webapp-cards-2.1-es.yaml

---
meta:
  edition: "webapp"
  component: "cards"
  language: "ES"
  version: "2.1"
suits:
-
  id: "VE"
  name: "VALIDACIÓN DE DATOS & CODIFICACIÓN"
  cards:
  -
    id: "VE2"
    value: "2"
    url: "https://cornucopia.owasp.org/cards/VE2"
    desc: "Brian puede reunir información sobre las principales configuraciones: esquemas, lógicas, código, software, servicios e infraestructura debido al contenido de mensajes de error, configuración deficiente, a la presencia de archivos de instalación predeterminados o antiguos, prueba, copia de seguridad o los recursos, o exposición de código fuente"
  -
    id: "VE3"
    value: "3"
    url: "https://cornucopia.owasp.org/cards/VE3"
    desc: "Robert puede ingresar datos maliciosos porque el formato de protocolo permitido no está siendo revisado, los duplicados son aceptados, la estructura no está siendo validada, los elementos de datos individuales no están siendo validados por: formato, tipo, rango, longitud y una lista blanca de formatos o caracteres permitidos"
  -
    id: "VE4"
    value: "4"
    url: "https://cornucopia.owasp.org/cards/VE4"
    desc: "Dave puede ingresar datos o nombres maliciosos en campos porque actualmente no hay una revisión o monitoreo a nivel de usuario o proceso"
  -
    id: "VE5"
    value: "5"
    url: "https://cornucopia.owasp.org/cards/VE5"
    desc: "Jee puede eludir las rutinas de codificación centralizadas, ya que dichas rutinas no son usadas por todos los activos o se están utilizando codificaciones incorrectas"
  -
    id: "VE6"
    value: "6"
    url: "https://cornucopia.owasp.org/cards/VE6"
    desc: "Jason puede eludir las rutinas de validación centralizadas, ya que no se utilizan en todas las entradas"
  -
    id: "VE7"
    value: "7"
    url: "https://cornucopia.owasp.org/cards/VE7"
    desc: "Jan puede crear cargas especiales para frustrar la validación de entrada, porque el conjunto de caracteres no es especificado/aplicado, los datos se codifican varias veces, los datos no están completamente transformados en el mismo formato que la aplicación usa (p. ej. canonicalización) antes de ser validados, o las variables no están configuradas de manera robusta"
  -
    id: "VE8"
    value: "8"
    url: "https://cornucopia.owasp.org/cards/VE8"
    desc: "Oana puede pasar por alto las rutinas de sanitización centralizadas ya que no están siendo utilizadas exhaustivamente"
  -
    id: "VE9"
    value: "9"
    url: "https://cornucopia.owasp.org/cards/VE9"
    desc: "Shamun puede pasar por alto los checks de validaciones de entrada o salida porque los fallos en las validaciones no son rechazados y/o sanitizados"
  -
    id: "VEX"
    value: "10"
    url: "https://cornucopia.owasp.org/cards/VEX"
    desc: "Darío puede explotar la confianza que la aplicación deposita en una fuente de datos (por ejemplo, datos definibles por el usuario, manipulación de datos almacenados localmente, alteración de los datos del estado en un dispositivo cliente, falta de verificación de identidad durante la validación de datos, como Darío puede pretender ser Colin)"
  -
    id: "VEJ"
    value: "J"
    url: "https://cornucopia.owasp.org/cards/VEJ"
    desc: "Toby tiene control sobre la validación de entrada, la validación de salida o código de codificación de salida o rutinas para que puedan ser evitados"
  -
    id: "VEQ"
    value: "Q"
    url: "https://cornucopia.owasp.org/cards/VEQ"
    desc: "Xavier puede inyectar datos en el lado del cliente o en el dispositivo porque no se está utilizando una interfaz parametrizada, o no ha sido implementada correctamente, o los datos no han sido codificados correctamente, o no hay una política restrictiva en el código o los datos incluidos"
  -
    id: "VEK"
    value: "K"
    url: "https://cornucopia.owasp.org/cards/VEK"
    desc: "Gabe puede inyectar datos en un intérprete del lado del servidor (por ejemplo, SQL, comandos del sistema operativo, Xpath, servidor JavaScript, SMTP) porque no se está utilizando una interfaz parametrizada fuertemente tipificada o no se ha implementado correctamente"
  -
    id: "VEA"
    value: "A"
    url: "https://cornucopia.owasp.org/cards/VEA"
    desc: "Has creado un nuevo ataque contra Validación de Datos y Codificación"
    misc: "Lea más sobre este tema en Cheat Sheets de OWASP libre, XSS Prevención, basada en DOM Prevención XSS, SQL Prevención de inyecciones, y Parametrización de consultas"
-
  id: "AT"
  name: "AUTENTICACIÓN"
  cards:
  -
    id: "AT2"
    value: "2"
    url: "https://cornucopia.owasp.org/cards/AT2"
    desc: "James puede emprender funciones de autenticación sin que el usuario real se dé cuenta alguna vez de lo ocurrido (por ejemplo, intento de logueo, inicio de sesión con credenciales robadas, restablecimiento de la contraseña)"
  -
    id: "AT3"
    value: "3"
    url: "https://cornucopia.owasp.org/cards/AT3"
    desc: "Muhammad puede obtener una contraseña de usuario u otros secretos tales como preguntas de seguridad, por observación durante el ingreso o desde el cache, o desde la memoria, o en tránsito, o leyéndolo de alguna ubicación desprotegida, o porque es ampliamente conocido, o porque nunca caduca, o porque el usuario no puede cambiar su propia contraseña"
  -
    id: "AT4"
    value: "4"
    url: "https://cornucopia.owasp.org/cards/AT4"
    desc: "Sebastien puede fácilmente identificar nombres de usuario o puede enumerarlos"
  -
    id: "AT5"
    value: "5"
    url: "https://cornucopia.owasp.org/cards/AT5"
    desc: "Javier puede usar credenciales por defecto, de prueba o fáciles de adivinar para autenticar, o puede usar una cuenta antigua o una cuenta no necesaria para la aplicación"
  -
    id: "AT6"
    value: "6"
    url: "https://cornucopia.owasp.org/cards/AT6"
    desc: "Sven puede reutilizar contraseñas temporales porque el usuario no realizó el cambio en el primer logueo. o tiene demasiado tiempo y no tiene vencimiento, o no usa un método correcto de entrega  (por ejemplo, publicación, aplicación móvil, SMS)"
  -
    id: "AT7"
    value: "7"
    url: "https://cornucopia.owasp.org/cards/AT7"
    desc: "Cecilia puede usar ataques de  fuerza bruta y ataques de diccionario sin límites contra uno o muchas cuentas, o estos ataques se simplifican debido a una complejidad insuficiente, longitud, caducidad inadecuada y reutilización de requisitos para las contraseñas"
  -
    id: "AT8"
    value: "8"
    url: "https://cornucopia.owasp.org/cards/AT8"
    desc: "Kate puede pasar por alto la autenticación porque ésta no falla de forma segura (es decir, por defecto permite acceso no autenticado)"
  -
    id: "AT9"
    value: "9"
    url: "https://cornucopia.owasp.org/cards/AT9"
    desc: "Claudia puede utilizar Funciones más críticas porque los requisitos de autenticación son demasiado débiles (por ejemplo, no usa autenticación robusta como el doble factor), o no hay requisitos de re-autenticación para éstos"
  -
    id: "ATX"
    value: "10"
    url: "https://cornucopia.owasp.org/cards/ATX"
    desc: "Pravin puede omitir el control de autenticación porque no se está utilizando un módulo/framework/servicio de autenticación centralizado, estándar, testeado, probado y aprobado, separado del recurso solicitado"
  -
    id: "ATJ"
    value: "J"
    url: "https://cornucopia.owasp.org/cards/ATJ"
    desc: "Mark puede acceder a los recursos o servicios porque no hay requisitos de autenticación, o fue asumido erróneamente que la autentificación sería realizada por algún otro sistema o realizada en alguna acción previa"
  -
    id: "ATQ"
    value: "Q"
    url: "https://cornucopia.owasp.org/cards/ATQ"
    desc: "Johan puede omitir la autenticación porque no se aplica con igual rigor para todos los tipos de funcionalidad de autenticación (por ejemplo, registro, cambio de contraseña, recuperación de contraseña, cierre de sesión, administración) o en todas las versiones / canales (por ejemplo, sitio web móvil, aplicación móvil, sitio web completo, API, call center)"
  -
    id: "ATK"
    value: "K"
    url: "https://cornucopia.owasp.org/cards/ATK"
    desc: "Olga puede influir o alterar el código o rutina de autenticación o puede evitarlo"
  -
    id: "ATA"
    value: "A"
    url: "https://cornucopia.owasp.org/cards/ATA"
    desc: "Usted tiene inventado un nuevo ataque contra la Autenticación"
    misc: "Leer mas sobre este tema en OWASP's free Authentication Cheat Sheet"
-
  id: "SM"
  name: "GESTIÓN DE SESIÓN"
  cards:
  -
    id: "SM2"
    value: "2"
    url: "https://cornucopia.owasp.org/cards/SM2"
    desc: "William tiene el control sobre la generación de identificadores de sesión"
  -
    id: "SM3"
    value: "3"
    url: "https://cornucopia.owasp.org/cards/SM3"
    desc: "Ryan puede usar una sola cuenta en paralelo ya que permite sesiones concurrentes"
  -
    id: "SM4"
    value: "4"
    url: "https://cornucopia.owasp.org/cards/SM4"
    desc: "Alison puede configurar cookies de identificación de sesión en otra aplicación web porque el dominio y la ruta no están suficientemente restringidos"
  -
    id: "SM5"
    value: "5"
    url: "https://cornucopia.owasp.org/cards/SM5"
    desc: "John puede predecir o adivinar los identificadores de sesión porque no se cambian cuando se modifica la función del usuario (por ejemplo, la autenticación previa y posterior) y cuando se cambia entre comunicaciones no cifradas y cifradas, o no son lo suficientemente largas y aleatorias, o no se cambian periódicamente"
  -
    id: "SM6"
    value: "6"
    url: "https://cornucopia.owasp.org/cards/SM6"
    desc: "Gary puede hacerse cargo de la sesión de un usuario porque hay un tiempo de espera de inactividad largo o nulo, un límite de tiempo de sesión general largo o nulo, o la misma sesión puede usarse desde más de un dispositivo / ubicación"
  -
    id: "SM7"
    value: "7"
    url: "https://cornucopia.owasp.org/cards/SM7"
    desc: "Graham puede utilizar la sesión de Adam después de que haya terminado, porque no hay una función de cierre de sesión, o no puede cerrar sesión fácilmente, o el cierre de sesión no termina la sesión correctamente"
  -
    id: "SM8"
    value: "8"
    url: "https://cornucopia.owasp.org/cards/SM8"
    desc: "Matt puede abusar de sesiones largas porque la aplicación no requiere una autenticación periódica para verificar si los privilegios han cambiado"
  -
    id: "SM9"
    value: "9"
    url: "https://cornucopia.owasp.org/cards/SM9"
    desc: "Ivan puede robar identificadores de sesión porque se envían a través de canales inseguros, se registran, se revelan en mensajes de error, se incluyen en URL o son accesibles de manera innecesaria mediante el código que el atacante puede influir o modificar"
  -
    id: "SMX"
    value: "10"
    url: "https://cornucopia.owasp.org/cards/SMX"
    desc: "Marce puede forjar solicitudes porque las sesiones por sesión o por acciones más críticas, los tokens aleatorios fuertes (es decir, los tokens anti-CSRF) o similares no se utilizan para acciones que cambian de estado"
  -
    id: "SMJ"
    value: "J"
    url: "https://cornucopia.owasp.org/cards/SMJ"
    desc: "Jeff puede reenviar una interacción de repetición idéntica (por ejemplo, solicitud HTTP, señal, pulsación de botón) y se acepta, no se rechaza"
  -
    id: "SMQ"
    value: "Q"
    url: "https://cornucopia.owasp.org/cards/SMQ"
    desc: "Salim puede omitir la administración de sesiones porque no se aplica de manera integral y coherente en toda la aplicación"
  -
    id: "SMK"
    value: "K"
    url: "https://cornucopia.owasp.org/cards/SMK"
    desc: "Peter puede omitir los controles de administración de la sesión porque se construyeron por sí mismos y / o son débiles, en lugar de usar un marco estándar o un módulo aprobado aprobado"
  -
    id: "SMA"
    value: "A"
    url: "https://cornucopia.owasp.org/cards/SMA"
    desc: "Has inventado un nuevo ataque contra la Gestión de Sesión"
    misc: "Read more about this topic in OWASP's free Cheat Sheets on Session Management, and Cross Site Request Forgery (CSRF) Prevention"
-
  id: "AZ"
  name: "AUTORIZACIÓN"
  cards:
  -
    id: "AZ2"
    value: "2"
    url: "https://cornucopia.owasp.org/cards/AZ2"
    desc: "Tim puede influir a donde se envía o reenvía la data"
  -
    id: "AZ3"
    value: "3"
    url: "https://cornucopia.owasp.org/cards/AZ3"
    desc: "Christian puede acceder a información, a la que no debería tener permiso, a través de otro mecanismo al que sí tiene permiso (por ejemplo, indexador de búsqueda, registrador, reporte), o porque está en caché, o guardada por más tiempo del necesario u otro medio de fuga de información"
  -
    id: "AZ4"
    value: "4"
    url: "https://cornucopia.owasp.org/cards/AZ4"
    desc: "Kelly puede eludir los controles de autorización porque no fallan de forma segura (es decir, por defecto permiten el acceso)"
  -
    id: "AZ5"
    value: "5"
    url: "https://cornucopia.owasp.org/cards/AZ5"
    desc: "Chad puede acceder a los recursos (incluidos servicios, procesos, AJAX, Flash, video, imágenes, documentos, archivos temporales, datos de sesión, propiedades del sistema, datos de configuración, registro de configuración, logs) a los que no debería poder acceder debido a la falta de autorización, o debido a privilegios excesivos(por ejemplo, no usar el principio de menor privilegio)"
  -
    id: "AZ6"
    value: "6"
    url: "https://cornucopia.owasp.org/cards/AZ6"
    desc: "Eduardo puede acceder a los datos a los que él no tiene permiso, incluso aunque tiene permiso para formulario / página / URL / punto de entrada"
  -
    id: "AZ7"
    value: "7"
    url: "https://cornucopia.owasp.org/cards/AZ7"
    desc: "Yuanjing puede acceder a funciones de la aplicación, objetos o propiedades a las que él no está autorizado para acceder"
  -
    id: "AZ8"
    value: "8"
    url: "https://cornucopia.owasp.org/cards/AZ8"
    desc: "Tom puede omitir las reglas de negocios al alterar la secuencia o flujo de proceso habitual, o realizar el proceso en el orden incorrecto, o manipular los valores de fecha y hora utilizados por la aplicación, o usar características válidas para propósitos no intencionados, o manipulando los datos de control"
  -
    id: "AZ9"
    value: "9"
    url: "https://cornucopia.owasp.org/cards/AZ9"
    desc: "Mike puede hacer uso incorrecto de una aplicación al usar una función válida demasiado rápido, o con demasiada frecuencia, o de otra forma sin intención, o que consuma los recursos de la aplicación, o cause condiciones de carrera, o sobreutilice una función"
  -
    id: "AZX"
    value: "10"
    url: "https://cornucopia.owasp.org/cards/AZX"
    desc: "Richard puede eludir los controles de autorización centralizados ya que no están siendo utilizados exhaustivamente en todas las interacciones"
  -
    id: "AZJ"
    value: "J"
    url: "https://cornucopia.owasp.org/cards/AZJ"
    desc: "Dinis puede acceder a la información de configuración de seguridad, o listas de control de acceso"
  -
    id: "AZQ"
    value: "Q"
    url: "https://cornucopia.owasp.org/cards/AZQ"
    desc: "Christopher puede inyectar un comando para que la aplicación se ejecute con un nivel de privilegios más alto"
  -
    id: "AZK"
    value: "K"
    url: "https://cornucopia.owasp.org/cards/AZK"
    desc: "Ryan puede influir o alterar controles y permisos de autorización, y por ende puede "
  -
    id: "AZA"
    value: "A"
    url: "https://cornucopia.owasp.org/cards/AZA"
    desc: "Has inventado un nuevo ataque contra la Autorización"
    misc: "Read more about this topic in OWASP's Development and Testing Guides"
-
  id: "CR"
  name: "CRIPTOGRAFÍA"
  cards:
  -
    id: "CR2"
    value: "2"
    url: "https://cornucopia.owasp.org/cards/CR2"
    desc: "Kyun puede acceder a los datos porque ha sido ofuscado en lugar de utilizar una función criptográfica aprobada"
  -
    id: "CR3"
    value: "3"
    url: "https://cornucopia.owasp.org/cards/CR3"
    desc: "Axel puede modificar datos transitorios o permanentes (almacenados o en tránsito), código fuente, actualizaciones / parches o datos de configuración, ya que no están sujetos a verificación de integridad"
  -
    id: "CR4"
    value: "4"
    url: "https://cornucopia.owasp.org/cards/CR4"
    desc: "Paulo puede acceder a datos en tránsito que no están encriptados, incluso aunque el canal está encriptado"
  -
    id: "CR5"
    value: "5"
    url: "https://cornucopia.owasp.org/cards/CR5"
    desc: "Kyle puede pasar por alto controles criptográficos porque estos no fallan de forma segura (es decir, por defecto no protegen)"
  -
    id: "CR6"
    value: "6"
    url: "https://cornucopia.owasp.org/cards/CR6"
    desc: "Romain puede leer y modificar datos sin cifrar en la memoria o en tránsito (por ejemplo, secretos criptográficos, credenciales, identificadores de sesión, datos personales y comerciales), en uso o en comunicaciones dentro de la aplicación, o entre la aplicación y los usuarios, o entre la aplicación y sistemas externos"
  -
    id: "CR7"
    value: "7"
    url: "https://cornucopia.owasp.org/cards/CR7"
    desc: "Gunter puede interceptar o modificar datos encriptados en tránsito porque el protocolo está mal implementado o configurado de manera débil, o los certificados no son válidos, los certificados no son confiables o la conexión puede degradarse a una comunicación más débil o no encriptada"
  -
    id: "CR8"
    value: "8"
    url: "https://cornucopia.owasp.org/cards/CR8"
    desc: "Eoin puede acceder a los datos comerciales almacenados (por ejemplo, contraseñas, identificadores de sesión, PII, datos del titular de la tarjeta) porque no está cifrado de forma segura ni hash de forma segura"
  -
    id: "CR9"
    value: "9"
    url: "https://cornucopia.owasp.org/cards/CR9"
    desc: "Andy puede omitir la generación de números aleatorios, la generación aleatoria de GUID, el hash y las funciones de cifrado porque han sido construidos por sí mismos y / o son débiles"
  -
    id: "CRX"
    value: "10"
    url: "https://cornucopia.owasp.org/cards/CRX"
    desc: "Susanna puede romper la criptografía en uso porque no es lo suficientemente fuerte para el grado de protección requerido, o no lo es para la cantidad de esfuerzo que el atacante está dispuesto a hacer"
  -
    id: "CRJ"
    value: "J"
    url: "https://cornucopia.owasp.org/cards/CRJ"
    desc: "Justin puede leer las credenciales para acceder a recursos, servicios y otros sistemas internos o externos porque se almacenan en un formato no cifrado o se guardan en el código fuente"
  -
    id: "CRQ"
    value: "Q"
    url: "https://cornucopia.owasp.org/cards/CRQ"
    desc: "Artim puede acceder o predecir los algoritmos o llaves de los secretos criptográficos"
  -
    id: "CRK"
    value: "K"
    url: "https://cornucopia.owasp.org/cards/CRK"
    desc: "Dan puede influir o alterar el código / las rutinas criptográficas (cifrado, hash, firmas digitales, números aleatorios y generación de GUID) y, por lo tanto, puede omitirlos"
  -
    id: "CRA"
    value: "A"
    url: "https://cornucopia.owasp.org/cards/CRA"
    desc: "Has inventado un nuevo ataque contra la Criptografía"
    misc: "Read more about this topic in OWASP's free Cheat Sheets on Cryptographic Storage, and Transport Layer Protection"
-
  id: "C"
  name: "CORNUCOPIA"
  cards:
  -
    id: "C2"
    value: "2"
    url: "https://cornucopia.owasp.org/cards/C2"
    desc: "Lee puede omitir los controles de la aplicación porque se han usado funciones de programación peligrosas/riesgosas en lugar de alternativas más seguras, errores de conversión de tipo, porque la aplicación no es confiable porque un recurso externo no está disponible, o por las problemas con condición de carrera, - inicialización / asignación de recursos o - desbordamientos"
  -
    id: "C3"
    value: "3"
    url: "https://cornucopia.owasp.org/cards/C3"
    desc: "Andrew puede acceder al código fuente, o descompilar, o de otro modo acceder a la lógica de negocio para entender cómo la aplicación y cualquier secreto contenido funciona"
  -
    id: "C4"
    value: "4"
    url: "https://cornucopia.owasp.org/cards/C4"
    desc: "Keith puede realizar una acción y no es posible atribuirla a él"
  -
    id: "C5"
    value: "5"
    url: "https://cornucopia.owasp.org/cards/C5"
    desc: "Larry puede influir en la confianza que otras partes, incluidos los usuarios tienen en la aplicación, o abusar de esa confianza en otra parte (por ejemplo, en otra aplicación)"
  -
    id: "C6"
    value: "6"
    url: "https://cornucopia.owasp.org/cards/C6"
    desc: "Aaron puede omitir los controles porque falta el manejo de errores/excepciones, o se implementa de manera inconsistente o parcial, o no niega el acceso por defecto (es decir, los errores deben terminar el acceso / ejecución), o se basan en el manejo por parte de otro servicio o sistema"
  -
    id: "C7"
    value: "7"
    url: "https://cornucopia.owasp.org/cards/C7"
    desc: "Las acciones de Mwengu no se pueden investigar porque no hay un registro adecuado de los eventos de seguridad con una marca de tiempo adecuada, o no hay un registro de auditoría completo, o Mwengu puede modificarlas o eliminarlas, o no existe un servicio de registro centralizado"
  -
    id: "C8"
    value: "8"
    url: "https://cornucopia.owasp.org/cards/C8"
    desc: "David puede omitir la aplicación para obtener acceso a los datos debido a que la red y la infraestructura del host, y los servicios/aplicaciones compatibles, no se han configurado de manera segura, la configuración no se verificó periódicamente ni se aplicaron parches de seguridad, los datos se almacenaron localmente o no se guardaron protegidos físicamente"
  -
    id: "C9"
    value: "9"
    url: "https://cornucopia.owasp.org/cards/C9"
    desc: "Michael puede pasar por alto la aplicación para acceder a los datos porque las herramientas administrativas o las interfaces administrativas no están  aseguradas adecuadamente"
  -
    id: "CX"
    value: "10"
    url: "https://cornucopia.owasp.org/cards/CX"
    desc: "Spyros puede eludir los controles de la aplicación porque los frameworks de código, librerías y componentes contienen código malicioso o vulnerabilidades (por ejemplo, inhouse, software comercial, servicio tercerizado, de código abierto, ubicado externamente)"
  -
    id: "CJ"
    value: "J"
    url: "https://cornucopia.owasp.org/cards/CJ"
    desc: "Roman puede explotar la aplicación porque fue compilada utilizando herramientas obsoletas, o su configuración no es segura por defecto, o la seguridad de la información no fue documentada y pasada a equipos operacionales"
  -
    id: "CQ"
    value: "Q"
    url: "https://cornucopia.owasp.org/cards/CQ"
    desc: "Jim puede emprender acciones maliciosas, no normales sin detección y respuesta por la aplicación en tiempo real"
  -
    id: "CK"
    value: "K"
    url: "https://cornucopia.owasp.org/cards/CK"
    desc: "Grant puede utilizar la aplicación para negar el servicio a algunos o todos sus usuarios"
  -
    id: "CA"
    value: "A"
    url: "https://cornucopia.owasp.org/cards/CA"
    desc: "Has inventado un nuevo ataque de cualquier tipo"
    misc: "Read more about application security in OWASP's free Guides on Requirements, Development, Code Review and Testing, the Cheat Sheet series, and the Open Software Assurance Maturity Model"
-
  id: "WC"
  name: "COMODÍN"
  cards:
  -
    id: "JOA"
    value: "A"
    url: "https://cornucopia.owasp.org/cards/JOA"
    card: "Joker"
    desc: "Alice puede utilizar la aplicación para atacar los sistemas y datos de los usuarios."
    misc: "Has pensado convertirte en un individuo Miembro de OWASP? Todas las herramientas, orientación y reuniones locales son gratis para todos, pero la membresía individual ayuda Apoyar el trabajo de OWASP."
  -
    id: "JOB"
    value: "B"
    url: "https://cornucopia.owasp.org/cards/JOB"
    card: "Joker"
    desc: "Bob puede influir, alterar o afectar la aplicación para que ya no cumpla con mandatos legales, regulatorios, contractuales u otros mandatos organizacionales"
    misc: "Examine las vulnerabilidades y descubre cómo se pueden arreglar usando OWASP Juice Shop, Security Shepherd, o utilizando los desafíos en línea en el OWASP hacking-lab gratis"
paragraphs:
-
  id: "Common"
  name: "Common"
  sentences:
  -
    id: "NoCard"
    text: "No Tarjeta"
  -
    id: "Title"
    text: "Website App Edition v2.1-ES"
  -
    id: "Title_full"
    text: "OWASP® Cornucopia Website App Edition v2.1-ES"
  -
    id: "T00005"
    text: "Índice"
  -
    id: "T00010"
    text: "OWASP® Cornucopia es un mecanismo para asistir a los equipos de desarrollo de software en la identificación de requerimientos de seguridad en procesos de desarrollo de software ágiles, convencionales y formales."
  -
    id: "T00020"
    text: "Author"
  -
    id: "T00030"
    text: "Project Leaders "
  -
    id: "T00100"
    text: "Reconocimientos del proyecto"
  -
    id: "T00110"
    text: "Adam Shostack y el equipo de Microsoft SDL para el “Juego de Modelado de Amenazas Elevation of Privilege”, publicado bajo una licencia Creative Commons Attribution, como inspiración para Cornucopia y del que se copiaron muchas ideas, especialmente la teoría de juego."
  -
    id: "T00120"
    text: "Keith Turpin y colaboradores de las “Prácticas de codificación segura de OWASP® - Guía de referencia rápida”, originalmente donada a OWASP por Boeing, que se utiliza como fuente principal de información sobre requisitos de seguridad para formular el contenido de las tarjetas."
  -
    id: "T00130"
    text: "Colaboradores, patrocinadores y voluntarios de los proyectos OWASP® ASVS, AppSensor y Web Framework Security Matrix, la enumeración y clasificación de patrones de ataque común de Mitre (CAPEC) y las \"historias prácticas de seguridad y tareas de seguridad para entornos de desarrollo ágiles\" de SAFECode, que se utilizan en las referencias cruzadas proporcionadas."
  -
    id: "T00140"
    text: "Playgen por brindar un seminario esclarecedor por la tarde sobre gamificación de tareas, y tartanmaker.com por la herramienta en línea para ayudar a crear el patrón del dorso de la tarjeta."
  -
    id: "T00150"
    text: "Blackfoot (UK) Limited por crear y donar archivos de diseño listos para imprimir, Tom Brennan y la Fundación OWASP® por instigar la creación de una caja y un folleto con la marca OWASP, y Secure Delivery Ltd por desarrollar y donar Copi, la plataforma para jugar Cornucopia y EoP en línea."
  -
    id: "T00161"
    text: "(continúa en la página 20)"
  -
    id: "T00162"
    text: "(continúa de la página 10)"
  -
    id: "T00170"
    text: "Colin Watson como autor y líder del coproyecto con Grant Ongers, junto con otros voluntarios de OWASP que han ayudado de muchas maneras."
  -
    id: "T00180"
    text: "OWASP no respalda ni recomienda productos o servicios comerciales © 2012-2025 Fundación OWASP® Este documento está bajo la licencia Creative Commons Attribution-ShareAlike 3.0"
  -
    id: "T00200"
    text: "Introducción"
  -
    id: "T00210"
    text: "La idea detrás de Cornucopia es ayudar a los equipos de desarrollo, especialmente aquellos que usan metodologías ágiles, a identificar los requisitos de seguridad de las aplicaciones y desarrollar historias de usuarios basadas en la seguridad. "
  -
    id: "T00220"
    text: "Aunque la idea había estado esperando mucho tiempo para progresar, la motivación final llegó cuando SAFECode publicó sus Historias Prácticas de Seguridad y Tareas de seguridad para entornos de desarrollo ágil en julio de 2012."
  -
    id: "T00230"
    text: "El equipo SDL de Microsoft ya había publicado su súper Elevación de Privilegios: el juego de Modelado de Amenazas (EoP), pero eso no parecía abordar el tipo de problemas más apropiado que los equipos de desarrollo de aplicaciones web, en su mayoría, tienen que enfrentar. "
  -
    id: "T00240"
    text: "EoP es un gran concepto y estrategia de juego, y fue publicado bajo una Licencia de Creative Commons Attribution."
  -
    id: "T00250"
    text: "Cornucopia Website App Edition se basa en los conceptos e ideas de juegos de EoP, pero se han modificado para que sean más relevantes para los tipos de problemas que enfrentan los desarrolladores de sitios web de comercio electrónico."
  -
    id: "T00260"
    text: "Intenta introducir ideas de modelado de amenazas en los equipos de desarrollo que utilizan metodologías ágiles, o están más enfocados en las debilidades de las aplicaciones web que otros tipos de vulnerabilidades de software o no están familiarizados con STRIDE y DREAD. "
  -
    id: "T00270"
    text: "Cornucopia Website App Edition es referenciada como un recurso de información en el PCI Security Standard Council's Supplement Information PCI DSS E-commerce Guidelines, v2, enero de 2013."
  -
    id: "T00300"
    text: "El mazo de cartas (paquete)"
  -
    id: "T00310"
    text: "A diferencia del juego EoP de STRIDE (juegos de tarjetas con diseños asociados), las cartas de Cornucopia se basan en la estructura de las Prácticas de codificación segura de OWASP® - Guía de referencia rápida (SCP), pero con una consideración adicional de las secciones en el Estándar de verificación de seguridad de aplicaciones de OWASP® ASVS, la Guía de pruebas de OWASP® y Principios de desarrollo seguro de David Rook."
  -
    id: "T00320"
    text: "Estos proporcionaron cinco dominios, y un sexto llamado \"Cornucopia\" fue creado para todo lo demás:"
  -
    id: "T00330"
    text: "Validación de Datos & Codificación (VE)"
  -
    id: "T00340"
    text: "Autenticación (AT)"
  -
    id: "T00350"
    text: "Gestión de Sesión (SM)"
  -
    id: "T00360"
    text: "Autorización (AZ)"
  -
    id: "T00370"
    text: "Criptografía (CR)"
  -
    id: "T00380"
    text: "Cornucopia (C)"
  -
    id: "T00390"
    text: "Similar a las cartas de póker, cada palo contiene 13 cartas (As, 2 10, Jack, Queen y King) pero, a diferencia de EoP, también hay dos cartas Joker. "
  -
    id: "T00400"
    text: "El contenido se extrajo principalmente del SCP."
  -
    id: "T00500"
    text: "Mapeos"
  -
    id: "T00510"
    text: "La motivación para Cornucopia es vincular los ataques con los requisitos y las técnicas de verificación."
  -
    id: "T00520"
    text: "Un objetivo inicial había sido hacer referencia a los ID de debilidad de CWE, pero estos resultaron ser demasiados, y en su lugar se decidió asignar cada tarjeta a los ID de patrón de ataque de software CAPEC, que a su vez se relacionan a CWE, por lo que se logra el resultado deseado."
  -
    id: "T00530"
    text: "Cada tarjeta también se asocia a las 36 historias de seguridad principales en el documento SAFECode, así como a OWASP® SCP v2, ASVS v4.0 y AppSensor (detección y respuesta de ataques de aplicaciones) para ayudar a los equipos a crear sus propias historias relacionadas con la seguridad para su uso en procesos ágiles."
  -
    id: "T00600"
    text: "Estrategia de Juego"
  -
    id: "T00610"
    text: "Además de las diferencias de contenido, las reglas del juego son prácticamente idénticas a las de EoP."
  -
    id: "T00700"
    text: "imprimiendo las tarjetas"
  -
    id: "T00710"
    text: "Consulte la página del proyecto Cornucopia para saber cómo obtener barajas preimpresas en cartulina brillante."
  -
    id: "T00720"
    text: "Las tarjetas se pueden imprimir a partir de este documento en blanco y negro, pero son más efectivas en color."
  -
    id: "T00730"
    text: "Las tarjetas de las páginas posteriores de este documento se han diseñado para que quepan en un tipo de hojas de tarjetas de visita A4 precortadas. "
  -
    id: "T00740"
    text: "Esta parecía ser la forma más rápida de empezar a crear cartas rápidamente. "
  -
    id: "T00750"
    text: "Los códigos de producto Avery C32015 y C32030 se han probado con éxito, pero cualquier tarjeta de 10 hasta 85 mm x 54 mm en papel A4 debería funcionar con un pequeño ajuste."
  -
    id: "T00760"
    text: "Otros proveedores de artículos de papelería como Ryman y Sigel producen hojas similares."
  -
    id: "T00770"
    text: "Estas hojas de tarjetas no son económicas, por lo que se debe tener cuidado al decidir qué imprimir y utilizar qué soporte y tipo de impresora."
  -
    id: "T00780"
    text: "Por supuesto, las tarjetas pueden imprimirse en cualquier tamaño de papel o tarjeta y luego cortarse manualmente, o una imprenta comercial podría imprimir volúmenes más grandes y cortar las tarjetas al tamaño adecuado. "
  -
    id: "T00790"
    text: "Las líneas de corte se muestran en la penúltima página de este documento, pero Avery también produce una plantilla A4 apaisada (A-0017-01_L.doc) que puede usarse como guía."
  -
    id: "T00800"
    text: "Imprimir y cortar puede llevar aproximadamente una hora, y es útil utilizar una impresora más rápida."
  -
    id: "T00810"
    text: "Intente imprimir con mayor calidad para aumentar la legibilidad."
  -
    id: "T00820"
    text: "Se proporciona un diseño de reverso de tarjeta opcional (en tartan OWASP) en la última página de este documento. "
  -
    id: "T00830"
    text: "No se necesita ninguna alineación especial. "
  -
    id: "T00840"
    text: "La impresión a doble cara necesita un cuidado especial. "
  -
    id: "T00850"
    text: "Puede personalizar las caras o el reverso de la tarjeta según las preferencias de su propia organización."
  -
    id: "T00900"
    text: "Personalización"
  -
    id: "T00910"
    text: "Después de haber utilizado Cornucopia varias veces, es posible que sienta que algunas tarjetas son menos relevantes para sus aplicaciones o que las amenazas son diferentes para su organización."
  -
    id: "T00920"
    text: "Edite este documento usted mismo para hacer que las cartas sean más adecuadas para sus equipos o cree mazos completamente nuevos."
  -
    id: "T01000"
    text: "Brindar retroalimentación"
  -
    id: "T01010"
    text: "Si tiene ideas o comentarios sobre el uso de OWASP® Cornucopia, compártalos."
  -
    id: "T01020"
    text: "Aún mejor si crea versiones alternativas de las tarjetas, o produce versiones profesionales listas para imprimir, comparta eso con los voluntarios que crearon esta edición y con la comunidad más amplia de desarrollo y seguridad de aplicaciones."
  -
    id: "T01030"
    text: "El mejor lugar para discutir o contribuir es en la lista o grupo del proyecto OWASP:"
  -
    id: "T01040"
    text: "Blackfoot UK Limited for gifting print-ready design files and hundreds of professionally printed card decks for distribution by post and at OWASP chapter meetings"
  -
    id: "T01050"
    text: "OWASP's hard-working employees, especially Kate Hartmann"
  -
    id: "T01060"
    text: "Todos los documentos y herramientas de OWASP son de descarga y uso gratuito."
  -
    id: "T01070"
    text: "OWASP® Cornucopia tiene licencia de Creative Commons Attribution ShareAlike 3.0."
  -
    id: "T01100"
    text: "Instrucciones"
  -
    id: "T01110"
    text: "El texto en cada carta describe un ataque, pero el atacante recibe un nombre, que es único en todas las cartas. "
  -
    id: "T01120"
    text: "El nombre puede representar un sistema informático (por ejemplo, la base de datos, el sistema de archivos, otra aplicación, un servicio relacionado, una botnet), una persona individual (por ejemplo, un ciudadano, un cliente, un usuario, un empleado, un criminal, un espía), o incluso un grupo de personas (por ejemplo, una organización competitiva, activistas con una causa común). "
  -
    id: "T01130"
    text: "El atacante puede ser remoto en algún otro dispositivo / ubicación, o local / interno con acceso al mismo dispositivo, host o red en el que se ejecuta la aplicación. "
  -
    id: "T01140"
    text: "El atacante siempre se nombra al comienzo de cada descripción."
  -
    id: "T01145"
    text: "Los colaboradores y líderes actuales y anteriores del proyecto OWASP® Cornucopia, especialmente aquellos involucrados más recientemente, actualizaron las referencias cruzadas, crearon versiones en línea y escribieron scripts para generar dinámicamente los archivos de salida de Cornucopia."
  -
    id: "T01150"
    text: "Trate siempre de tener una combinación de roles que puedan aportar perspectivas alternativas."
  -
    id: "T01160"
    text: "Wiki Deck link added"
  -
    id: "T01170"
    text: "Esto significa que el atacante (William) puede crear nuevos identificadores de sesión que la aplicación acepta."
  -
    id: "T01180"
    text: "Los ataques se basaron principalmente en los requisitos de seguridad enumerados en SCP, v2, pero luego se complementaron con los objetivos de verificación del \"Estándar de verificación de seguridad de aplicaciones para aplicaciones web\" de OWASP, las historias centradas en la seguridad en \"Historias Prácticas de seguridad y tareas de seguridad de SAFECode para el desarrollo ágil\", y finalmente una revisión de las tarjetas en EoP."
  -
    id: "T01190"
    text: "Las relaciones entre los ataques y cinco recursos se ofrecen en la mayoría de las tarjetas"
  -
    id: "T01200"
    text: "Las relaciones entre los ataques y cinco recursos se ofrecen en la mayoría de las tarjetas"
  -
    id: "T01210"
    text: "Requisitos en “Secure Coding Practices (SCP) - Quick Reference Guide”, v2, OWASP®, Noviembre de 2010 "
  -
    id: "T01220"
    text: "ID de verificación en OWASP® “Application Security Verification Standard for Web Applications”"
  -
    id: "T01230"
    text: "ID de puntos de detección de ataques en “AppSensor”, OWASP®, August de 2010-2015"
  -
    id: "T01240"
    text: "ID en “Common Attack Pattern Enumeration and Classification (CAPEC)”, v2.8, Mitre Corporation, Noviembre de 2015"
  -
    id: "T01250"
    text: "Historias centradas en la seguridad en 'Practical Security Stories and Security Tasks for Agile Development Environments', SAFECode, julio de 2012"
  -
    id: "T01260"
    text: "Una búsqueda significa que el ataque está incluido dentro del elemento al que se hace referencia, pero no necesariamente abarca toda su intención."
  -
    id: "T01270"
    text: "Para datos estructurados como CAPEC, se proporciona la referencia más específica, pero a veces se proporciona una referencia cruzada que también tiene ejemplos (secundarios) más específicos."
  -
    id: "T01280"
    text: "No hay búsquedas sobre los seis ases y los dos comodines."
  -
    id: "T01290"
    text: "En cambio, estas tarjetas tienen algunos consejos generales en texto en cursiva."
  -
    id: "T01300"
    text: "Es posible jugar Cornucopia de muchas formas diferentes."
  -
    id: "T01301"
    text: "Para saber cómo jugar, lea las páginas: 11-19."
  -
    id: "T01310"
    text: "Aquí hay una manera, como demonstrado online en un video de "
  -
    id: "T01311"
    text: ", qué usa la nueva (May 2015) oja para anotar puntos "
  -
    id: "T01400"
    text: "Preparativos"
  -
    id: "T01410"
    text: "Usa las cartas de este paquete. "
  -
    id: "T01420"
    text: "Identifique una solicitud o proceso de solicitud para revisar; esto podría ser un concepto, diseño o una implementación real. "
  -
    id: "T01430"
    text: "Cree un diagrama de flujo de datos, historias de usuarios u otros artefactos para ayudar en la revisión. "
  -
    id: "T01440"
    text: "Identifique e invite a un grupo de 3 a 6 personas, Se recomienda que los roles a considerar sean arquitectos, desarrolladores, evaluadores y otras partes interesadas del negocio, Siéntelos juntos alrededor de una mesa (intente incluir a alguien bastante familiarizado con la seguridad de las aplicaciones) "
  -
    id: "T01450"
    text: "Tenga algunos premios a mano (estrellas doradas, chocolate, pizza, cerveza o flores según la cultura de su oficina). "
  -
    id: "T01500"
    text: "El juego"
  -
    id: "T01510"
    text: "Un palo, Cornucopia, actúa como triunfo. "
  -
    id: "T01520"
    text: "Los ases son altos (es decir, vencieron a los reyes). "
  -
    id: "T01530"
    text: "Ayuda si hay alguien que no es jugador para documentar los problemas y las puntuaciones. "
  -
    id: "T01540"
    text: "Retire los comodines y algunas cartas de puntuación baja (2, 3, 4) del palo de Cornucopia para asegurarse de que cada jugador tenga la misma cantidad de cartas. "
  -
    id: "T01550"
    text: "Baraja la baraja y reparte todas las cartas. "
  -
    id: "T01560"
    text: "Para comenzar, elija un jugador al azar que jugará la primera carta; puede jugar cualquier carta de su mano, excepto del palo de triunfo: Cornucopia. "
  -
    id: "T01570"
    text: "Para jugar una carta, cada jugador debe leerla en voz alta y explicar (consulte el Wiki Deck en línea para obtener consejos) cómo podría aplicarse la amenaza (el jugador obtiene un punto por los ataques que podrían funcionar y que el grupo cree que es un error procesable). No intente pensar en mitigaciones en esta etapa, y no excluya una amenaza solo por creer que ya está mitigada; alguien anote la tarjeta y registre los problemas planteados. "
  -
    id: "T01580"
    text: "Juegue en el sentido de las agujas del reloj, cada persona debe jugar una carta de la misma manera; si tienes una carta del mismo palo, debes jugar una de esas; de lo contrario, pueden jugar una carta de cualquier otro palo, sólo una carta más alta del mismo palo, o la carta más alta del palo de triunfo Cornucopia, gana la mano. "
  -
    id: "T01590"
    text: "Only a higher card of the same suit, or the highest card in the trump suit Cornucopia, wins the hand. "
  -
    id: "T01600"
    text: "La persona que gana la ronda lidera la siguiente ronda (es decir, juega primero) y, por lo tanto, define el siguiente palo principal. "
  -
    id: "T01610"
    text: "Repita hasta que se jueguen todas las cartas. "
  -
    id: "T01700"
    text: "Puntuación"
  -
    id: "T01710"
    text: "El objetivo es identificar las amenazas aplicables y ganar manos (rondas): "
  -
    id: "T01720"
    text: "Obtenga +1 por cada tarjeta que pueda identificar como una amenaza válida para la aplicación en cuestión. "
  -
    id: "T01730"
    text: "Obtén +1 si ganas una ronda."
  -
    id: "T01740"
    text: "Una vez que se han jugado todas las cartas, gana el que tenga más puntos. "
  -
    id: "T01800"
    text: "Cierre"
  -
    id: "T01810"
    text: "Revise todas las amenazas aplicables y los requisitos de seguridad correspondientes. "
  -
    id: "T01820"
    text: "Cree historias de usuario, especificaciones y casos de prueba según sea necesario para su metodología de desarrollo. "
  -
    id: "T01900"
    text: "Reglas alternativas de juego"
  -
    id: "T01910"
    text: "Si es nuevo en el juego, elimine los Ases y dos cartas de Joker para empezar."
  -
    id: "T01920"
    text: "Vuelva a agregar las tarjetas Joker una vez que la gente se familiarice con el proceso. "
  -
    id: "T01930"
    text: "Aparte de las reglas del \"juego de cartas de triunfos\" descritas anteriormente que son muy similares a la EoP, el mazo también se puede jugar como el \"juego de veintiún cartas\" (también conocido como \"pontón\" o \"blackjack\") que normalmente reduce el número de cartas jugadas en cada ronda."
  -
    id: "T01940"
    text: "Practique con una aplicación imaginaria, o incluso una aplicación planificada para el futuro, en lugar de tratar de encontrar fallas en las aplicaciones existentes hasta que los participantes estén contentos con la utilidad del juego."
  -
    id: "T01950"
    text: "Considere simplemente jugar con un dominio para hacer una sesión más corta, pero trate de cubrir todos los dominios para cada proyecto. "
  -
    id: "T01960"
    text: "O incluso mejor, simplemente juegue una mano con algunas cartas preseleccionadas y puntúe solo en la capacidad de identificar los requisitos de seguridad. "
  -
    id: "T01970"
    text: "Quizás tenga un juego de cada palo cada día durante una semana más o menos, si los participantes no pueden disponer del tiempo suficiente para una baraja completa."
  -
    id: "T01980"
    text: "Algunos equipos han preferido jugar una mano completa de cartas y luego discutir lo que hay en las cartas después de cada ronda (en lugar de después de que cada persona juegue una carta)."
  -
    id: "T01990"
    text: "Otra sugerencia es que, si un jugador no identifica que la carta es relevante, permita que otros jugadores sugieran ideas y, potencialmente, déjeles ganar el punto por la carta. "
  -
    id: "T02000"
    text: "Considere la posibilidad de conceder puntos extra por contribuciones especialmente buenas."
  -
    id: "T02010"
    text: "Incluso puedes jugar solo. "
  -
    id: "T02020"
    text: "Solo usa las tarjetas para que actúen como lluvia de ideas. "
  -
    id: "T02030"
    text: "Sin embargo, involucrar a más personas siempre será beneficioso."
  -
    id: "T02040"
    text: "En la guía EoP de Microsoft, recomiendan hacer trampa como una buena estrategia de juego."
  -
    id: "T02100"
    text: "Marco de desarrollo específico - barajas de cartas modificadas"
  -
    id: "T02110"
    text: "Se pueden incorporar controles de seguridad en algunos lenguajes y marcos de uso común para el desarrollo de aplicaciones web y móviles."
  -
    id: "T02120"
    text: "Con ciertas salvedades, es útil considerar cómo el uso de estos controles puede simplificar la identificación de requisitos adicionales, siempre que, por supuesto, los controles estén incluidos, habilitados y configurados correctamente."
  -
    id: "T02130"
    text: "Considere quitar cartas de los mazos si está seguro de que se tratan por la forma en que está usando el lenguaje / marco ork. Los elementos entre paréntesis son \"maybes\"."
  -
    id: "T02140"
    text: "Bibliotecas y estándares de codificación internos."
  -
    id: "T02200"
    text: "Estándares de codificación internos"
  -
    id: "T02210"
    text: "Agregue su propia lista de tarjetas excluidas según los estándares de codificación de su organización (siempre que estén confirmados por los pasos de verificación apropiados en el ciclo de vida del desarrollo)."
  -
    id: "T02220"
    text: "Tus estándares de Codificación y Librerías"
  -
    id: "T02230"
    text: "Validación de Datos & Codificación"
  -
    id: "T02240"
    text: "[lista tuya]"
  -
    id: "T02250"
    text: "Autenticación"
  -
    id: "T02260"
    text: "[lista tuya]"
  -
    id: "T02270"
    text: "Gestión de Sesión"
  -
    id: "T02280"
    text: "[lista tuya]"
  -
    id: "T02290"
    text: "Autorización"
  -
    id: "T02300"
    text: "[lista tuya]"
  -
    id: "T02310"
    text: "Criptografía"
  -
    id: "T02320"
    text: "[lista tuya]"
  -
    id: "T02330"
    text: "Cornucopia"
  -
    id: "T02340"
    text: "[lista tuya]"
  -
    id: "T02400"
    text: "Mazos de requisitos de cumplimiento"
  -
    id: "T02410"
    text: "Cree una baraja más pequeña al incluir solo tarjetas para un requisito de cumplimiento particular."
  -
    id: "T02420"
    text: "Requerimientos de Cumplimiento"
  -
    id: "T02430"
    text: "Validación de Datos & Codificación"
  -
    id: "T02440"
    text: "[lista tuya]"
  -
    id: "T02450"
    text: "Autenticación"
  -
    id: "T02460"
    text: "[lista tuya]"
  -
    id: "T02470"
    text: "Gestión de Sesion"
  -
    id: "T02480"
    text: "[lista tuya]"
  -
    id: "T02490"
    text: "Autorización"
  -
    id: "T02500"
    text: "[lista tuya]"
  -
    id: "T02510"
    text: "Criptografía"
  -
    id: "T02520"
    text: "[lista tuya]"
  -
    id: "T02530"
    text: "Cornucopia"
  -
    id: "T02540"
    text: "[lista tuya]"
  -
    id: "T02600"
    text: "Preguntas frecuentes"
  -
    id: "T02610"
    text: "1. ¿Puedo copiar o editar el juego?"
  -
    id: "T02620"
    text: "Sí, por supuesto."
  -
    id: "T02630"
    text: " Son libres de hacer lo que desee con todos los materiales de OWASP, siempre que cumpla con la licencia Creative Commons Attribution ShareAlike 3.0. Quizás si crea una nueva versión, ¿podría donarla al Proyecto Cornucopia de OWASP?"
  -
    id: "T02640"
    text: "¿podría donarla al Proyecto Cornucopia de OWASP?"
  -
    id: "T02650"
    text: "2. ¿Cómo puedo involucrarme?"
  -
    id: "T02660"
    text: "Envíe ideas u ofertas de ayuda a la lista de distribución del proyecto."
  -
    id: "T02670"
    text: "3. ¿Cómo se eligieron los nombres de los atacantes?"
  -
    id: "T02680"
    text: "Edite este documento usted mismo para hacer que las cartas sean más adecuadas para sus equipos o cree mazos completamente nuevos."
  -
    id: "T02690"
    text: "Estos pueden considerarse personas externas o internas o alias para sistemas informáticos. "
  -
    id: "T02700"
    text: "Pero en lugar de solo nombres aleatorios, pensé en cómo podrían reflejar el aspecto de la comunidad OWASP. "
  -
    id: "T02710"
    text: "Hay mucho texto en las tarjetas y las referencias cruzadas también ocupan espacio. "
  -
    id: "T02720"
    text: "50 nombres restantes de la lista actual de pagos miembros individuales de OWASP."
  -
    id: "T02730"
    text: "No se usó ningún nombre más de una vez, y cuando las personas habían proporcionado dos nombres personales, eliminé una parte para tratar de asegurar que nadie pueda ser identificado fácilmente. "
  -
    id: "T02740"
    text: "Los nombres no se asignaron deliberadamente a ningún ataque, defensa o requisito en particular. La mezcla cultural y de género simplemente refleja estas fuentes de nombres, y no pretende ser representativa mundial."
  -
    id: "T02750"
    text: "4. ¿Por qué no hay imágenes en las caras de las tarjetas?"
  -
    id: "T02760"
    text: "Hay mucho texto en las tarjetas y las referencias cruzadas también ocupan espacio."
  -
    id: "T02770"
    text: "Pero sería genial tener elementos de diseño adicionales incluidos."
  -
    id: "T02790"
    text: "5. ¿Se clasifican los ataques según el número de la tarjeta?"
  -
    id: "T02800"
    text: "Solo aproximadamente. "
  -
    id: "T02810"
    text: "El riesgo dependerá de la aplicación y la organización, debido a los diferentes requisitos de seguridad y cumplimiento, por lo que su propia clasificación de criticidad puede colocar las tarjetas en un orden diferente al de los números de las tarjetas."
  -
    id: "T02820"
    text: "6. ¿Cuánto tiempo se tarda en jugar una ronda de cartas con la baraja completa?"
  -
    id: "T02830"
    text: "Esto depende del alcance de la aplicación, de la cantidad de discusión y de lo familiarizados que estén los jugadores con los conceptos de seguridad de las aplicaciones. "
  -
    id: "T02840"
    text: "Pero quizás tome de 1,5 a 2,0 horas para 4-6 personas."
  -
    id: "T02850"
    text: "7. ¿Qué tipo de personas deberían jugar?"
  -
    id: "T02860"
    text: "Trate siempre de tener una combinación de roles que puedan aportar perspectivas alternativas."
  -
    id: "T02870"
    text: "Pero incluya a alguien que tenga un conocimiento razonable de la terminología de vulnerabilidad de aplicaciones. "
  -
    id: "T02880"
    text: "De lo contrario, intente incluir una combinación de arquitectos, desarrolladores, evaluadores y un gerente de proyecto o propietario de negocio relevante."
  -
    id: "T02890"
    text: "8. ¿Quién debería tomar notas y registrar partituras?"
  -
    id: "T02900"
    text: "Es mejor si otra persona, que no esté jugando, tome notas sobre los requisitos identificados y los problemas discutidos."
  -
    id: "T02910"
    text: "Esto podría usarse como capacitación para un desarrollador más joven o ser realizado por el gerente del proyecto."
  -
    id: "T02920"
    text: "Algunas organizaciones han realizado una grabación para revisarla posteriormente cuando los requisitos se redacten de manera más formal."
  -
    id: "T02930"
    text: "9. ¿Deberíamos utilizar siempre la baraja completa?"
  -
    id: "T02940"
    text: "No. "
  -
    id: "T02950"
    text: "Un mazo más pequeño es más rápido de jugar. "
  -
    id: "T02960"
    text: "Comienza tu primer juego con sólo cartas suficientes para dos o tres rondas. "
  -
    id: "T02970"
    text: "Considere siempre eliminar las tarjetas que no sean apropiadas en absoluto para la aplicación o función de destino que se está revisando. "
  -
    id: "T02980"
    text: "Las primeras veces que la gente juega, también suele ser mejor eliminar los ases y los dos comodines."
  -
    id: "T02990"
    text: "También es habitual jugar sin ningún palo de triunfo hasta que la gente esté más familiarizada con la idea."
  -
    id: "T03000"
    text: "10. ¿Qué deben hacer los jugadores cuando tienen una carta As que dice “inventó un nuevo ataque X”?"
  -
    id: "T03010"
    text: "El jugador puede inventar cualquier ataque que considere válido, pero debe coincidir con el palo de la carta (por ejemplo, Validación de Datos y Codificación)."
  -
    id: "T03020"
    text: "Para los jugadores nuevos en el juego, puede ser mejor eliminarlos para empezar (consulte también la pregunta frecuente 9)."
  -
    id: "T03060"
    text: "11. Mi empresa quiere imprimir su propia versión de OWASP® Cornucopia: ¿a qué licencia debemos referirnos?"
  -
    id: "T03070"
    text: "Comuníquese directamente con la lista de correo o con los líderes del proyecto si falta alguien en las listas a continuación."
  -
    id: "T03100"
    text: "Registro de cambios"
  -
    id: "T03110"
    text: "Versión / Fecha"
  -
    id: "T03120"
    text: "Comentarios"
  -
    id: "T03130"
    text: "0,4"
  -
    id: "T03140"
    text: "Original Draft"
  -
    id: "T03150"
    text: "0,4"
  -
    id: "T03160"
    text: "Draft reviewed and updated"
  -
    id: "T03170"
    text: "0,4"
  -
    id: "T03180"
    text: "Draft announced OWASP® SCP mailing list for comment."
  -
    id: "T03190"
    text: "0,4"
  -
    id: "T03200"
    text: "Play rules updated based on feedback during workshops. "
  -
    id: "T03210"
    text: "Added reference to PCI SSC Information Supplement: PCI DSS E-commerce Guidelines. "
  -
    id: "T03220"
    text: "Descriptive text extended and updated."
  -
    id: "T03230"
    text: "Added contributors section, page numbering, FAQs and change log."
  -
    id: "T03240"
    text: "1"
  -
    id: "T03250"
    text: "Release."
  -
    id: "T03260"
    text: "1.01"
  -
    id: "T03270"
    text: "Framework-specific card deck discussion added"
  -
    id: "T03280"
    text: "Additional FAQs created. "
  -
    id: "T03290"
    text: "Descriptive text updated. "
  -
    id: "T03300"
    text: "New cover image, and previous cover image moved to back. "
  -
    id: "T03310"
    text: "Cut lines added."
  -
    id: "T03320"
    text: "FAQs 5 and 6 added."
  -
    id: "T03330"
    text: "Attack descriptions on cards with tinted backgrounds changed to black (from dark grey). "
  -
    id: "T03340"
    text: "Project contributors added."
  -
    id: "T03350"
    text: "1.02"
  -
    id: "T03360"
    text: "Warning about time to print added. "
  -
    id: "T03370"
    text: "Additional alternative game rules added (twenty-one, play a deck over a week, play full hand and then discuss). "
  -
    id: "T03380"
    text: "Compliance deck concept added. "
  -
    id: "T03390"
    text: "FAQs 5 and 6 added."
  -
    id: "T03400"
    text: "Attack descriptions on cards with tinted backgrounds changed to black (from dark grey). "
  -
    id: "T03410"
    text: "Project contributors added."
  -
    id: "T03420"
    text: "1.03"
  -
    id: "T03430"
    text: "Minor attack wording changes on two cards. "
  -
    id: "T03440"
    text: "OWASP® SCP and ASVS cross-references checked and updated. "
  -
    id: "T03450"
    text: "Code letters added for suits. "
  -
    id: "T03460"
    text: "All remaining attack descriptions on cards changed to black (from dark grey) and background colours amended to provide more contrast and increase readability."
  -
    id: "T03470"
    text: "1.04"
  -
    id: "T03480"
    text: "Text “password change, password change,” corrected to “password change, password recovery,” on Queen of Authentication card. "
  -
    id: "T03490"
    text: "1.05"
  -
    id: "T03500"
    text: "Updates to alternative game rules. "
  -
    id: "T03510"
    text: "Additional FAQs created. "
  -
    id: "T03520"
    text: "Contributors updated."
  -
    id: "T03530"
    text: "Podcast and video links added."
  -
    id: "T03540"
    text: "1.1"
  -
    id: "T03550"
    text: "Change log date corrected for v1.05. Cross-references updated for 2014 version of ASVS. "
  -
    id: "T03560"
    text: "Contributors updated."
  -
    id: "T03570"
    text: "Minor text changes to cards to improve readability."
  -
    id: "T03580"
    text: "1.2"
  -
    id: "T03590"
    text: "Video mentioned/linked"
  -
    id: "T03600"
    text: "Separate score sheet mentioned/linked. "
  -
    id: "T03610"
    text: "Previous embedded score sheet pages deleted"
  -
    id: "T03620"
    text: "Correction (identified by Tom Brennan) and addition to "
  -
    id: "T03630"
    text: "text on card 8 Authentication. "
  -
    id: "T03640"
    text: "Oana Cornea and other participants at the AppSec EU 2015 project summit added to list of contributors. "
  -
    id: "T03650"
    text: "Darío De Filippis added as project co-leader. "
  -
    id: "T03660"
    text: "Wiki Deck link added"
  -
    id: "T03670"
    text: "Cross-references updated for ASVS v3.0.1 and CAPEC v2.8. Minor text changes to a small number of cards. "
  -
    id: "T03680"
    text: "Added “-EN” to version number in preparation for “-ES” version."
  -
    id: "T03690"
    text: "Susana Romaniz added as a contributor to the Spanish translation."
  -
    id: "T03700"
    text: "Minor text changes to instructions and FAQs."
  -
    id: "T03710"
    text: "2.0"
  -
    id: "T03720"
    text: "Cross-references updated from ASVS v3.0.1 to ASVS v4.0 by Johan Sydseter. "
  -
    id: "T03730"
    text: "2.1"
  -
    id: "T03740"
    text: "Añadiendo traducción al italiano realizada por Ruggero DallAglio"
  -
    id: "T03750"
    text: "2.1"
  -
    id: "T03760"
    text: "Añadiendo traducción al portugués realizada por André Ferreira"
  -
    id: "T03800"
    text: "Project contributors"
  -
    id: "T03810"
    text: "All OWASP projects rely on the voluntary efforts of people in the software development and information security sectors. "
  -
    id: "T03820"
    text: "They have contributed their time and energy to make suggestions, provide feedback, write, review and edit documentation, give encouragement, trial the game, and promote the concept. "
  -
    id: "T03830"
    text: "Without all their efforts, the project would not have progressed to this point. "
  -
    id: "T03840"
    text: "Please contact the mailing list or project leaders directly, if anyone is missing from the below lists."
  -
    id: "T03850"
    text: "OWASP's hard-working employees."
  -
    id: "T03860"
    text: "Attendees at OWASP® London, OWASP® Manchester, OWASP® Netherlands and OWASP® Scotland chapter meetings, and the London Gamification meetup, who made helpful suggestions and asked challenging questions"
  -
    id: "T03870"
    text: "Blackfoot UK Limited for gifting print-ready design files and hundreds of professionally printed card decks for distribution by post and at OWASP chapter meetings"
  -
    id: "T03880"
    text: "Video of presentation, OWASP® EU Tour 2013 London, 3rd June 2013"
  -
    id: "T03900"
    text: "Podcasts and videos"
  -
    id: "T03910"
    text: "Video of presentation, OWASP® EU Tour 2013 London, 3rd June 2013"
  -
    id: "T03920"
    text: "Version / Date"
  -
    id: "T03930"
    text: "Podcast and video links added."
  -
    id: "T03940"
    text: "Video of presentation, OWASP® EU Tour 2013 London, 3rd June 2013"
  -
    id: "T03950"
    text: "See the project website for further information and presentation materials."