OWASP · leonelquinteros · Jan 24, 2020 · Jan 24, 2020 · Jan 26, 2020 · Jan 26, 2020
diff --git a/2019/es/src/0x00-header.md b/2019/es/src/0x00-header.md
@@ -0,0 +1,17 @@
+![OWASP LOGO](images/owasp-logo.png)
+
+## Seguridad API OWASP Top 10 2019
+
+Los Diez Riesgos de Seguridad API Más Críticos
+
+29 de Mayo de 2019
+
+![WASP Logo URL TBA](images/front-wasp.png)
+
+| | | |
+| - | - | - |
+| https://owasp.org | Este trabajo está licenciado bajo la [Licencia Internacional 4.0 de Creative Commons Attribution-ShareAlike][1] | ![Creative Commons License Logo](images/front-cc.png) |
+
+[1]: http://creativecommons.org/licenses/by-sa/4.0/
+
+
diff --git a/2019/es/src/0x00-notice.md b/2019/es/src/0x00-notice.md
@@ -0,0 +1,14 @@
+Aviso
+=====
+
+Esta es la versión de texto de Seguridad API OWASP Top 10 2019, usado como fuente para
+la versión oficial distribuída como Portable Document Format (PDF).
+
+Las contribuciones al proyecto como comentarios, correcciones o traducciones 
+deben realizarse aquí. Por detalles sobre [Cómo contribuir][1], por favor referirse 
+al documento [CONTRIBUTING.md][1].
+
+* Erez Yallon
+* Inon Shkedy
+
+[1]: ../../CONTRIBUTING.md
diff --git a/2019/es/src/0x00-toc.md b/2019/es/src/0x00-toc.md
@@ -0,0 +1,24 @@
+Índice de contenidos
+====================
+
+* [Índice de contenidos](0x00-toc.md)
+* [Sobre OWASP](0x01-about-owasp.md)
+* [Prefacio](0x02-foreword.md)
+* [Introducción](0x03-introduction.md)
+* [Notas de la versión](0x04-release-notes.md)
+* [Riesgos de Seguridad API](0x10-api-security-risks.md)
+* [Seguridad API OWASP Top 10 – 2019](0x11-t10.md)
+* [API1:2019 Autorización a Nivel de Objeto Rota](0xa1-broken-object-level-authorization.md)
+* [API2:2019 Autenticación de Usuario Rota](0xa2-broken-user-authentication.md)
+* [API3:2019 Exposición de Datos Excesiva](0xa3-excessive-data-exposure.md)
+* [API4:2019 Falta de Recursos & Límite de Velocidad](0xa4-lack-of-resources-and-rate-limiting.md)
+* [API5:2019 Autorización a Nivel de Función Rota](0xa5-broken-function-level-authorization.md)
+* [API6:2019 Asignación Masiva](0xa6-mass-assignment.md)
+* [API7:2019 Configuración de Seguridad Incorrecta](0xa7-security-misconfiguration.md)
+* [API8:2019 Inyección](0xa8-injection.md)
+* [API9:2019 Administración de Activos Incorrecta](0xa9-improper-assets-management.md)
+* [API10:2019 Registros y Monitoreo Insuficientes](0xaa-insufficient-logging-monitoring.md)
+* [Qué Sigue para Desarrolladores](0xb0-next-devs.md)
+* [Qué Sigue para DevSecOps](0xb1-next-devsecops.md)
+* [Metodología y Datos](0xd0-about-data.md)
+* [Agradecimientos](0xd1-acknowledgments.md)
diff --git a/2019/es/src/0x01-about-owasp.md b/2019/es/src/0x01-about-owasp.md
@@ -0,0 +1,46 @@
+Sobre OWASP
+===========
+
+El Proyecto Abierto de Seguridad en Aplicaciones Web (OWASP por sus siglas en inglés) es una comunidad abierta dedicada a permitir a que las organizaciones desarrollen, adquieran y mantengan aplicaciones y APIs en las que se puedan confiar.
+
+En OWASP, encontrará de forma abierta y gratuita:
+
+* Herramientas y estándares de seguridad en aplicaciones.
+* Libros completos de revisiones de seguridad en aplicaciones, desarrollo de código fuente seguro y revisiones de seguridad en código fuente
+* Presentaciones y [videos][1].
+* [Hojas de trucos][2] en varios temas comunes.
+* Controles de seguridad estándar y bibliotecas.
+* [Capítulos locales en todo el mundo][3].
+* Investigaciones de vanguardia.
+* Numerosas [conferencias alrededor del mundo][4].
+* [Listas de correo][5].
+
+Conozca más en: [https://www.owasp.org][6].
+
+Todas las herramientas de OWASP, documentos, videos, presentaciones y capítulos son gratuitos y abiertos a cualquier interesado en mejorar la seguridad en aplicaciones.
+
+Abogamos por resolver la seguridad en aplicaciones como un problema de personas, procesos y tecnología, ya que los enfoques más efectivos para la seguridad en aplicaciones requieren mejoras en todas estas áreas.
+
+OWASP es un nuevo tipo de organización. Nuestra libertad de presiones comerciales nos permite proveer información sobre seguridad en aplicaciones sin sesgos, práctica y rentable.
+
+OWASP no está afiliada con ninguna compañía de tecnología, aunque apoyamos el uso instruido de tecnologías de seguridad comercial. OWASP produce muchos tipos de materiales en una manera abierta y colaborativa.
+
+La Fundación OWASP es una entidad sin fines de lucro para asegurar el éxito a largo plazo del proyecto. Casi todos los asociados con OWASP son voluntarios, incluyendo la junta directiva de OWASP, comités globales, líderes de capítulos, los líderes y miembros de proyectos. Apoyamos la investigación innovadora sobre seguridad a través de becas e infraestructura.
+
+¡Únase a nosotros!
+
+## Copyright y Licencia
+
+![license](images/license.png)
+
+Copyright © 2003-2017 The OWASP Foundation.
+
+Este trabajo está licenciado bajo la [Licencia Internacional 4.0 de Creative Commons Attribution-ShareAlike][7]. Para cualquier caso de reuso o de distribución, debe dejar claro los términos de la licencia de esta obra.
+
+[1]: https://www.youtube.com/user/OWASPGLOBAL
+[2]: https://www.owasp.org/index.php/OWASP_Cheat_Sheet_Series
+[3]: https://www.owasp.org/index.php/OWASP_Chapter
+[4]: https://www.owasp.org/index.php/Category:OWASP_AppSec_Conference
+[5]: https://lists.owasp.org/mailman/listinfo
+[6]: https://www.owasp.org
+[7]: http://creativecommons.org/licenses/by-sa/4.0/
diff --git a/2019/es/src/0x02-foreword.md b/2019/es/src/0x02-foreword.md
@@ -0,0 +1,44 @@
+Prefacio
+========
+
+Un elemento fundamental de la innovación en el mundo actual basado en aplicaciones es la
+Interfaz de programación de aplicaciones (API por sus siglas en inglés). Desde bancos,
+minoristas y transporte hasta IoT, vehículos autónomos y ciudades inteligentes, las API
+son una parte fundamental de aplicaciones móviles, SaaS y web modernas y se pueden
+encontrar en las orientadas al cliente, internas y orientadas a socios.
+
+Por naturaleza, las API exponen la lógica de la aplicación y datos confidenciales como
+Información Personalmente Identificable (PII por sus siglas en inglés) y debido a esto,
+las API cada vez más se convierten en un objetivo para los atacantes.
+Sin API seguras, la innovación rápida sería imposible.
+
+Aunque un Top 10 más amplio de los riesgos de seguridad de una aplicación web todavía
+es relevante, debido a su naturaleza particular, se requiere una lista de riesgos de seguridad
+específicos de la API. La seguridad de API se centra en estrategias y soluciones para
+comprender y mitigar las vulnerabilidades únicas y riesgos de seguridad asociados con las API.
+
+Si está familiarizado con el [Proyecto Top 10 de OWASP][1], notará las
+similitudes entre ambos documentos: están destinados a la legibilidad y
+adopción. Si eres nuevo en la serie OWASP Top 10, quizás sea mejor que leas
+las secciones [Riesgos de seguridad API][2] y [Metodología y datos][3]
+antes de saltar a la lista del Top 10.
+
+Puede contribuir al OWASP API Security Top 10 con sus preguntas, comentarios,
+e ideas en nuestro repositorio de proyectos GitHub:
+
+* https://github.com/OWASP/API-Security/issues
+* https://github.com/OWASP/API-Security/blob/master/CONTRIBUTING.md
+
+Puede encontrar el Top 10 de seguridad de API OWASP aquí:
+
+* https://www.owasp.org/index.php/OWASP_API_Security_Project
+* https://github.com/OWASP/API-Security
+
+Queremos agradecer a todos los colaboradores que hicieron posible este proyecto con su
+esfuerzo y contribuciones. Todos están listados en la [Sección de Agradecimientos][4].
+¡Gracias!
+
+[1]: https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
+[2]: ./0x10-api-security-risks.md
+[3]: ./0xd0-about-data.md
+[4]: ./0xd1-acknowledgments.md
diff --git a/2019/es/src/0x03-introduction.md b/2019/es/src/0x03-introduction.md
@@ -0,0 +1,30 @@
+Introducción
+============
+
+## ¡Bienvenido a OWASP API Security Top 10 - 2019!
+
+Bienvenido a la primera edición de OWASP API Security Top 10. Si estás
+familiarizado con la serie OWASP Top 10, notarás algunas similitudes:
+La intención es la legibilidad y la adopción. De lo contrario, considera visitar
+[La página wiki de OWASP API Security Project][1], antes de profundizar en
+los riesgos más críticos de seguridad de APIs.
+
+Las APIs juegan un papel muy importante en la arquitectura de las aplicaciones
+modernas. Debido a que la creación de conciencia en el aspecto de seguridad y la
+innovación avanzan a diferentes ritmos, es importante enfocarse en las
+debilidades de seguridad que comúnmente se encuentran en las APIs.
+
+El objetivo principal de OWASP API Security Top 10 es educar a los involucrados
+en el desarrollo y mantenimiento de APIs, por ejemplo, desarrolladores,
+diseñadores, arquitectos, gerentes u organizaciones.
+
+En la sección [Metodología y datos][2], puedes leer más acerca de cómo esta
+primera edición se creó. En futuras versiones, queremos involucrar a la
+industria de seguridad, por medio de una convocatoria pública para recolectar
+datos. Por ahora, alentamos a todos a contribuir con preguntas, comentarios e
+ideas en nuestro [repositorio de GitHub][3] o mediante la [Lista de correo][4].
+
+[1]: https://www.owasp.org/index.php/OWASP_API_Security_Project
+[2]: ./0xd0-about-data.md
+[3]: https://github.com/OWASP/API-Security
+[4]: https://groups.google.com/a/owasp.org/forum/#!forum/api-security-project
diff --git a/2019/es/src/0x04-release-notes.md b/2019/es/src/0x04-release-notes.md
@@ -0,0 +1,25 @@
+Notas de la versión
+===================
+
+Esta es la primera edición de OWASP API Security Top 10, que planeamos actualizar
+periódicamente, cada tres o cuatro años.
+
+A diferencia de esta versión, en versiones futuras, queremos hacer una
+llamada pública para obtener datos, involucrando a la industria de la seguridad
+en este esfuerzo. En la sección [Metodología y datos][1], encontrará más detalles
+sobre cómo se creó esta versión. Para más detalles sobre los riesgos de seguridad,
+consulte la sección [Riesgos de seguridad de la API][2].
+
+Es importante darse cuenta de que en los últimos años, la arquitectura de
+las aplicaciones han cambiado significativamente. Actualmente, las API juegan
+un papel muy importante en esta nueva arquitectura de microservicios,
+aplicaciones de página única (SPA), aplicaciones móviles, IoT, etc.
+
+El OWASP API Security Top 10 fue un esfuerzo necesario para crear conciencia sobre
+problemas de seguridad API modernos. Solo fue posible debido a un gran esfuerzo de
+varios voluntarios, todos ellos enumerados en la sección [Agradecimientos][3].
+¡Gracias!
+
+[1]: ./0xd0-about-data.md
+[2]: ./0x10-api-security-risks.md
+[3]: ./0xd1-acknowledgments.md
diff --git a/2019/es/src/0x10-api-security-risks.md b/2019/es/src/0x10-api-security-risks.md
@@ -0,0 +1,40 @@
+Riesgos de seguridad en APIs
+==================
+
+La [Metodología de calificación de riesgo de OWASP][1] se utilizó para hacer el análisis de riesgo.
+
+La siguiente tabla resume la terminología asociada con la puntuación de riesgo.
+
+| Agente/Vector de Ataque	 | Explotabilidad | Prevalencia de Debilidad | Debilidad de Detectabilidad | Impacto Técnico | Impactos de Negocio |
+| :-: | :-: | :-: | :-: | :-: | :-: |
+| Específico de API | Fácil: **3** | Extendido **3** | Fácil **3** | Grave **3** | Específico de negocio |
+| Específico de API | Promedio: **2** | Común **2** | Promedio **2** | Moderado **2** | Específico de negocio |
+| Específico de API | Difícil: **1** | Difícil **1** | Difícil **1** | Menor **1** | Específico de negocio |
+
+**Nota**: Esta forma de hacerlo no toma en cuenta la probabilidad del agente de amenaza. Tampoco toma en cuenta ninguno de los diversos detalles técnicos asociados
+con una aplicación en particular. Cualquiera de estos factores podría afectar significativamente la probabilidad general de que un atacante encuentre y explote a una vulnerabilidad en particular. Esta calificación no toma en cuenta el impacto real en su negocio. Su organización tendrá que decidir cuánto riesgo de aplicaciones y APIs está dispuesta a aceptar dependiendo de su cultura, industria y entorno regulatorio. El propósito de OWASP API Security Top 10 no es hacer este análisis de riesgo por usted.
+
+## Referencias
+
+### OWASP
+
+* [Metodología de calificación de riesgo de OWASP][1]
+* [Artículo sobre amenazas / Modelación de riesgos][2]
+
+### Externos
+
+* [ISO 31000: Estándar de gestión de riesgos][3]
+* [ISO 27001: SGSI][4]
+* [NIST Cyber Framework (EE. UU.)][5]
+* [Mitigaciones estratégicas de ASD (AU)][6]
+* [NIST CVSS 3.0][7]
+* [Herramienta de modelado de amenazas de Microsoft][8]
+
+[1]: https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology
+[2]: https://www.owasp.org/index.php/Threat_Risk_Modeling
+[3]: https://www.iso.org/iso-31000-risk-management.html
+[4]: https://www.iso.org/isoiec-27001-information-security.html
+[5]: https://www.nist.gov/cyberframework
+[6]: https://www.asd.gov.au/infosec/mitigationstrategies.htm
+[7]: https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator
+[8]: https://www.microsoft.com/en-us/download/details.aspx?id=49168
diff --git a/2019/es/src/0x11-t10.md b/2019/es/src/0x11-t10.md
@@ -0,0 +1,15 @@
+OWASP Top 10 Riesgos de Seguridad en APIs - 2019
+======================================
+
+| Riesgo | Descripción |
+| ---- | ----------- |
+| API1: 2019 - Autorización a Nivel de Objeto Rota | Las APIs tienden a exponer métodos que manejan identificadores de objetos, creando así un problema con una superficie de ataque muy amplia en el control de acceso de nivel. Las comprobaciones de autorización a nivel de objeto deben considerarse en todas las funciones que acceden a una fuente de datos utilizando la entrada del usuario. |
+| API2: 2019 - Autenticación de Usuario Rota | Los mecanismos de autenticación a menudo se implementan incorrectamente, lo que permite a los atacantes comprometer los tokens de autenticación o explotar fallas de implementación para asumir las identidades de otros usuarios de manera temporal o permanente. Comprometer la capacidad del sistema para identificar al cliente / usuario también compromete la seguridad de la API en general. |
+| API3: 2019 - Exposición Excesiva de Datos | Al esperar implementaciones genéricas, los desarrolladores tienden a exponer todas las propiedades de los objetos sin considerar su sensibilidad individual, confiando en que los clientes realicen un filtro de datos antes de mostrarlo al usuario. |
+| API4: 2019 - Falta de recursos y Límite de Velocidad | Muy a menudo, las APIs no imponen ninguna restricción sobre el tamaño o la cantidad de recursos que puede solicitar el cliente / usuario. Esto no solo afecta el rendimiento del servidor de la API, lo que puede llevar a la denegación de servicio (DoS), sino que también deja la puerta abierta a fallas de autenticación como ataques de fuerza bruta. |
+| API5: 2019 - Autorización rota a nivel de función | Políticas complejas de control de acceso con diferentes jerarquías, grupos y roles, y una separación poco clara entre las funciones administrativas y regulares, tienden a llevar a fallas de autorización. Al explotar estos problemas, los atacantes obtienen acceso a los recursos y / o funciones de otros usuarios o a funciones administrativas. |
+| API6: 2019 - Asignación Masiva | La vinculación de datos proporcionados por el cliente (por ejemplo, JSON) a modelos de datos, sin un filtrado de propiedades adecuado basado en una lista blanca, generalmente conduce a la asignación masiva. Adivinar propiedades de objetos, explorar otros métodos expuestos de la API, leer la documentación o proporcionar propiedades de objetos adicionales en el cuerpo de las solicitudes, permite a los atacantes modificar las propiedades de objetos que no deberían ser alterados. |
+| API7: 2019 - Configuración Incorrecta de Seguridad | La configuración incorrecta de seguridad suele ser el resultado de usar configuraciones predeterminadas no seguras, configuraciones incompletas o ad-hoc, almacenamiento abierto en la nube, encabezados HTTP mal configurados, métodos HTTP innecesarios, uso compartido de recursos de origen cruzado permisivo (CORS) y mensajes de error detallados que contienen información sensible. |
+| API8: 2019 - Inyección | Los defectos de inyección, como SQL, NoSQL, Inyección de comandos, etc., ocurren cuando se envían datos no confiables a un intérprete como parte de un comando o consulta. Los datos maliciosos del atacante pueden engañar al intérprete para que ejecute comandos no deseados o que acceda a los datos sin autorización adecuada. |
+| API9: 2019 - Control de Acceso Inadecuado | Las APIs tienden a exponer más métodos que las aplicaciones web tradicionales, lo que hace que la documentación adecuada y actualizada sea muy importante. Los hosts adecuados y el inventario de versiones de las APIs implementadas también juegan un rol importante para mitigar problemas como utilizar versiones de APIs que ya no reciben mantenimiento y exponer métodos que solo deben de ser usados de manera interna y en el ambiente de desarrollo. |
+| API10: 2019 - Registro y Monitoreo Insuficiente | El registro y monitoreo insuficiente, junto con la falta o ineficiencia de una integración a una estrategia de respuesta a incidentes, permite a los atacantes atacar aún más los sistemas, mantener persistencia, pasar a otros sistemas para manipular, extraer o destruir datos. La mayoría de los estudios demuestran que el tiempo para detectar una filtración de datos es superior a 200 días. Generalmente es detectada por externos en lugar de que sea por medio de procesos internos o monitoreo.