1ficos aprobados se utilizan en la generaci\u00f3n, siembra y verificaci\u00f3n de OTP.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                326
              ],
              "NIST": [
                "5.1.4.2",
                "5.1.5.2"
              ]
            },
            {
              "Shortcode": "V2.8.4",
              "Ordinal": 4,
              "Description": "Verifique que el OTP basado en el tiempo se pueda utilizar solamente una vez dentro del per\u00edodo de validez.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                287
              ],
              "NIST": [
                "5.1.4.2",
                "5.1.5.2"
              ]
            },
            {
              "Shortcode": "V2.8.5",
              "Ordinal": 5,
              "Description": "Verifique que si se reutiliza un token OTP multifactor basado en el tiempo durante el per\u00edodo de validez, se registra en logs y se rechaza con notificaci\u00f3n segura enviada al titular del dispositivo.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                287
              ],
              "NIST": [
                "5.1.5.2"
              ]
            },
            {
              "Shortcode": "V2.8.6",
              "Ordinal": 6,
              "Description": "Verifique que el generador OTP de un solo factor f\u00edsico pueda ser revocado en caso de robo u otra p\u00e9rdida. Aseg\u00farese de que la revocaci\u00f3n es efectiva inmediatamente en todas las sesiones iniciadas, independientemente de la ubicaci\u00f3n.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                613
              ],
              "NIST": [
                "5.2.1"
              ]
            },
            {
              "Shortcode": "V2.8.7",
              "Ordinal": 7,
              "Description": "Verifique que los autenticadores biom\u00e9tricos se limitan a usarlos solo como factores secundarios junto con algo que Ud. tiene y algo que Ud. sabe.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": "Optional"
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                308
              ],
              "NIST": [
                "5.2.3"
              ]
            }
          ]
        },
        {
          "Shortcode": "V2.9",
          "Ordinal": 9,
          "Name": "Verificador Criptogr\u00e1fico",
          "Items": [
            {
              "Shortcode": "V2.9.1",
              "Ordinal": 1,
              "Description": "Verifique que las claves criptogr\u00e1ficas utilizadas en la verificaci\u00f3n se almacenan de forma segura y protegidas contra la divulgaci\u00f3n, como el uso de un m\u00f3dulo de plataforma segura (TPM) o un m\u00f3dulo de seguridad de hardware (HSM) o un servicio de sistema operativo que puede utilizar este almacenamiento seguro.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                320
              ],
              "NIST": [
                "5.1.7.2"
              ]
            },
            {
              "Shortcode": "V2.9.2",
              "Ordinal": 2,
              "Description": "Verifique que el mensaje de desaf\u00edo tenga al menos 64 bits de longitud y sea estad\u00edsticamente \u00fanico o sea \u00fanico a lo largo de la vida \u00fatil del dispositivo criptogr\u00e1fico.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                330
              ],
              "NIST": [
                "5.1.7.2"
              ]
            },
            {
              "Shortcode": "V2.9.3",
              "Ordinal": 3,
              "Description": "Verifique que se utilizan algoritmos criptogr\u00e1ficos aprobados en la generaci\u00f3n, la semilla y la verificaci\u00f3n.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                327
              ],
              "NIST": [
                "5.1.7.2"
              ]
            }
          ]
        },
        {
          "Shortcode": "V2.10",
          "Ordinal": 10,
          "Name": "Autenticaci\u00f3n de Servicio",
          "Items": [
            {
              "Shortcode": "V2.10.1",
              "Ordinal": 1,
              "Description": "Verifique que los secretos dentro del servicio no se basan en credenciales invariables, como contrase\u00f1as, claves de API o cuentas compartidas con acceso con privilegios.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": "OS assisted"
              },
              "L3": {
                "Required": true,
                "Requirement": "HSM"
              },
              "CWE": [
                287
              ],
              "NIST": [
                "5.1.1.1"
              ]
            },
            {
              "Shortcode": "V2.10.2",
              "Ordinal": 2,
              "Description": "Verifique que si las contrase\u00f1as son necesarias para la autenticaci\u00f3n de servicio, la cuenta de servicio utilizada no es una credencial predeterminada. (p. ej., root/root o admin/admin son predeterminados en algunos servicios durante la instalaci\u00f3n).",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": "OS assisted"
              },
              "L3": {
                "Required": true,
                "Requirement": "HSM"
              },
              "CWE": [
                255
              ],
              "NIST": [
                "5.1.1.1"
              ]
            },
            {
              "Shortcode": "V2.10.3",
              "Ordinal": 3,
              "Description": "Verifique que las contrase\u00f1as se almacenan con suficiente protecci\u00f3n para evitar ataques de recuperaci\u00f3n sin conexi\u00f3n, incluido el acceso al sistema local.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": "OS assisted"
              },
              "L3": {
                "Required": true,
                "Requirement": "HSM"
              },
              "CWE": [
                522
              ],
              "NIST": [
                "5.1.1.1"
              ]
            },
            {
              "Shortcode": "V2.10.4",
              "Ordinal": 4,
              "Description": "Verifique que las contrase\u00f1as, las integraciones con bases de datos y sistemas de terceros, las semillas y los secretos internos y las claves de API se administran de forma segura y no se incluyen en el c\u00f3digo fuente ni se almacenan en los repositorios de c\u00f3digo fuente. Dicho almacenamiento DEBE resistir ataques fuera de l\u00ednea. Se recomienda el uso de un almac\u00e9n de claves de software seguro (L1), TPM de hardware o un HSM (L3) para el almacenamiento de contrase\u00f1as.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": "OS assisted"
              },
              "L3": {
                "Required": true,
                "Requirement": "HSM"
              },
              "CWE": [
                798
              ],
              "NIST": []
            }
          ]
        }
      ]
    },
    {
      "Shortcode": "V3",
      "Ordinal": 3,
      "ShortName": "Session",
      "Name": "Gesti\u00f3n de sesiones",
      "Items": [
        {
          "Shortcode": "V3.1",
          "Ordinal": 1,
          "Name": "Seguridad Fundamental en la Gesti\u00f3n de Sesiones",
          "Items": [
            {
              "Shortcode": "V3.1.1",
              "Ordinal": 1,
              "Description": "Verifique que la aplicaci\u00f3n nunca revela tokens de sesi\u00f3n en par\u00e1metros de direcci\u00f3n URL.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                598
              ],
              "NIST": []
            }
          ]
        },
        {
          "Shortcode": "V3.2",
          "Ordinal": 2,
          "Name": "Binding de Sesi\u00f3n",
          "Items": [
            {
              "Shortcode": "V3.2.1",
              "Ordinal": 1,
              "Description": "Verifique que la aplicaci\u00f3n genera un nuevo token de sesi\u00f3n en la autenticaci\u00f3n de usuario. ([C6](https://owasp.org/www-project-proactive-controls/#div-numbering))",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                384
              ],
              "NIST": [
                "7.1"
              ]
            },
            {
              "Shortcode": "V3.2.2",
              "Ordinal": 2,
              "Description": "Verifique que los tokens de sesi\u00f3n posean al menos 64 bits de entrop\u00eda. ([C6](https://owasp.org/www-project-proactive-controls/#div-numbering))",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                331
              ],
              "NIST": [
                "7.1"
              ]
            },
            {
              "Shortcode": "V3.2.3",
              "Ordinal": 3,
              "Description": "Verifique que la aplicaci\u00f3n solo almacena tokens de sesi\u00f3n en el navegador mediante m\u00e9todos seguros, como proteger las cookies adecuadamente (consulte la secci\u00f3n 3.4) o el almacenamiento de sesi\u00f3n en HTML 5.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                539
              ],
              "NIST": [
                "7.1"
              ]
            },
            {
              "Shortcode": "V3.2.4",
              "Ordinal": 4,
              "Description": "Verifique que los tokens de sesi\u00f3n se generan mediante algoritmos criptogr\u00e1ficos aprobados. ([C6](https://owasp.org/www-project-proactive-controls/#div-numbering))",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                331
              ],
              "NIST": [
                "7.1"
              ]
            }
          ]
        },
        {
          "Shortcode": "V3.3",
          "Ordinal": 3,
          "Name": "Terminaci\u00f3n de Sesi\u00f3n",
          "Items": [
            {
              "Shortcode": "V3.3.1",
              "Ordinal": 1,
              "Description": "Verifique que el cierre de sesi\u00f3n y la expiraci\u00f3n invalidan el token de sesi\u00f3n, de modo que el bot\u00f3n \"Atr\u00e1s\" o un usuario de confianza posterior no reanude una sesi\u00f3n autenticada, incluso entre los usuarios de confianza. ([C6](https://owasp.org/www-project-proactive-controls/#div-numbering))",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                613
              ],
              "NIST": [
                "7.1"
              ]
            },
            {
              "Shortcode": "V3.3.2",
              "Ordinal": 2,
              "Description": "Si los autenticadores permiten a los usuarios permanecer conectados, compruebe que la re-autenticaci\u00f3n se produce peri\u00f3dicamente tanto cuando se utiliza activamente o despu\u00e9s de un per\u00edodo de inactividad. ([C6](https://owasp.org/www-project-proactive-controls/#div-numbering))",
              "L1": {
                "Required": true,
                "Requirement": "30 d\u00edas"
              },
              "L2": {
                "Required": true,
                "Requirement": "12 horas o 30 minutos de inactividad, 2FA opcional"
              },
              "L3": {
                "Required": true,
                "Requirement": "12 horas o 15 minutos de inactividad, con 2FA"
              },
              "CWE": [
                613
              ],
              "NIST": [
                "7.2"
              ]
            },
            {
              "Shortcode": "V3.3.3",
              "Ordinal": 3,
              "Description": "Verifique que la aplicaci\u00f3n ofrece la opci\u00f3n de terminar todas las dem\u00e1s sesiones activas despu\u00e9s de un cambio de contrase\u00f1a correcto (incluido el cambio mediante el restablecimiento/recuperaci\u00f3n de contrase\u00f1a), y que esto es efectivo en toda la aplicaci\u00f3n, el inicio de sesi\u00f3n federado (si est\u00e1 presente) y cualquier usuario de confianza.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                613
              ],
              "NIST": []
            },
            {
              "Shortcode": "V3.3.4",
              "Ordinal": 4,
              "Description": "Verifique que los usuarios pueden ver y (habiendo vuelto a introducir las credenciales de inicio de sesi\u00f3n) cerrar sesi\u00f3n en cualquiera o todas las sesiones y dispositivos activos actualmente.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                613
              ],
              "NIST": [
                "7.1"
              ]
            }
          ]
        },
        {
          "Shortcode": "V3.4",
          "Ordinal": 4,
          "Name": "Gesti\u00f3n de Sesi\u00f3n Basada en Cookie",
          "Items": [
            {
              "Shortcode": "V3.4.1",
              "Ordinal": 1,
              "Description": "Verifique que los tokens de sesi\u00f3n basados en cookies tengan el atributo 'Secure' establecido. ([C6](https://owasp.org/www-project-proactive-controls/#div-numbering))",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                614
              ],
              "NIST": [
                "7.1.1"
              ]
            },
            {
              "Shortcode": "V3.4.2",
              "Ordinal": 2,
              "Description": "Verifique que los tokens de sesi\u00f3n basados en cookies tienen el atributo 'HttpOnly' establecido. ([C6](https://owasp.org/www-project-proactive-controls/#div-numbering))",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                1004
              ],
              "NIST": [
                "7.1.1"
              ]
            },
            {
              "Shortcode": "V3.4.3",
              "Ordinal": 3,
              "Description": "Verifique que los tokens de sesi\u00f3n basados en cookies utilizan el atributo 'SameSite' para limitar la exposici\u00f3n a ataques de falsificaci\u00f3n de solicitudes entre sitios. ([C6](https://owasp.org/www-project-proactive-controls/#div-numbering))",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                16
              ],
              "NIST": [
                "7.1.1"
              ]
            },
            {
              "Shortcode": "V3.4.4",
              "Ordinal": 4,
              "Description": "Verifique que los tokens de sesi\u00f3n basados en cookies utilizan el prefijo \"__Host-\" para que las cookies solo se env\u00eden al host que configur\u00f3 inicialmente la cookie.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                16
              ],
              "NIST": [
                "7.1.1"
              ]
            },
            {
              "Shortcode": "V3.4.5",
              "Ordinal": 5,
              "Description": "Verifique que si la aplicaci\u00f3n se publica bajo un nombre de dominio con otras aplicaciones que establecen o usan cookies de sesi\u00f3n que podr\u00edan revelar las cookies de sesi\u00f3n, establezca el atributo de ruta en tokens de sesi\u00f3n basados en cookies utilizando la ruta m\u00e1s precisa posible. ([C6](https://owasp.org/www-project-proactive-controls/#div-numbering))",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                16
              ],
              "NIST": [
                "7.1.1"
              ]
            }
          ]
        },
        {
          "Shortcode": "V3.5",
          "Ordinal": 5,
          "Name": "Administraci\u00f3n de Sesiones Basada en Tokens",
          "Items": [
            {
              "Shortcode": "V3.5.1",
              "Ordinal": 1,
              "Description": "Verifique que la aplicaci\u00f3n permite a los usuarios revocar tokens de OAuth que forman relaciones de confianza con aplicaciones vinculadas.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                290
              ],
              "NIST": [
                "7.1.2"
              ]
            },
            {
              "Shortcode": "V3.5.2",
              "Ordinal": 2,
              "Description": "Verifique que la aplicaci\u00f3n utiliza tokens de sesi\u00f3n en lugar de claves y secretos de API est\u00e1ticos, excepto con implementaciones heredadas.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                798
              ],
              "NIST": []
            },
            {
              "Shortcode": "V3.5.3",
              "Ordinal": 3,
              "Description": "Verifique que los tokens de sesi\u00f3n sin estado utilizan firmas digitales, cifrado y otras contramedidas para protegerse contra ataques de manipulaci\u00f3n, envolvente, reproducci\u00f3n, cifrado nulo y sustituci\u00f3n de claves.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                345
              ],
              "NIST": []
            }
          ]
        },
        {
          "Shortcode": "V3.6",
          "Ordinal": 6,
          "Name": "Reautenticaci\u00f3n Federada",
          "Items": [
            {
              "Shortcode": "V3.6.1",
              "Ordinal": 1,
              "Description": "Verifique que las partes de confianza (RP) especifiquen el tiempo m\u00e1ximo de autenticaci\u00f3n para los proveedores de servicios de credenciales (CSP) y que los CSP vuelvan a autenticar al usuario si no han utilizado una sesi\u00f3n dentro de ese per\u00edodo.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": false,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                613
              ],
              "NIST": [
                "7.2.1"
              ]
            },
            {
              "Shortcode": "V3.6.2",
              "Ordinal": 2,
              "Description": "Verifique que los proveedores de servicios de credenciales (CSP) informan a las partes de confianza (RP) del \u00faltimo evento de autenticaci\u00f3n, para permitir que los RP determinen si necesitan volver a autenticar al usuario.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": false,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                613
              ],
              "NIST": [
                "7.2.1"
              ]
            }
          ]
        },
        {
          "Shortcode": "V3.7",
          "Ordinal": 7,
          "Name": "Defensas Contra las Vulnerabilidades de Gesti\u00f3n de Sesiones",
          "Items": [
            {
              "Shortcode": "V3.7.1",
              "Ordinal": 1,
              "Description": "Verifique que la aplicaci\u00f3n garantiza una sesi\u00f3n de inicio de sesi\u00f3n completa y v\u00e1lida o requiere una re-autenticaci\u00f3n o verificaci\u00f3n secundaria antes de permitir cualquier transacci\u00f3n confidencial o modificaciones de la cuenta.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                306
              ],
              "NIST": []
            }
          ]
        }
      ]
    },
    {
      "Shortcode": "V4",
      "Ordinal": 4,
      "ShortName": "Access",
      "Name": "Control de Acceso",
      "Items": [
        {
          "Shortcode": "V4.1",
          "Ordinal": 1,
          "Name": "Dise\u00f1o de Control de Acceso General",
          "Items": [
            {
              "Shortcode": "V4.1.1",
              "Ordinal": 1,
              "Description": "Verifique que la aplicaci\u00f3n aplica las reglas de control de acceso en una capa de servicio de confianza, especialmente si el control de acceso del lado cliente est\u00e1 presente y podr\u00eda ser bypaseado.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                602
              ],
              "NIST": []
            },
            {
              "Shortcode": "V4.1.2",
              "Ordinal": 2,
              "Description": "Verifique que todos los atributos de usuario y datos y la informaci\u00f3n de directiva utilizada por los controles de acceso no pueden ser manipulados por los usuarios finales a menos que se autorice espec\u00edficamente.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                639
              ],
              "NIST": []
            },
            {
              "Shortcode": "V4.1.3",
              "Ordinal": 3,
              "Description": "Verifique que existe el principio de privilegios m\u00ednimos: los usuarios solo deben poder acceder a funciones, archivos de datos, direcciones URL, controladores, servicios y otros recursos, para los que poseen una autorizaci\u00f3n espec\u00edfica. Esto implica protecci\u00f3n contra la suplantaci\u00f3n y elevaci\u00f3n de privilegios. ([C7](https://owasp.org/www-project-proactive-controls/#div-numbering))",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                285
              ],
              "NIST": []
            },
            {
              "Shortcode": "V4.1.4",
              "Ordinal": 4,
              "Description": "[ELIMINADO, DUPLICADO DE 4.1.3]",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": false,
                "Requirement": ""
              },
              "L3": {
                "Required": false,
                "Requirement": ""
              },
              "CWE": [],
              "NIST": []
            },
            {
              "Shortcode": "V4.1.5",
              "Ordinal": 5,
              "Description": "Verifique que los controles de acceso fallan de forma segura, incluso cuando se produce una excepci\u00f3n. ([C10](https://owasp.org/www-project-proactive-controls/#div-numbering))",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                285
              ],
              "NIST": []
            }
          ]
        },
        {
          "Shortcode": "V4.2",
          "Ordinal": 2,
          "Name": "Control de Acceso a Nivel de Operaci\u00f3n",
          "Items": [
            {
              "Shortcode": "V4.2.1",
              "Ordinal": 1,
              "Description": "Verifique que los datos confidenciales y las API est\u00e1n protegidos contra ataques de referencia insegura directa de objetos (IDOR; por sus siglas en ingl\u00e9s) dirigidos a la creaci\u00f3n, lectura, actualizaci\u00f3n y eliminaci\u00f3n de registros, como la creaci\u00f3n o actualizaci\u00f3n del registro de otra persona, la visualizaci\u00f3n de los registros de todos o la eliminaci\u00f3n de todos los registros.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                639
              ],
              "NIST": []
            },
            {
              "Shortcode": "V4.2.2",
              "Ordinal": 2,
              "Description": "Verifique que la aplicaci\u00f3n o el framework aplica un mecanismo anti-CSRF seguro para proteger la funcionalidad autenticada, y eficaz anti-automatizaci\u00f3n o anti-CSRF protege la funcionalidad no autenticada.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                352
              ],
              "NIST": []
            }
          ]
        },
        {
          "Shortcode": "V4.3",
          "Ordinal": 3,
          "Name": "Otras Consideraciones de Control de Acceso",
          "Items": [
            {
              "Shortcode": "V4.3.1",
              "Ordinal": 1,
              "Description": "Verifique que las interfaces administrativas utilicen la autenticaci\u00f3n multifactor adecuada para evitar el uso no autorizado.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                419
              ],
              "NIST": []
            },
            {
              "Shortcode": "V4.3.2",
              "Ordinal": 2,
              "Description": "Verifique que la exploraci\u00f3n de directorios est\u00e1 deshabilitada a menos que se desee deliberadamente. Adem\u00e1s, las aplicaciones no deben permitir la detecci\u00f3n o divulgaci\u00f3n de metadatos de archivos o directorios, como Thumbs.db, .DS_Store, .git o .svn.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                548
              ],
              "NIST": []
            },
            {
              "Shortcode": "V4.3.3",
              "Ordinal": 3,
              "Description": "Verifique que la aplicaci\u00f3n tiene autorizaci\u00f3n adicional (como la autenticaci\u00f3n paso a paso o adaptativa) para sistemas de menor valor y/ o segregaci\u00f3n de tareas para aplicaciones de alto valor para aplicar controles antifraude seg\u00fan el riesgo de aplicaci\u00f3n y fraudes previos.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                732
              ],
              "NIST": []
            }
          ]
        }
      ]
    },
    {
      "Shortcode": "V5",
      "Ordinal": 5,
      "ShortName": "Validation",
      "Name": "Validaci\u00f3n, Desinfecci\u00f3n y Codificaci\u00f3n",
      "Items": [
        {
          "Shortcode": "V5.1",
          "Ordinal": 1,
          "Name": "Validaci\u00f3n de Entrada",
          "Items": [
            {
              "Shortcode": "V5.1.1",
              "Ordinal": 1,
              "Description": "Verifique que la aplicaci\u00f3n tiene defensas contra los ataques de contaminaci\u00f3n de par\u00e1metros HTTP, especialmente si el marco de la aplicaci\u00f3n no hace ninguna distinci\u00f3n sobre el origen de los par\u00e1metros de solicitud (GET, POST, cookies, encabezados o variables de entorno).",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                235
              ],
              "NIST": []
            },
            {
              "Shortcode": "V5.1.2",
              "Ordinal": 2,
              "Description": "Verifique que los frameworks protegen contra ataques de asignaci\u00f3n de par\u00e1metros masivos o que la aplicaci\u00f3n tiene contramedidas para proteger contra la asignaci\u00f3n de par\u00e1metros no seguros, como marcar campos privados o similares. ([C5](https://owasp.org/www-project-proactive-controls/#div-numbering))",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                915
              ],
              "NIST": []
            },
            {
              "Shortcode": "V5.1.3",
              "Ordinal": 3,
              "Description": "Verifique que todas las entradas (campos de formulario HTML, solicitudes REST, par\u00e1metros de URL, encabezados HTTP, cookies, archivos por lotes, fuentes RSS, etc.) se validan mediante validaci\u00f3n positiva (lista de permitidos). ([C5](https://owasp.org/www-project-proactive-controls/#div-numbering))",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                20
              ],
              "NIST": []
            },
            {
              "Shortcode": "V5.1.4",
              "Ordinal": 4,
              "Description": "Verifique que las estructuras de datos est\u00e1n fuertemente tipados y validados con un esquema definido que incluya caracteres permitidos, longitud y patr\u00f3n (p. ej., n\u00fameros de tarjeta de cr\u00e9dito, direcciones de correo electr\u00f3nico, n\u00fameros de tel\u00e9fono, o validar que dos campos relacionados son razonables, como comprobar que el suburbio y el c\u00f3digo postal coinciden). ([C5](https://owasp.org/www-project-proactive-controls/#div-numbering))",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                20
              ],
              "NIST": []
            },
            {
              "Shortcode": "V5.1.5",
              "Ordinal": 5,
              "Description": "Verifique que las redirecciones y reenv\u00edos de URL solo permiten destinos que aparecen en una lista de permitidos, o muestra una advertencia al redirigir a contenido potencialmente no confiable.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                601
              ],
              "NIST": []
            }
          ]
        },
        {
          "Shortcode": "V5.2",
          "Ordinal": 2,
          "Name": "Requisitos de Sanitizaci\u00f3n y Sandboxing",
          "Items": [
            {
              "Shortcode": "V5.2.1",
              "Ordinal": 1,
              "Description": "Verifique que todas las entradas HTML que no son de confianza de los editores WYSIWYG o similares se sanitizan correctamente con una biblioteca de sanitizaci\u00f3n HTML o una funci\u00f3n de marco de trabajo. ([C5](https://owasp.org/www-project-proactive-controls/#div-numbering))",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                116
              ],
              "NIST": []
            },
            {
              "Shortcode": "V5.2.2",
              "Ordinal": 2,
              "Description": "Verifique que los datos no estructurados est\u00e1n sanitizados para aplicar medidas de seguridad, como caracteres permitidos y longitud.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                138
              ],
              "NIST": []
            },
            {
              "Shortcode": "V5.2.3",
              "Ordinal": 3,
              "Description": "Verifique que la aplicaci\u00f3n sanitiza la entrada del usuario antes de pasar a los sistemas de correo para protegerse contra la inyecci\u00f3n SMTP o IMAP.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                147
              ],
              "NIST": []
            },
            {
              "Shortcode": "V5.2.4",
              "Ordinal": 4,
              "Description": "Verifique que la aplicaci\u00f3n evita el uso de eval() u otras caracter\u00edsticas de ejecuci\u00f3n de c\u00f3digo din\u00e1mico. Cuando no hay alternativa, cualquier entrada de usuario debe sanitizarse, y ponerlo en sandbox antes de ejecutarse.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                95
              ],
              "NIST": []
            },
            {
              "Shortcode": "V5.2.5",
              "Ordinal": 5,
              "Description": "Verifique que la aplicaci\u00f3n protege contra ataques de inyecci\u00f3n de plantilla asegur\u00e1ndose que cualquier entrada de usuario que se incluya est\u00e1 sanitizada o en un lugar controlado.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                94
              ],
              "NIST": []
            },
            {
              "Shortcode": "V5.2.6",
              "Ordinal": 6,
              "Description": "Verifique que la aplicaci\u00f3n protege contra ataques SSRF, validando o desinfectando datos que no son de confianza o metadatos de archivos HTTP, como nombres de archivo y campos de entrada de URL, y utiliza listas de protocolos permitidos, dominios, rutas de acceso y puertos.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                918
              ],
              "NIST": []
            },
            {
              "Shortcode": "V5.2.7",
              "Ordinal": 7,
              "Description": "Verifique que la aplicaci\u00f3n desinfecta, deshabilita o pone en sandbox el contenido proporcionado por el usuario, con scripts de gr\u00e1ficos vectoriales escalables (SVG; por sus siglas en ingl\u00e9s) especialmente en lo que se refiere a XSS resultante de scripts en l\u00ednea y foreignObject.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                159
              ],
              "NIST": []
            },
            {
              "Shortcode": "V5.2.8",
              "Ordinal": 8,
              "Description": "Verifique que la aplicaci\u00f3n desinfecta, deshabilita o pone en sandbox el contenido proporcionado por el usuario, con expresiones en lenguaje de plantilla o script como Markdown, CSS o las hojas de estilo XSL, BBCode o similares.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                94
              ],
              "NIST": []
            }
          ]
        },
        {
          "Shortcode": "V5.3",
          "Ordinal": 3,
          "Name": "Codificaci\u00f3n de Salida y Prevenci\u00f3n de Inyecci\u00f3n",
          "Items": [
            {
              "Shortcode": "V5.3.1",
              "Ordinal": 1,
              "Description": "Verifique que la codificaci\u00f3n de salida es relevante para el int\u00e9rprete y el contexto requerido. Por ejemplo, utilice codificadores espec\u00edficamente para valores HTML, atributos HTML, JavaScript, par\u00e1metros de URL, encabezados HTTP, SMTP y otros seg\u00fan lo requiera el contexto, especialmente a partir de entradas que no sean de confianza (por ejemplo, nombres con Unicode o ap\u00f3strofes, como \u306d\u3053 u O'Hara). ([C4](https://owasp.org/www-project-proactive-controls/#div-numbering))",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                116
              ],
              "NIST": []
            },
            {
              "Shortcode": "V5.3.2",
              "Ordinal": 2,
              "Description": "Verifique que la codificaci\u00f3n de salida conserva el juego de caracteres y la configuraci\u00f3n regional elegidos por el usuario, de modo que cualquier punto de caracteres Unicode sea v\u00e1lido y se maneje de forma segura. ([C4](https://owasp.org/www-project-proactive-controls/#div-numbering))",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                176
              ],
              "NIST": []
            },
            {
              "Shortcode": "V5.3.3",
              "Ordinal": 3,
              "Description": "Verifique que el escape de salida basado en contexto, preferiblemente automatizado - o en el peor de los casos, manual - protege contra XSS reflejado, almacenado y basado en DOM. ([C4](https://owasp.org/www-project-proactive-controls/#div-numbering))",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                79
              ],
              "NIST": []
            },
            {
              "Shortcode": "V5.3.4",
              "Ordinal": 4,
              "Description": "Verifique que la selecci\u00f3n de datos o las consultas de base de datos (por ejemplo, SQL, HQL, ORM, NoSQL) utilizan consultas parametrizadas, ORM, marcos de entidades o est\u00e1n protegidas de los ataques de inyecci\u00f3n de base de datos. ([C3](https://owasp.org/www-project-proactive-controls/#div-numbering))",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                89
              ],
              "NIST": []
            },
            {
              "Shortcode": "V5.3.5",
              "Ordinal": 5,
              "Description": "Verifique donde los mecanismos parametrizados o m\u00e1s seguros no est\u00e1n presentes, la codificaci\u00f3n de la salida en el contexto espec\u00edfico se utiliza para proteger contra ataques de inyecci\u00f3n, como el uso de escape SQL para proteger contra la inyecci\u00f3n SQL. ([C3, C4](https://owasp.org/www-project-proactive-controls/#div-numbering))",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                89
              ],
              "NIST": []
            },
            {
              "Shortcode": "V5.3.6",
              "Ordinal": 6,
              "Description": "Verifique que la aplicaci\u00f3n protege contra ataques de inyecci\u00f3n de JSON, ataques de \"eval\" en JSON y evaluaci\u00f3n de expresiones de JavaScript. ([C4](https://owasp.org/www-project-proactive-controls/#div-numbering))",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                830
              ],
              "NIST": []
            },
            {
              "Shortcode": "V5.3.7",
              "Ordinal": 7,
              "Description": "Verifique que la aplicaci\u00f3n protege contra vulnerabilidades de inyecci\u00f3n LDAP o que se han implementado controles de seguridad espec\u00edficos para evitar la inyecci\u00f3n LDAP. ([C4](https://owasp.org/www-project-proactive-controls/#div-numbering))",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                90
              ],
              "NIST": []
            },
            {
              "Shortcode": "V5.3.8",
              "Ordinal": 8,
              "Description": "Verifique que la aplicaci\u00f3n protege contra la inyecci\u00f3n de comandos del sistema operativo y que las llamadas al sistema operativo utilizan consultas de sistema operativo parametrizadas o utilicen codificaci\u00f3n de salida de l\u00ednea de comandos contextual. ([C4](https://owasp.org/www-project-proactive-controls/#div-numbering))",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                78
              ],
              "NIST": []
            },
            {
              "Shortcode": "V5.3.9",
              "Ordinal": 9,
              "Description": "Verifique que la aplicaci\u00f3n protege contra ataques de inclusi\u00f3n de archivos locales (LFI) o de inclusi\u00f3n remota de archivos (RFI).",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                829
              ],
              "NIST": []
            },
            {
              "Shortcode": "V5.3.10",
              "Ordinal": 10,
              "Description": "Verifique que la aplicaci\u00f3n protege contra ataques de inyecci\u00f3n XPath o de inyecci\u00f3n XML. ([C4](https://owasp.org/www-project-proactive-controls/#div-numbering))",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                643
              ],
              "NIST": []
            }
          ]
        },
        {
          "Shortcode": "V5.4",
          "Ordinal": 4,
          "Name": "Memoria, Cadena y C\u00f3digo No Administrado",
          "Items": [
            {
              "Shortcode": "V5.4.1",
              "Ordinal": 1,
              "Description": "Verifique que la aplicaci\u00f3n utiliza cadenas de memoria segura, copia de memoria m\u00e1s segura y aritm\u00e9tica de puntero para detectar o evitar desbordamientos de pila, b\u00faffer o heap.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                120
              ],
              "NIST": []
            },
            {
              "Shortcode": "V5.4.2",
              "Ordinal": 2,
              "Description": "Verifique que las cadenas de formato no toman entradas potencialmente hostiles y son constantes.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                134
              ],
              "NIST": []
            },
            {
              "Shortcode": "V5.4.3",
              "Ordinal": 3,
              "Description": "Verifique que se utilizan t\u00e9cnicas de validaci\u00f3n de signos, intervalos y entradas para evitar desbordamientos de enteros.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                190
              ],
              "NIST": []
            }
          ]
        },
        {
          "Shortcode": "V5.5",
          "Ordinal": 5,
          "Name": "Prevenci\u00f3n de Deserializaci\u00f3n",
          "Items": [
            {
              "Shortcode": "V5.5.1",
              "Ordinal": 1,
              "Description": "Verifique que los objetos serializados utilizan comprobaciones de integridad o est\u00e1n cifrados para evitar la creaci\u00f3n de objetos hostiles o la manipulaci\u00f3n de datos. ([C5](https://owasp.org/www-project-proactive-controls/#div-numbering))",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                502
              ],
              "NIST": []
            },
            {
              "Shortcode": "V5.5.2",
              "Ordinal": 2,
              "Description": "Verifique que la aplicaci\u00f3n restringe correctamente los analizadores XML para que solo usen la configuraci\u00f3n m\u00e1s restrictiva posible y para asegurarse de que las caracter\u00edsticas no seguras, como la resoluci\u00f3n de entidades externas, est\u00e1n deshabilitadas para evitar ataques XML eXternal Entity (XXE).",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                611
              ],
              "NIST": []
            },
            {
              "Shortcode": "V5.5.3",
              "Ordinal": 3,
              "Description": "Verifique que la deserializaci\u00f3n de datos que no son de confianza se evita o est\u00e1 protegida tanto en c\u00f3digo personalizado como en bibliotecas de terceros (como analizadores JSON, XML y YAML).",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                502
              ],
              "NIST": []
            },
            {
              "Shortcode": "V5.5.4",
              "Ordinal": 4,
              "Description": "Verifique que al analizar JSON en exploradores o backends basados en JavaScript, JSON.parse se utiliza para analizar el documento JSON. No utilice eval() para analizar JSON.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                95
              ],
              "NIST": []
            }
          ]
        }
      ]
    },
    {
      "Shortcode": "V6",
      "Ordinal": 6,
      "ShortName": "Cryptography",
      "Name": "Criptograf\u00eda almacenada",
      "Items": [
        {
          "Shortcode": "V6.1",
          "Ordinal": 1,
          "Name": "Clasificaci\u00f3n de Datos",
          "Items": [
            {
              "Shortcode": "V6.1.1",
              "Ordinal": 1,
              "Description": "Verifique que los datos privados regulados se almacenan cifrados mientras est\u00e1n en reposo, como informaci\u00f3n de identificaci\u00f3n personal (PII), informaci\u00f3n personal confidencial o datos evaluados que puedan estar sujetos al RGPD de la UE.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                311
              ],
              "NIST": []
            },
            {
              "Shortcode": "V6.1.2",
              "Ordinal": 2,
              "Description": "Verifique que los datos de salud regulados se almacenen cifrados mientras est\u00e1n en reposo, como registros m\u00e9dicos, detalles de dispositivos m\u00e9dicos o registros de investigaci\u00f3n anonimizados.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                311
              ],
              "NIST": []
            },
            {
              "Shortcode": "V6.1.3",
              "Ordinal": 3,
              "Description": "Verifique que los datos financieros regulados se almacenen cifrados mientras est\u00e1n en reposo, como cuentas financieras, impagos o historial de cr\u00e9dito, registros fiscales, historial de pagos, beneficiarios o registros de mercado o de investigaci\u00f3n anonimizados.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                311
              ],
              "NIST": []
            }
          ]
        },
        {
          "Shortcode": "V6.2",
          "Ordinal": 2,
          "Name": "Algoritmos",
          "Items": [
            {
              "Shortcode": "V6.2.1",
              "Ordinal": 1,
              "Description": "Verifique que todos los m\u00f3dulos criptogr\u00e1ficos fallan de forma segura y que los errores se gestionan de forma que no se habiliten los ataques \"Padding Oracle\".",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                310
              ],
              "NIST": []
            },
            {
              "Shortcode": "V6.2.2",
              "Ordinal": 2,
              "Description": "Verifique que se utilicen algoritmos, modos y bibliotecas criptogr\u00e1ficas probados por la industria o aprobados por el gobierno, en lugar de criptograf\u00eda codificada personalizada. ([C8](https://owasp.org/www-project-proactive-controls/#div-numbering))",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                327
              ],
              "NIST": []
            },
            {
              "Shortcode": "V6.2.3",
              "Ordinal": 3,
              "Description": "Verifique que los modos de vector de inicializaci\u00f3n de cifrado, configuraci\u00f3n de cifrado y bloque est\u00e1n configurados de forma segura mediante los \u00faltimos consejos vigentes.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                326
              ],
              "NIST": []
            },
            {
              "Shortcode": "V6.2.4",
              "Ordinal": 4,
              "Description": "Verifique que los algoritmos de n\u00famero aleatorio, cifrado o hash, longitudes de clave, rondas, cifrados o modos, se puedan reconfigurar, actualizar o intercambiar en cualquier momento, para protegerse contra ruptura criptogr\u00e1ficas. ([C8](https://owasp.org/www-project-proactive-controls/#div-numbering))",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                326
              ],
              "NIST": []
            },
            {
              "Shortcode": "V6.2.5",
              "Ordinal": 5,
              "Description": "Verifique que los modos de bloque inseguros conocidos (i.e., ECB, etc.), los modos de relleno (i.e. PKCS#1 v1.5, etc.), los cifrados con tama\u00f1os de bloque peque\u00f1os (i.e. Triple-DES, Blowfish, etc.), y los algoritmos de hashing d\u00e9biles (i.e. MD5, SHA1, etc.) no se utilizan a menos que sea necesario para la compatibilidad con versiones anteriores.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                326
              ],
              "NIST": []
            },
            {
              "Shortcode": "V6.2.6",
              "Ordinal": 6,
              "Description": "Verifique que los \"nonces\", los vectores de inicializaci\u00f3n y otros n\u00fameros de uso \u00fanico no se deben usar m\u00e1s de una vez con una clave de cifrado determinada. El m\u00e9todo de generaci\u00f3n debe ser adecuado para el algoritmo que se est\u00e1 utilizando.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                326
              ],
              "NIST": []
            },
            {
              "Shortcode": "V6.2.7",
              "Ordinal": 7,
              "Description": "Verifique que los datos cifrados se autentiquen a trav\u00e9s de firmas, modos de cifrado autenticados, o HMAC para asegurarse de que el texto cifrado no sea alterado por una parte no autorizada.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": false,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                326
              ],
              "NIST": []
            },
            {
              "Shortcode": "V6.2.8",
              "Ordinal": 8,
              "Description": "Verifique que todas las operaciones criptogr\u00e1ficas son de tiempo constante, sin operaciones de \"cortocircuito\" en comparaciones, c\u00e1lculos o devoluciones, para evitar fugas de informaci\u00f3n.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": false,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                385
              ],
              "NIST": []
            }
          ]
        },
        {
          "Shortcode": "V6.3",
          "Ordinal": 3,
          "Name": "Valores Aleatorios",
          "Items": [
            {
              "Shortcode": "V6.3.1",
              "Ordinal": 1,
              "Description": "Verifique que todos los n\u00fameros aleatorios, nombres de archivo aleatorios, GUID aleatorios y cadenas aleatorias se generan utilizando el generador de n\u00fameros aleatorios criptogr\u00e1ficamente seguro aprobado por el m\u00f3dulo criptogr\u00e1fico cuando estos valores aleatorios est\u00e1n destinados a no ser adivinables por un atacante.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                338
              ],
              "NIST": []
            },
            {
              "Shortcode": "V6.3.2",
              "Ordinal": 2,
              "Description": "Verifique que los GUID aleatorios se crean mediante el algoritmo GUID v4 y un generador de n\u00fameros pseudoaleatorio (CSPRNG) criptogr\u00e1ficamente seguro. Los GUID creados con otros generadores de n\u00fameros pseudoaleatorios pueden ser predecibles.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                338
              ],
              "NIST": []
            },
            {
              "Shortcode": "V6.3.3",
              "Ordinal": 3,
              "Description": "Verifique que los n\u00fameros aleatorios se crean con la entrop\u00eda adecuada incluso cuando la aplicaci\u00f3n est\u00e1 bajo carga pesada, o que la aplicaci\u00f3n se degrada correctamente en tales circunstancias.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": false,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                338
              ],
              "NIST": []
            }
          ]
        },
        {
          "Shortcode": "V6.4",
          "Ordinal": 4,
          "Name": "Gesti\u00f3n de Secretos",
          "Items": [
            {
              "Shortcode": "V6.4.1",
              "Ordinal": 1,
              "Description": "Verifique que una soluci\u00f3n de gesti\u00f3n de secretos, como un almac\u00e9n de claves, se utiliza para crear, almacenar, controlar el acceso y destruir secretos de forma segura. ([C8](https://owasp.org/www-project-proactive-controls/#div-numbering))",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                798
              ],
              "NIST": []
            },
            {
              "Shortcode": "V6.4.2",
              "Ordinal": 2,
              "Description": "Verifique que el material de claves no est\u00e1 expuesto a la aplicaci\u00f3n, sino que utiliza un m\u00f3dulo de seguridad aislado como un almac\u00e9n para operaciones criptogr\u00e1ficas. ([C8](https://owasp.org/www-project-proactive-controls/#div-numbering))",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                320
              ],
              "NIST": []
            }
          ]
        }
      ]
    },
    {
      "Shortcode": "V7",
      "Ordinal": 7,
      "ShortName": "Error",
      "Name": "Manejo y Registro de Errores",
      "Items": [
        {
          "Shortcode": "V7.1",
          "Ordinal": 1,
          "Name": "Contenido de Registro de Log",
          "Items": [
            {
              "Shortcode": "V7.1.1",
              "Ordinal": 1,
              "Description": "Verifique que la aplicaci\u00f3n no registra las credenciales ni los detalles de pago. Los tokens de sesi\u00f3n solo deben almacenarse en registros de forma irreversible y hasheados. ([C9, C10](https://owasp.org/www-project-proactive-controls/#div-numbering))",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                532
              ],
              "NIST": []
            },
            {
              "Shortcode": "V7.1.2",
              "Ordinal": 2,
              "Description": "Verifique que la aplicaci\u00f3n no registra otros datos confidenciales tal como se definen en las leyes de privacidad locales o la pol\u00edtica de seguridad pertinente. ([C9](https://owasp.org/www-project-proactive-controls/#div-numbering))",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                532
              ],
              "NIST": []
            },
            {
              "Shortcode": "V7.1.3",
              "Ordinal": 3,
              "Description": "Verifique que la aplicaci\u00f3n registra eventos relevantes para la seguridad, incluidos los eventos de autenticaci\u00f3n correctos y con errores, los errores de control de acceso, los errores de deserializaci\u00f3n y los errores de validaci\u00f3n de entrada. ([C5, C7](https://owasp.org/www-project-proactive-controls/#div-numbering))",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                778
              ],
              "NIST": []
            },
            {
              "Shortcode": "V7.1.4",
              "Ordinal": 4,
              "Description": "Verifique que cada evento de registro incluye la informaci\u00f3n necesaria que permitir\u00eda una investigaci\u00f3n detallada de la escala de tiempo cuando se produce un evento. ([C9](https://owasp.org/www-project-proactive-controls/#div-numbering))",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                778
              ],
              "NIST": []
            }
          ]
        },
        {
          "Shortcode": "V7.2",
          "Ordinal": 2,
          "Name": "Procesamiento del Log",
          "Items": [
            {
              "Shortcode": "V7.2.1",
              "Ordinal": 1,
              "Description": "Verifique que se registran todas las decisiones de autenticaci\u00f3n, sin almacenar tokens o contrase\u00f1as de sesi\u00f3n confidenciales. Esto debe incluir solicitudes con los metadatos relevantes necesarios para las investigaciones de seguridad.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                778
              ],
              "NIST": []
            },
            {
              "Shortcode": "V7.2.2",
              "Ordinal": 2,
              "Description": "Verifique que se pueden registrar todas las decisiones de control de acceso y que se registran todas las decisiones err\u00f3neas. Esto debe incluir solicitudes con los metadatos pertinentes necesarios para las investigaciones de seguridad.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                285
              ],
              "NIST": []
            }
          ]
        },
        {
          "Shortcode": "V7.3",
          "Ordinal": 3,
          "Name": "Protecci\u00f3n de Logs",
          "Items": [
            {
              "Shortcode": "V7.3.1",
              "Ordinal": 1,
              "Description": "Verifique que todos los componentes de registro codifiquen adecuadamente los datos para evitar la inyecci\u00f3n de registros. ([C9](https://owasp.org/www-project-proactive-controls/#div-numbering))",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                117
              ],
              "NIST": []
            },
            {
              "Shortcode": "V7.3.2",
              "Ordinal": 2,
              "Description": "[ELIMINADO, DUPLICADO DE 7.3.1]",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": false,
                "Requirement": ""
              },
              "L3": {
                "Required": false,
                "Requirement": ""
              },
              "CWE": [],
              "NIST": []
            },
            {
              "Shortcode": "V7.3.3",
              "Ordinal": 3,
              "Description": "Verifique que los registros de seguridad est\u00e1n protegidos contra el acceso y la modificaci\u00f3n no autorizados. ([C9](https://owasp.org/www-project-proactive-controls/#div-numbering))",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                200
              ],
              "NIST": []
            },
            {
              "Shortcode": "V7.3.4",
              "Ordinal": 4,
              "Description": "Verifique que la fuente donde se lee el tiempo est\u00e1n sincronizados con la hora y la zona horaria correctas. Considere firmemente el registro solo en UTC si los sistemas son globales para ayudar con el an\u00e1lisis forense posterior al incidente. ([C9](https://owasp.org/www-project-proactive-controls/#div-numbering))",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [],
              "NIST": []
            }
          ]
        },
        {
          "Shortcode": "V7.4",
          "Ordinal": 4,
          "Name": "Control de Errores",
          "Items": [
            {
              "Shortcode": "V7.4.1",
              "Ordinal": 1,
              "Description": "Verifique que se muestra un mensaje gen\u00e9rico cuando se produce un error inesperado o sensible a la seguridad, potencialmente con un identificador \u00fanico que el personal de soporte t\u00e9cnico puede usar para investigar. ([C10](https://owasp.org/www-project-proactive-controls/#div-numbering))",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                210
              ],
              "NIST": []
            },
            {
              "Shortcode": "V7.4.2",
              "Ordinal": 2,
              "Description": "Verifique que el control de excepciones (o un equivalente funcional) se utiliza en todo el c\u00f3digo base para tener en cuenta las condiciones de error esperadas e inesperadas. ([C10](https://owasp.org/www-project-proactive-controls/#div-numbering))",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                544
              ],
              "NIST": []
            },
            {
              "Shortcode": "V7.4.3",
              "Ordinal": 3,
              "Description": "Verifique que se define un controlador de errores de \"\u00faltimo recurso\" que detectar\u00e1 todas las excepciones no controladas. ([C10](https://owasp.org/www-project-proactive-controls/#div-numbering))",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                431
              ],
              "NIST": []
            }
          ]
        }
      ]
    },
    {
      "Shortcode": "V8",
      "Ordinal": 8,
      "ShortName": "Data",
      "Name": "Protecci\u00f3n de Datos",
      "Items": [
        {
          "Shortcode": "V8.1",
          "Ordinal": 1,
          "Name": "Protecci\u00f3n General de Datos",
          "Items": [
            {
              "Shortcode": "V8.1.1",
              "Ordinal": 1,
              "Description": "Verifique que la aplicaci\u00f3n protege los datos confidenciales de la cach\u00e9 en componentes del servidor, como balanceadores de carga y cach\u00e9s de aplicaciones.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                524
              ],
              "NIST": []
            },
            {
              "Shortcode": "V8.1.2",
              "Ordinal": 2,
              "Description": "Verifique que todas las copias almacenadas en cach\u00e9 o temporales de datos confidenciales almacenados en el servidor est\u00e1n protegidas contra el acceso no autorizado o purgadas/invalidadas despu\u00e9s de que el usuario autorizado acceda a los datos confidenciales.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                524
              ],
              "NIST": []
            },
            {
              "Shortcode": "V8.1.3",
              "Ordinal": 3,
              "Description": "Verifique que la aplicaci\u00f3n minimiza el n\u00famero de par\u00e1metros de una solicitud, como campos ocultos, variables Ajax, cookies y valores de encabezado.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                233
              ],
              "NIST": []
            },
            {
              "Shortcode": "V8.1.4",
              "Ordinal": 4,
              "Description": "Verifique que la aplicaci\u00f3n puede detectar y alertar sobre n\u00fameros anormales de solicitudes, como por IP, usuario, total por hora o d\u00eda, o lo que tenga sentido para la aplicaci\u00f3n.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                770
              ],
              "NIST": []
            },
            {
              "Shortcode": "V8.1.5",
              "Ordinal": 5,
              "Description": "Verifique que se realizan copias de seguridad peri\u00f3dicas de datos importantes y que se realizan pruebas de la restauraci\u00f3n de datos.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": false,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                19
              ],
              "NIST": []
            },
            {
              "Shortcode": "V8.1.6",
              "Ordinal": 6,
              "Description": "Verifique que las copias de seguridad se almacenan de forma segura para evitar que los datos sean robados o se da\u00f1en.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": false,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                19
              ],
              "NIST": []
            }
          ]
        },
        {
          "Shortcode": "V8.2",
          "Ordinal": 2,
          "Name": "Protecci\u00f3n de datos del lado del cliente",
          "Items": [
            {
              "Shortcode": "V8.2.1",
              "Ordinal": 1,
              "Description": "Verifique que la aplicaci\u00f3n establece suficientes encabezados anti-almacenamiento en cach\u00e9 para que los datos confidenciales no se almacenen en cach\u00e9 en los navegadores modernos.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                525
              ],
              "NIST": []
            },
            {
              "Shortcode": "V8.2.2",
              "Ordinal": 2,
              "Description": "Verifique que los datos almacenados en el almacenamiento del navegador (como localStorage, sessionStorage, IndexedDB o cookies) no contengan datos confidenciales.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                922
              ],
              "NIST": []
            },
            {
              "Shortcode": "V8.2.3",
              "Ordinal": 3,
              "Description": "Verifique que los datos autenticados se borran del almacenamiento del cliente, como el DOM del explorador, despu\u00e9s de que se termine el cliente o la sesi\u00f3n.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                922
              ],
              "NIST": []
            }
          ]
        },
        {
          "Shortcode": "V8.3",
          "Ordinal": 3,
          "Name": "Datos Privados Confidenciales",
          "Items": [
            {
              "Shortcode": "V8.3.1",
              "Ordinal": 1,
              "Description": "Verifique que los datos confidenciales se env\u00edan al servidor en el cuerpo o encabezados del mensaje HTTP y que los par\u00e1metros de cadena de consulta de cualquier verbo HTTP no contienen datos confidenciales.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                319
              ],
              "NIST": []
            },
            {
              "Shortcode": "V8.3.2",
              "Ordinal": 2,
              "Description": "Verifique que los usuarios tienen un m\u00e9todo para eliminar o exportar sus datos sobre demanda (on demand).",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                212
              ],
              "NIST": []
            },
            {
              "Shortcode": "V8.3.3",
              "Ordinal": 3,
              "Description": "Verifique que se proporciona a los usuarios un lenguaje claro con respecto a la recopilaci\u00f3n y el uso de la informaci\u00f3n personal suministrada y que los usuarios han proporcionado el consentimiento de aceptaci\u00f3n para el uso de esos datos antes de que se utilicen de alguna manera.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                285
              ],
              "NIST": []
            },
            {
              "Shortcode": "V8.3.4",
              "Ordinal": 4,
              "Description": "Verifique que se han identificado todos los datos confidenciales creados y procesados por la aplicaci\u00f3n, y aseg\u00farese de que existe una pol\u00edtica sobre c\u00f3mo tratar los datos confidenciales. ([C8](https://owasp.org/www-project-proactive-controls/#div-numbering))",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                200
              ],
              "NIST": []
            },
            {
              "Shortcode": "V8.3.5",
              "Ordinal": 5,
              "Description": "Verifique que el acceso a los datos confidenciales se audita (sin registrar los datos confidenciales en s\u00ed), si los datos se recopilan en las directivas de protecci\u00f3n de datos pertinentes o donde se requiere el registro del acceso.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                532
              ],
              "NIST": []
            },
            {
              "Shortcode": "V8.3.6",
              "Ordinal": 6,
              "Description": "Verifique que la informaci\u00f3n confidencial contenida en la memoria se sobrescribe tan pronto como ya no sea necesaria para mitigar los ataques de volcado de memoria, utilizando ceros o datos aleatorios.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                226
              ],
              "NIST": []
            },
            {
              "Shortcode": "V8.3.7",
              "Ordinal": 7,
              "Description": "Verifique que la informaci\u00f3n confidencial o privada que se requiere que se cifre, se cifra mediante algoritmos aprobados que proporcionan confidencialidad e integridad. ([C8](https://owasp.org/www-project-proactive-controls/#div-numbering))",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                327
              ],
              "NIST": []
            },
            {
              "Shortcode": "V8.3.8",
              "Ordinal": 8,
              "Description": "Verifique que la informaci\u00f3n personal confidencial est\u00e1 sujeta a la clasificaci\u00f3n de retenci\u00f3n de datos, de forma que los datos antiguos o desactualizados se eliminen autom\u00e1ticamente, seg\u00fan una programaci\u00f3n o seg\u00fan la situaci\u00f3n lo requiera.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                285
              ],
              "NIST": []
            }
          ]
        }
      ]
    },
    {
      "Shortcode": "V9",
      "Ordinal": 9,
      "ShortName": "Communications",
      "Name": "Comunicaci\u00f3n",
      "Items": [
        {
          "Shortcode": "V9.1",
          "Ordinal": 1,
          "Name": "Seguridad de la Comunicaci\u00f3n del Cliente",
          "Items": [
            {
              "Shortcode": "V9.1.1",
              "Ordinal": 1,
              "Description": "Verifique que TLS se utilice para toda la conectividad del cliente y que no recurra a comunicaciones inseguras o no cifradas. ([C8](https://owasp.org/www-project-proactive-controls/#div-numbering))",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                319
              ],
              "NIST": []
            },
            {
              "Shortcode": "V9.1.2",
              "Ordinal": 2,
              "Description": "Verifique con herramientas de prueba TLS actualizadas que solo est\u00e9n habilitados los conjuntos de cifrado fuertes, con los conjuntos de cifrado m\u00e1s fuertes configurados como preferidos.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                326
              ],
              "NIST": []
            },
            {
              "Shortcode": "V9.1.3",
              "Ordinal": 3,
              "Description": "Verifique que solo est\u00e9n habilitadas las \u00faltimas versiones recomendadas del protocolo TLS, como TLS 1.2 y TLS 1.3. La \u00faltima versi\u00f3n del protocolo TLS deber\u00eda ser la opci\u00f3n preferida.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                326
              ],
              "NIST": []
            }
          ]
        },
        {
          "Shortcode": "V9.2",
          "Ordinal": 2,
          "Name": "Seguridad de la Comunicaci\u00f3n del Servidor",
          "Items": [
            {
              "Shortcode": "V9.2.1",
              "Ordinal": 1,
              "Description": "Verifique que las conexiones hacia y desde el servidor utilizan certificados TLS de confianza. Cuando se utilizan certificados generados internamente o autofirmados, el servidor debe configurarse para que solo conf\u00ede en las CA internas espec\u00edficas y en los certificados autofirmados espec\u00edficos. Todos los dem\u00e1s deben ser rechazados.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                295
              ],
              "NIST": []
            },
            {
              "Shortcode": "V9.2.2",
              "Ordinal": 2,
              "Description": "Verifique que las comunicaciones cifradas, como TLS, se utilizan para todas las conexiones entrantes y salientes, incluidos los puertos de administraci\u00f3n, monitoreo, la autenticaci\u00f3n, la API o las llamadas a servicios web, la base de datos, la nube, el serverless, el mainframe, ya sean externos o de conexiones de asociados. El servidor no debe volver a protocolos inseguros o no cifrados.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                319
              ],
              "NIST": []
            },
            {
              "Shortcode": "V9.2.3",
              "Ordinal": 3,
              "Description": "Verifique que se autentican todas las conexiones cifradas a sistemas externos que implican informaci\u00f3n o funciones confidenciales.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                287
              ],
              "NIST": []
            },
            {
              "Shortcode": "V9.2.4",
              "Ordinal": 4,
              "Description": "Verifique que la adecuada revocaci\u00f3n de certificaci\u00f3n, como la comprobaci\u00f3n de Online Certificate Status Protocol (OCSP), est\u00e9 habilitada y configurada.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                299
              ],
              "NIST": []
            },
            {
              "Shortcode": "V9.2.5",
              "Ordinal": 5,
              "Description": "Verifique que se hace logging de errores de conexi\u00f3n TLS de back-end.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": false,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                544
              ],
              "NIST": []
            }
          ]
        }
      ]
    },
    {
      "Shortcode": "V10",
      "Ordinal": 10,
      "ShortName": "Malicious",
      "Name": "C\u00f3digo Malicioso",
      "Items": [
        {
          "Shortcode": "V10.1",
          "Ordinal": 1,
          "Name": "Integridad de C\u00f3digo",
          "Items": [
            {
              "Shortcode": "V10.1.1",
              "Ordinal": 1,
              "Description": "Verifique que se est\u00e1 utilizando una herramienta de an\u00e1lisis de c\u00f3digo que puede detectar c\u00f3digo potencialmente malintencionado, como funciones de tiempo, operaciones de archivos no seguras y conexiones de red.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": false,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                749
              ],
              "NIST": []
            }
          ]
        },
        {
          "Shortcode": "V10.2",
          "Ordinal": 2,
          "Name": "B\u00fasqueda de C\u00f3digo Malicioso",
          "Items": [
            {
              "Shortcode": "V10.2.1",
              "Ordinal": 1,
              "Description": "Verifique que el c\u00f3digo fuente de la aplicaci\u00f3n y las bibliotecas de terceros no contienen capacidades no autorizadas de recopilaci\u00f3n de datos o de \"llamadas a casa\". Cuando detecte dicha funcionalidad, obtenga el permiso explicito del usuario para que sea operado as\u00ed, antes de recopilar cualquier dato.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                359
              ],
              "NIST": []
            },
            {
              "Shortcode": "V10.2.2",
              "Ordinal": 2,
              "Description": "Verifique que la aplicaci\u00f3n no solicite permisos innecesarios o excesivos para funciones o sensores relacionados con la privacidad, como contactos, c\u00e1maras, micr\u00f3fonos o ubicaci\u00f3n.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                272
              ],
              "NIST": []
            },
            {
              "Shortcode": "V10.2.3",
              "Ordinal": 3,
              "Description": "Verifique que el c\u00f3digo fuente de la aplicaci\u00f3n y las bibliotecas de terceros no contienen puertas traseras, como cuentas, claves o c\u00f3digo ofuscado, blobs binarios no documentados, rootkits o anti-depuraci\u00f3n, caracter\u00edsticas de depuraci\u00f3n inseguras o de otro modo funcionalidades desactualizadas, inseguras u ocultas que podr\u00edan usarse maliciosamente si se descubren.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": false,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                507
              ],
              "NIST": []
            },
            {
              "Shortcode": "V10.2.4",
              "Ordinal": 4,
              "Description": "Verifique que el c\u00f3digo fuente de la aplicaci\u00f3n y las bibliotecas de terceros no contienen bombas de tiempo mediante la b\u00fasqueda de funciones relacionadas con la fecha y la hora.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": false,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                511
              ],
              "NIST": []
            },
            {
              "Shortcode": "V10.2.5",
              "Ordinal": 5,
              "Description": "Verifique que el c\u00f3digo fuente de la aplicaci\u00f3n y las bibliotecas de terceros no contienen c\u00f3digo malintencionado, como salami attacks, logic bypasses o bombas l\u00f3gicas.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": false,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                511
              ],
              "NIST": []
            },
            {
              "Shortcode": "V10.2.6",
              "Ordinal": 6,
              "Description": "Verifique que el c\u00f3digo fuente de la aplicaci\u00f3n y las bibliotecas de terceros no contienen huevos de pascua ni ninguna otra funcionalidad potencialmente no deseada.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": false,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                507
              ],
              "NIST": []
            }
          ]
        },
        {
          "Shortcode": "V10.3",
          "Ordinal": 3,
          "Name": "Integridad de Aplicaci\u00f3n",
          "Items": [
            {
              "Shortcode": "V10.3.1",
              "Ordinal": 1,
              "Description": "Verifique si la aplicaci\u00f3n tiene una caracter\u00edstica de actualizaci\u00f3n autom\u00e1tica de cliente o servidor, las actualizaciones deben obtenerse a trav\u00e9s de canales seguros y firmados digitalmente. El c\u00f3digo de actualizaci\u00f3n debe validar la firma digital de la actualizaci\u00f3n antes de instalar o ejecutar la actualizaci\u00f3n.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                16
              ],
              "NIST": []
            },
            {
              "Shortcode": "V10.3.2",
              "Ordinal": 2,
              "Description": "Verifique que la aplicaci\u00f3n emplea protecciones de integridad, como la firma de c\u00f3digo o la integridad de subrecursos. La aplicaci\u00f3n no debe cargar ni ejecutar c\u00f3digo de fuentes que no sean de confianza, como la carga de includes, plugins, m\u00f3dulos, c\u00f3digo o bibliotecas de fuentes que no sean de confianza o de Internet.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                353
              ],
              "NIST": []
            },
            {
              "Shortcode": "V10.3.3",
              "Ordinal": 3,
              "Description": "Verifique que la aplicaci\u00f3n tiene protecci\u00f3n contra takeovers de subdominios si la aplicaci\u00f3n se basa en entradas DNS o subdominios DNS, como nombres de dominio expirados, punteros DNS obsoletos o CNAME, proyectos expirados en repositorios de c\u00f3digo fuente p\u00fablicos o API de nube transitorias, funciones serverless o buckets de almacenamiento (*autogen-bucket-id*.cloud.example.com) o similares. Las protecciones pueden incluir asegurarse de que los nombres DNS utilizados por las aplicaciones se comprueban regularmente para comprobar su caducidad o cambio.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                350
              ],
              "NIST": []
            }
          ]
        }
      ]
    },
    {
      "Shortcode": "V11",
      "Ordinal": 11,
      "ShortName": "BusLogic",
      "Name": "L\u00f3gica de Negocio",
      "Items": [
        {
          "Shortcode": "V11.1",
          "Ordinal": 1,
          "Name": "Seguridad de la L\u00f3gica de Negocio",
          "Items": [
            {
              "Shortcode": "V11.1.1",
              "Ordinal": 1,
              "Description": "Verificar que la aplicaci\u00f3n solo procesar\u00e1 flujos de la l\u00f3gica de negocio para el mismo usuario en orden de pasos secuenciales y sin omitir pasos.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                841
              ],
              "NIST": []
            },
            {
              "Shortcode": "V11.1.2",
              "Ordinal": 2,
              "Description": "Verificar que la aplicaci\u00f3n solo procesar\u00e1 flujos de l\u00f3gica de negocios con todos los pasos que se procesan en tiempo humano realista, es decir, las transacciones no se env\u00edan demasiado r\u00e1pido.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                799
              ],
              "NIST": []
            },
            {
              "Shortcode": "V11.1.3",
              "Ordinal": 3,
              "Description": "Verificar que la aplicaci\u00f3n tiene l\u00edmites adecuados para acciones o transacciones de negocio espec\u00edficas, y que se aplican correctamente con base en los usuarios.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                770
              ],
              "NIST": []
            },
            {
              "Shortcode": "V11.1.4",
              "Ordinal": 4,
              "Description": "Verifique que la aplicaci\u00f3n tenga controles anti-automatizaci\u00f3n para proteger contra llamadas excesivas, como exfiltraci\u00f3n masiva de datos, solicitudes de l\u00f3gica empresarial, carga de archivos o ataques de denegaci\u00f3n de servicio.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                770
              ],
              "NIST": []
            },
            {
              "Shortcode": "V11.1.5",
              "Ordinal": 5,
              "Description": "Verificar que la aplicaci\u00f3n tiene l\u00edmites de l\u00f3gica empresarial o validaci\u00f3n para protegerse contra riesgos o amenazas empresariales probables, identificados mediante el modelado de amenazas o metodolog\u00edas similares.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                841
              ],
              "NIST": []
            },
            {
              "Shortcode": "V11.1.6",
              "Ordinal": 6,
              "Description": "Verifique que la aplicaci\u00f3n no tenga problemas de \"Time Of Check to Time Of Use\" (TOCTOU) u otras race conditions para operaciones sensibles.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                367
              ],
              "NIST": []
            },
            {
              "Shortcode": "V11.1.7",
              "Ordinal": 7,
              "Description": "Verificar que la aplicaci\u00f3n supervisa eventos o actividades inusuales desde una perspectiva de l\u00f3gica de negocios. Por ejemplo, los intentos de realizar acciones fuera de servicio o acciones que un usuario normal nunca intentar\u00eda. ([C9](https://owasp.org/www-project-proactive-controls/#div-numbering))",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                754
              ],
              "NIST": []
            },
            {
              "Shortcode": "V11.1.8",
              "Ordinal": 8,
              "Description": "Verificar que la aplicaci\u00f3n tiene alertas configurables cuando se detectan ataques automatizados o actividad inusual.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                390
              ],
              "NIST": []
            }
          ]
        }
      ]
    },
    {
      "Shortcode": "V12",
      "Ordinal": 12,
      "ShortName": "Files",
      "Name": "Archivos y Recursos",
      "Items": [
        {
          "Shortcode": "V12.1",
          "Ordinal": 1,
          "Name": "Carga de Archivos",
          "Items": [
            {
              "Shortcode": "V12.1.1",
              "Ordinal": 1,
              "Description": "Verifique que la aplicaci\u00f3n no aceptar\u00e1 archivos grandes que puedan llenar el almacenamiento o provocar una denegaci\u00f3n de servicio.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                400
              ],
              "NIST": []
            },
            {
              "Shortcode": "V12.1.2",
              "Ordinal": 2,
              "Description": "Verifique que la aplicaci\u00f3n compruebe los archivos comprimidos (p. ej. zip, gz, docx, odt) contra el tama\u00f1o m\u00e1ximo sin comprimir permitido y con el n\u00famero m\u00e1ximo de archivos antes de descomprimir el archivo.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                409
              ],
              "NIST": []
            },
            {
              "Shortcode": "V12.1.3",
              "Ordinal": 3,
              "Description": "Verifique que se aplica una cuota de tama\u00f1o de archivo y un n\u00famero m\u00e1ximo de archivos por usuario para asegurarse de que un solo usuario no puede llenar el almacenamiento con demasiados archivos o archivos excesivamente grandes.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                770
              ],
              "NIST": []
            }
          ]
        },
        {
          "Shortcode": "V12.2",
          "Ordinal": 2,
          "Name": "Integridad de Archivos",
          "Items": [
            {
              "Shortcode": "V12.2.1",
              "Ordinal": 1,
              "Description": "Verifique que los archivos obtenidos de or\u00edgenes que no son de confianza se validan para que sean del tipo esperado en funci\u00f3n del contenido del archivo.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                434
              ],
              "NIST": []
            }
          ]
        },
        {
          "Shortcode": "V12.3",
          "Ordinal": 3,
          "Name": "Ejecuci\u00f3n de Archivos",
          "Items": [
            {
              "Shortcode": "V12.3.1",
              "Ordinal": 1,
              "Description": "Verifique que los metadatos del nombre de archivo enviados por el usuario no se utilizan directamente por los sistemas de archivos del sistema o del marco de trabajo y que se utiliza una API de direcci\u00f3n URL para proteger contra el recorrido de ruta de acceso.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                22
              ],
              "NIST": []
            },
            {
              "Shortcode": "V12.3.2",
              "Ordinal": 2,
              "Description": "Verifique que los metadatos del nombre de archivo enviados por el usuario se validan o ignoran para evitar la divulgaci\u00f3n, creaci\u00f3n, actualizaci\u00f3n o eliminaci\u00f3n de archivos locales (LFI).",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                73
              ],
              "NIST": []
            },
            {
              "Shortcode": "V12.3.3",
              "Ordinal": 3,
              "Description": "Verifique que los metadatos del nombre de archivo enviados por el usuario se validan o omiten para evitar la divulgaci\u00f3n o ejecuci\u00f3n de archivos remotos a trav\u00e9s de ataques de inclusi\u00f3n remota de archivos (RFI) o falsificaci\u00f3n de solicitudes del lado del servidor (SSRF).",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                98
              ],
              "NIST": []
            },
            {
              "Shortcode": "V12.3.4",
              "Ordinal": 4,
              "Description": "Verifique que la aplicaci\u00f3n protege contra la descarga de archivos reflectantes (RFD) validando o ignorando los nombres de archivo enviados por el usuario en un par\u00e1metro JSON, JSONP o URL, el encabezado Content-Type de respuesta debe establecerse en text/plain y el encabezado Content-Disposition debe tener un nombre de archivo fijo.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                641
              ],
              "NIST": []
            },
            {
              "Shortcode": "V12.3.5",
              "Ordinal": 5,
              "Description": "Verifique que los metadatos de archivos que no son de confianza no se utilizan directamente con la API del sistema o las bibliotecas, para proteger contra la inyecci\u00f3n de comandos del sistema operativo.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                78
              ],
              "NIST": []
            },
            {
              "Shortcode": "V12.3.6",
              "Ordinal": 6,
              "Description": "Verifique que la aplicaci\u00f3n no incluye ni ejecuta funcionalidad desde or\u00edgenes que no son de confianza, como redes de distribuci\u00f3n de contenido no verificadas, bibliotecas de JavaScript, bibliotecas node npm o archivos DLL server-side.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                829
              ],
              "NIST": []
            }
          ]
        },
        {
          "Shortcode": "V12.4",
          "Ordinal": 4,
          "Name": "Almacenamiento de Archivos",
          "Items": [
            {
              "Shortcode": "V12.4.1",
              "Ordinal": 1,
              "Description": "Verifique que los archivos obtenidos de fuentes no confiables se almacenen fuera de la ra\u00edz web, con permisos limitados.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                552
              ],
              "NIST": []
            },
            {
              "Shortcode": "V12.4.2",
              "Ordinal": 2,
              "Description": "Verifique que los esc\u00e1neres antivirus analicen los archivos obtenidos de fuentes no confiables para evitar la carga y el servicio de contenido malicioso conocido.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                509
              ],
              "NIST": []
            }
          ]
        },
        {
          "Shortcode": "V12.5",
          "Ordinal": 5,
          "Name": "Descarga de Archivos",
          "Items": [
            {
              "Shortcode": "V12.5.1",
              "Ordinal": 1,
              "Description": "Verifique que la capa web est\u00e1 configurado para transmitir solo archivos con extensiones espec\u00edficas, para evitar la filtraci\u00f3n accidental de informaci\u00f3n o c\u00f3digo fuente. Por ejemplo, los archivos de copia de seguridad (p. ej. .bak), los archivos de trabajo temporales (p. ej. .swp), los archivos comprimidos (.zip, .tar.gz, etc.) y otras extensiones utilizadas com\u00fanmente por los editores deben bloquearse a menos que sea necesario.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                552
              ],
              "NIST": []
            },
            {
              "Shortcode": "V12.5.2",
              "Ordinal": 2,
              "Description": "Verifique que las solicitudes directas a los archivos cargados nunca se ejecutar\u00e1n como contenido HTML/JavaScript.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                434
              ],
              "NIST": []
            }
          ]
        },
        {
          "Shortcode": "V12.6",
          "Ordinal": 6,
          "Name": "Protecci\u00f3n SSRF",
          "Items": [
            {
              "Shortcode": "V12.6.1",
              "Ordinal": 1,
              "Description": "Verifique que el servidor web o de aplicaciones est\u00e1 configurado con una lista de permisos de recursos o sistemas a los que el servidor puede enviar solicitudes o cargar datos o archivos.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                918
              ],
              "NIST": []
            }
          ]
        }
      ]
    },
    {
      "Shortcode": "V13",
      "Ordinal": 13,
      "ShortName": "API",
      "Name": "API y Servicios Web",
      "Items": [
        {
          "Shortcode": "V13.1",
          "Ordinal": 1,
          "Name": "Seguridad Gen\u00e9rica de Servicios Web",
          "Items": [
            {
              "Shortcode": "V13.1.1",
              "Ordinal": 1,
              "Description": "Verifique que todos los componentes de la aplicaci\u00f3n utilizan las mismas codificaciones y analizadores para evitar el an\u00e1lisis de ataques que explotan un comportamiento de an\u00e1lisis de archivos o URI diferente que se podr\u00eda usar en ataques SSRF y RFI.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                116
              ],
              "NIST": []
            },
            {
              "Shortcode": "V13.1.2",
              "Ordinal": 2,
              "Description": "[DELETED, DUPLICATE OF 4.3.1]",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": false,
                "Requirement": ""
              },
              "L3": {
                "Required": false,
                "Requirement": ""
              },
              "CWE": [],
              "NIST": []
            },
            {
              "Shortcode": "V13.1.3",
              "Ordinal": 3,
              "Description": "Verifique que las direcciones URL de la API no exponen informaci\u00f3n confidencial, como API keys, los tokens de sesi\u00f3n, etc.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                598
              ],
              "NIST": []
            },
            {
              "Shortcode": "V13.1.4",
              "Ordinal": 4,
              "Description": "Verifique que las decisiones de autorizaci\u00f3n se toman en el URI, se aplican mediante seguridad program\u00e1tica o declarativa en el controlador o enrutador, y en el nivel de recursos, se aplican mediante permisos basados en modelos.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                285
              ],
              "NIST": []
            },
            {
              "Shortcode": "V13.1.5",
              "Ordinal": 5,
              "Description": "Verifique que las solicitudes que contienen tipos de contenido inesperados o contenido que falta se rechazan con encabezados adecuados (estado de respuesta HTTP 406 Inaceptable o 415 Tipo de medio no compatible).",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                434
              ],
              "NIST": []
            }
          ]
        },
        {
          "Shortcode": "V13.2",
          "Ordinal": 2,
          "Name": "Servicio Web RESTful",
          "Items": [
            {
              "Shortcode": "V13.2.1",
              "Ordinal": 1,
              "Description": "Verifique que los m\u00e9todos HTTP RESTful habilitados son una opci\u00f3n v\u00e1lida para el usuario o la acci\u00f3n, como impedir que los usuarios normales usen DELETE o PUT en recursos o API protegidos.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                650
              ],
              "NIST": []
            },
            {
              "Shortcode": "V13.2.2",
              "Ordinal": 2,
              "Description": "Verifique que la validaci\u00f3n del esquema JSON est\u00e1 en su lugar y se comprueba antes de aceptar la entrada.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                20
              ],
              "NIST": []
            },
            {
              "Shortcode": "V13.2.3",
              "Ordinal": 3,
              "Description": "Verifique que los servicios web RESTful que utilizan cookies est\u00e1n protegidos contra la falsificaci\u00f3n de solicitudes entre sitios, mediante el uso de una o m\u00e1s de las siguientes formas: patr\u00f3n de cookies de doble env\u00edo, \"nonces\" CSRF o comprobaciones de encabezado de solicitud de origen.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                352
              ],
              "NIST": []
            },
            {
              "Shortcode": "V13.2.4",
              "Ordinal": 4,
              "Description": "[DELETED, DUPLICATE OF 11.1.4]",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": false,
                "Requirement": ""
              },
              "L3": {
                "Required": false,
                "Requirement": ""
              },
              "CWE": [],
              "NIST": []
            },
            {
              "Shortcode": "V13.2.5",
              "Ordinal": 5,
              "Description": "Verifique que los servicios REST comprueben expl\u00edcitamente que el tipo de contenido entrante sea el esperado, como application/xml o application/json.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                436
              ],
              "NIST": []
            },
            {
              "Shortcode": "V13.2.6",
              "Ordinal": 6,
              "Description": "Verifique que los encabezados de mensaje y la carga \u00fatil (payload) son confiables y no se modifican en tr\u00e1nsito. Requerir un cifrado seguro para el transporte (solo TLS) puede ser suficiente en muchos casos, ya que proporciona confidencialidad y protecci\u00f3n de integridad. Las firmas digitales por cada mensaje pueden proporcionar una garant\u00eda adicional sobre las protecciones de transporte para aplicaciones de alta seguridad, pero conllevan complejidad y riesgos adicionales para compensar los beneficios.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                345
              ],
              "NIST": []
            }
          ]
        },
        {
          "Shortcode": "V13.3",
          "Ordinal": 3,
          "Name": "Servicio Web SOAP",
          "Items": [
            {
              "Shortcode": "V13.3.1",
              "Ordinal": 1,
              "Description": "Verifique que la validaci\u00f3n del esquema XSD tiene lugar para garantizar un documento XML formado correctamente, seguido de la validaci\u00f3n de cada campo de entrada antes de que se realice cualquier procesamiento de esos datos.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                20
              ],
              "NIST": []
            },
            {
              "Shortcode": "V13.3.2",
              "Ordinal": 2,
              "Description": "Verifique que el payload del mensaje est\u00e1 firmada mediante WS-Security para garantizar un transporte fiable entre el cliente y el servicio.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                345
              ],
              "NIST": []
            }
          ]
        },
        {
          "Shortcode": "V13.4",
          "Ordinal": 4,
          "Name": "GraphQL",
          "Items": [
            {
              "Shortcode": "V13.4.1",
              "Ordinal": 1,
              "Description": "Verifique que se utiliza una lista de permisos de consulta o una combinaci\u00f3n de limitaci\u00f3n de profundidad y limitaci\u00f3n de cantidad para evitar que GraphQL o la expresi\u00f3n de la capa de datos provoque una denegaci\u00f3n de servicio (DoS) como resultado de costosas consultas anidadas. Para escenarios m\u00e1s avanzados, se debe usar el an\u00e1lisis de costos de consulta.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                770
              ],
              "NIST": []
            },
            {
              "Shortcode": "V13.4.2",
              "Ordinal": 2,
              "Description": "Verifique que GraphQL u otra l\u00f3gica de autorizaci\u00f3n de capa de datos podr\u00eda implementarse en la capa de l\u00f3gica de negocio en lugar de la capa GraphQL.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                285
              ],
              "NIST": []
            }
          ]
        }
      ]
    },
    {
      "Shortcode": "V14",
      "Ordinal": 14,
      "ShortName": "Config",
      "Name": "Configuraci\u00f3n",
      "Items": [
        {
          "Shortcode": "V14.1",
          "Ordinal": 1,
          "Name": "Compilaci\u00f3n y Despliegue",
          "Items": [
            {
              "Shortcode": "V14.1.1",
              "Ordinal": 1,
              "Description": "Verifique que los procesos de compilaci\u00f3n y despliegue de aplicaciones se realizan de forma segura y repetible, como la automatizaci\u00f3n de CI/CD, la administraci\u00f3n de configuraci\u00f3n automatizada y los scripts de despliegue automatizado.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [],
              "NIST": []
            },
            {
              "Shortcode": "V14.1.2",
              "Ordinal": 2,
              "Description": "Verifique que los indicadores del compilador est\u00e1n configurados para habilitar todas las protecciones y advertencias de desbordamiento de b\u00fafer disponibles, incluida la aleatorizaci\u00f3n de la pila, la prevenci\u00f3n de la ejecuci\u00f3n de datos y para interrumpir la compilaci\u00f3n si se encuentra un puntero no seguro, memoria, cadena de formato, entero u operaciones de cadena.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                120
              ],
              "NIST": []
            },
            {
              "Shortcode": "V14.1.3",
              "Ordinal": 3,
              "Description": "Verifique que la configuraci\u00f3n del servidor est\u00e1 hardenizada seg\u00fan las recomendaciones del servidor de aplicaciones y los framewors en uso.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                16
              ],
              "NIST": []
            },
            {
              "Shortcode": "V14.1.4",
              "Ordinal": 4,
              "Description": "Verifique que la aplicaci\u00f3n, la configuraci\u00f3n y todas las dependencias se pueden volver a implementar mediante scripts de implementaci\u00f3n automatizada, crearse a partir de un runbook documentado y probado en un tiempo razonable o restaurarse a partir de copias de seguridad de forma oportuna.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [],
              "NIST": []
            },
            {
              "Shortcode": "V14.1.5",
              "Ordinal": 5,
              "Description": "Verifique que los administradores autorizados pueden verificar la integridad de todas las configuraciones relevantes para la seguridad para detectar una posible manipulaci\u00f3n.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": false,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [],
              "NIST": []
            }
          ]
        },
        {
          "Shortcode": "V14.2",
          "Ordinal": 2,
          "Name": "Dependencias",
          "Items": [
            {
              "Shortcode": "V14.2.1",
              "Ordinal": 1,
              "Description": "Verifique que todos los componentes est\u00e9n actualizados, preferiblemente utilizando un comprobador de dependencias durante el tiempo de compilaci\u00f3n. ([C2](https://owasp.org/www-project-proactive-controls/#div-numbering))",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                1026
              ],
              "NIST": []
            },
            {
              "Shortcode": "V14.2.2",
              "Ordinal": 2,
              "Description": "Verifique que se eliminen todas las funciones, documentaci\u00f3n, aplicaciones de muestra y configuraciones innecesarias.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                1002
              ],
              "NIST": []
            },
            {
              "Shortcode": "V14.2.3",
              "Ordinal": 3,
              "Description": "Verifique que si los activos de la aplicaci\u00f3n, como bibliotecas JavaScript, fuentes CSS o web, se hospedan externamente en una red de entrega de contenido (CDN) o un proveedor externo, se usa la integridad de subrecursos (SRI) para validar la integridad del activo.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                829
              ],
              "NIST": []
            },
            {
              "Shortcode": "V14.2.4",
              "Ordinal": 4,
              "Description": "Verifique que los componentes de terceros provienen de repositorios predefinidos, de confianza y mantenidos continuamente. ([C2](https://owasp.org/www-project-proactive-controls/#div-numbering))",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                829
              ],
              "NIST": []
            },
            {
              "Shortcode": "V14.2.5",
              "Ordinal": 5,
              "Description": "Verifique que se mantenga una Lista de materiales de software (SBOM; por sus siglas en ingl\u00e9s) de todas las bibliotecas de terceros en uso. ([C2](https://owasp.org/www-project-proactive-controls/#div-numbering))",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [],
              "NIST": []
            },
            {
              "Shortcode": "V14.2.6",
              "Ordinal": 6,
              "Description": "Verifique que la superficie de ataque se reduce mediante sandboxing o encapsular bibliotecas de terceros para exponer solo el comportamiento necesario en la aplicaci\u00f3n. ([C2](https://owasp.org/www-project-proactive-controls/#div-numbering))",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                265
              ],
              "NIST": []
            }
          ]
        },
        {
          "Shortcode": "V14.3",
          "Ordinal": 3,
          "Name": "Divulgaci\u00f3n de Seguridad Involuntaria",
          "Items": [
            {
              "Shortcode": "V14.3.1",
              "Ordinal": 1,
              "Description": "[ELIMINADO, DUPLICADO DE 7.4.1]",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": false,
                "Requirement": ""
              },
              "L3": {
                "Required": false,
                "Requirement": ""
              },
              "CWE": [],
              "NIST": []
            },
            {
              "Shortcode": "V14.3.2",
              "Ordinal": 2,
              "Description": "Verifique que los modos de depuraci\u00f3n del servidor web o de aplicaciones y del framework de aplicaciones est\u00e1n deshabilitados en producci\u00f3n para eliminar las caracter\u00edsticas de depuraci\u00f3n, las consolas de desarrollador y las divulgaciones de seguridad no deseadas.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                497
              ],
              "NIST": []
            },
            {
              "Shortcode": "V14.3.3",
              "Ordinal": 3,
              "Description": "Verifique que los encabezados HTTP o cualquier parte de la respuesta HTTP no exponen informaci\u00f3n detallada de la versi\u00f3n de los componentes del sistema.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                200
              ],
              "NIST": []
            }
          ]
        },
        {
          "Shortcode": "V14.4",
          "Ordinal": 4,
          "Name": "Encabezados de Seguridad HTTP",
          "Items": [
            {
              "Shortcode": "V14.4.1",
              "Ordinal": 1,
              "Description": "Verifique que cada respuesta HTTP contenga un encabezado de tipo de contenido. Tambi\u00e9n especifique un conjunto de caracteres seguro (p. ej., UTF-8, ISO-8859-1) si los tipos de contenido son texto/*, /+xml y aplicaci\u00f3n/xml. El contenido debe coincidir con el encabezado de tipo de contenido proporcionado.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                173
              ],
              "NIST": []
            },
            {
              "Shortcode": "V14.4.2",
              "Ordinal": 2,
              "Description": "Verifique que todas las respuestas de API contienen un encabezado Content-Disposition: attachment; filename=\"api.json\" (u otro nombre de archivo apropiado para el tipo de contenido).",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                116
              ],
              "NIST": []
            },
            {
              "Shortcode": "V14.4.3",
              "Ordinal": 3,
              "Description": "Verifique que existe un encabezado de respuesta de Directiva de Seguridad de Contenido (CSP) que ayuda a mitigar el impacto de los ataques XSS como vulnerabilidades de inyecci\u00f3n de HTML, DOM, JSON y JavaScript.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                1021
              ],
              "NIST": []
            },
            {
              "Shortcode": "V14.4.4",
              "Ordinal": 4,
              "Description": "Verifique que todas las respuestas contienen un encabezado X-Content-Type-Options: nosniff.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                116
              ],
              "NIST": []
            },
            {
              "Shortcode": "V14.4.5",
              "Ordinal": 5,
              "Description": "Verifique que se incluye un encabezado Strict-Transport-Security en todas las respuestas y para todos los subdominios, como Strict-Transport-Security: max-age-15724800; includeSubdomains.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                523
              ],
              "NIST": []
            },
            {
              "Shortcode": "V14.4.6",
              "Ordinal": 6,
              "Description": "Verifique que se incluya adecuadamente un encabezado de Referrer-Policy para evitar exponer informaci\u00f3n confidencial en la URL a trav\u00e9s del encabezado de referencia a partes que no son de confianza.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                116
              ],
              "NIST": []
            },
            {
              "Shortcode": "V14.4.7",
              "Ordinal": 7,
              "Description": "Verifique que el contenido de una aplicaci\u00f3n web no se puede incrustar en un sitio de terceros de forma predeterminada y que la inserci\u00f3n de los recursos exactos solo se permite cuando sea necesario mediante el uso adecuado de Content-Security-Polic: frame-ancestors y encabezados de respuesta X-Frame-Options.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                1021
              ],
              "NIST": []
            }
          ]
        },
        {
          "Shortcode": "V14.5",
          "Ordinal": 5,
          "Name": "Validaci\u00f3n de Encabezado de Solicitud HTTP",
          "Items": [
            {
              "Shortcode": "V14.5.1",
              "Ordinal": 1,
              "Description": "Verifique que el servidor de aplicaciones solo acepta los m\u00e9todos HTTP que utiliza la aplicaci\u00f3n/API, incluidas las pre-flight OPTIONS, y los Logs/alertas en cualquier solicitud que no sea v\u00e1lida para el contexto de la aplicaci\u00f3n.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                749
              ],
              "NIST": []
            },
            {
              "Shortcode": "V14.5.2",
              "Ordinal": 2,
              "Description": "Verifique que el encabezado Origin proporcionado no se utiliza para las decisiones de autenticaci\u00f3n o control de acceso, ya que un atacante puede cambiar f\u00e1cilmente el encabezado Origin.",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                346
              ],
              "NIST": []
            },
            {
              "Shortcode": "V14.5.3",
              "Ordinal": 3,
              "Description": "Verifique que el encabezado Cross-Origin Resource Sharing (CORS) Access-Control-Allow-Origin utiliza una estricta lista de permisos de dominios y subdominios de confianza para que coincidan entre si, y no se permita el origen \"nulo\".",
              "L1": {
                "Required": true,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                346
              ],
              "NIST": []
            },
            {
              "Shortcode": "V14.5.4",
              "Ordinal": 4,
              "Description": "Verifique que la aplicaci\u00f3n autentica los encabezados HTTP agregados por un proxy de confianza o dispositivos SSO, como un token de portador.",
              "L1": {
                "Required": false,
                "Requirement": ""
              },
              "L2": {
                "Required": true,
                "Requirement": ""
              },
              "L3": {
                "Required": true,
                "Requirement": ""
              },
              "CWE": [
                306
              ],
              "NIST": []
            }
          ]
        }
      ]
    }
  ]
}