OWASP · EdgarPsda · Dec 31, 2024 · Feb 25, 2025 · Sep 9, 2025
diff --git a/editions/2019/fr/images/owasp-logo.png b/editions/2019/fr/images/owasp-logo.png
diff --git a/editions/2023/es/0x00-header.md b/editions/2023/es/0x00-header.md
@@ -0,0 +1,15 @@
+---
+title: ''
+description: OWASP API Security Top 10 Edición 2023
+---
+
+![LOGO DE OWASP](images/cover.jpg)
+
+| | | |
+| - | - | - |
+| https://owasp.org | Este trabajo está licenciado bajo una [Licencia Creative Commons Atribución-CompartirIgual 4.0 Internacional][1] | ![Logo de Licencia Creative Commons](images/front-cc.png) |
+
+[1]: http://creativecommons.org/licenses/by-sa/4.0/
+
+
+
diff --git a/editions/2023/es/0x00-notice.md b/editions/2023/es/0x00-notice.md
@@ -0,0 +1,12 @@
+# Aviso
+
+Esta es la versión en texto de OWASP API Security Top 10, utilizada como fuente para cualquier versión oficial de este documento, como el sitio web.
+
+Las contribuciones al proyecto, como comentarios, correcciones o traducciones, deben realizarse aquí. Para más detalles sobre [Cómo Contribuir][1], consulta [CONTRIBUTING.md][1].
+
+* Erez Yallon
+* Inon Shkedy
+* Paulo Silva
+
+[1]: ../../../CONTRIBUTING.md
+
diff --git a/editions/2023/es/0x00-toc.md b/editions/2023/es/0x00-toc.md
@@ -0,0 +1,24 @@
+# Tabla de Contenidos
+
+* [Tabla de Contenidos](0x00-toc.md)
+* [Acerca de OWASP](0x01-about-owasp.md)
+* [Prólogo](0x02-foreword.md)
+* [Introducción](0x03-introduction.md)
+* [Notas de la Versión](0x04-release-notes.md)
+* [Riesgos de Seguridad en APIs](0x10-api-security-risks.md)
+* [Los 10 Principales Riesgos de Seguridad en APIs – 2023](0x11-t10.md)
+* [API1:2023 Autorización de Nivel de Objeto Rota](0xa1-broken-object-level-authorization.md)
+* [API2:2023 Autenticación Rota](0xa2-broken-authentication.md)
+* [API3:2023 Autorización de Nivel de Propiedad de Objeto Rota](0xa3-broken-object-property-level-authorization.md)
+* [API4:2023 Consumo Ilimitado de Recursos](0xa4-unrestricted-resource-consumption.md)
+* [API5:2023 Autorización de Nivel de Función Rota](0xa5-broken-function-level-authorization.md)
+* [API6:2023 Acceso Ilimitado a Flujos de Negocio Sensibles](0xa6-unrestricted-access-to-sensitive-business-flows.md)
+* [API7:2023 Falsificación de Solicitudes del Lado del Servidor (SSRF)](0xa7-server-side-request-forgery.md)
+* [API8:2023 Configuración de Seguridad Incorrecta](0xa8-security-misconfiguration.md)
+* [API9:2023 Gestión Inadecuada del Inventario](0xa9-improper-inventory-management.md)
+* [API10:2023 Consumo Inseguro de APIs](0xaa-unsafe-consumption-of-apis.md)
+* [¿Qué Sigue para Desarrolladores?](0xb0-next-devs.md)
+* [¿Qué Sigue para DevSecOps?](0xb1-next-devsecops.md)
+* [Metodología y Datos](0xd0-about-data.md)
+* [Reconocimientos](0xd1-acknowledgments.md)
+
diff --git a/editions/2023/es/0x01-about-owasp.md b/editions/2023/es/0x01-about-owasp.md
@@ -0,0 +1,44 @@
+# Acerca de OWASP
+
+El Proyecto Abierto de Seguridad en Aplicaciones a Nivel Mundial (OWASP, por sus siglas en inglés) es una comunidad abierta dedicada a permitir que las organizaciones desarrollen, adquieran y mantengan aplicaciones y APIs en las que se pueda confiar.
+
+En OWASP, encontrarás recursos gratuitos y abiertos, como:
+
+* Herramientas y estándares de seguridad en aplicaciones.
+* Libros completos sobre pruebas de seguridad en aplicaciones, desarrollo de código seguro y revisión de código seguro.
+* Presentaciones y [videos][1].
+* [Hojas de referencia][2] sobre muchos temas comunes.
+* Controles y bibliotecas de seguridad estándar.
+* [Capítulos locales en todo el mundo][3].
+* Investigación de vanguardia.
+* Amplias [conferencias a nivel mundial][4].
+* [Listas de correo][5] ([archivo][6]).
+
+Para más información, visita: [https://www.owasp.org][7].
+
+Todas las herramientas, documentos, videos, presentaciones y capítulos de OWASP son gratuitos y abiertos para cualquier persona interesada en mejorar la seguridad en aplicaciones.
+
+Promovemos el enfoque de seguridad en aplicaciones como un problema que involucra a personas, procesos y tecnología, ya que los métodos más efectivos requieren mejoras en estas áreas.
+
+OWASP es un tipo de organización diferente. Nuestra independencia de presiones comerciales nos permite proporcionar información imparcial, práctica y rentable sobre seguridad en aplicaciones.
+
+OWASP no está afiliado a ninguna empresa de tecnología, aunque apoyamos el uso informado de tecnologías comerciales de seguridad. OWASP produce diversos tipos de materiales de manera colaborativa, transparente y abierta.
+
+La Fundación OWASP es la entidad sin fines de lucro que garantiza el éxito a largo plazo del proyecto. Casi todas las personas asociadas con OWASP son voluntarias, incluyendo la junta directiva, líderes de capítulos, líderes de proyectos y miembros del proyecto. Apoyamos la investigación innovadora en seguridad con subvenciones e infraestructura.
+
+¡Únete a nosotros!
+
+## Derechos de Autor y Licencia
+
+![licencia](images/license.png)
+
+Derechos de autor © 2003-2023 The OWASP Foundation. Este documento se publica bajo la [licencia Creative Commons Atribución-CompartirIgual 4.0][8]. Para cualquier reutilización o distribución, debes dejar en claro a otros los términos de esta licencia.
+
+[1]: https://www.youtube.com/user/OWASPGLOBAL
+[2]: https://cheatsheetseries.owasp.org/
+[3]: https://owasp.org/chapters/
+[4]: https://owasp.org/events/
+[5]: https://groups.google.com/a/owasp.org/forum/#!overview
+[6]: https://lists.owasp.org/mailman/listinfo
+[7]: https://www.owasp.org
+[8]: http://creativecommons.org/licenses/by-sa/4.0/
diff --git a/editions/2023/es/0x02-foreword.md b/editions/2023/es/0x02-foreword.md
@@ -0,0 +1,27 @@
+# Prólogo
+
+Un elemento fundamental de la innovación en el mundo actual impulsado por aplicaciones es la **Interfaz de Programación de Aplicaciones (API)**. Desde bancos, comercio minorista y transporte hasta IoT, vehículos autónomos y ciudades inteligentes, las APIs son una parte crítica de las aplicaciones móviles, SaaS y web modernas, y se pueden encontrar en aplicaciones orientadas a clientes, socios y uso interno.
+
+Por su naturaleza, las APIs exponen la lógica de la aplicación y datos sensibles, como la Información de Identificación Personal (PII, por sus siglas en inglés), y debido a esto, las APIs se han convertido en un objetivo cada vez más frecuente para los atacantes. Sin APIs seguras, la innovación rápida sería imposible.
+
+Aunque sigue siendo relevante una lista más general de los principales riesgos de seguridad en aplicaciones web, debido a su naturaleza particular, se requiere una lista específica de riesgos de seguridad en APIs. La seguridad en APIs se enfoca en estrategias y soluciones para comprender y mitigar las vulnerabilidades y riesgos de seguridad únicos asociados con ellas.
+
+Si estás familiarizado con el [Proyecto OWASP Top 10][1], notarás similitudes entre ambos documentos: están diseñados para facilitar la lectura y la adopción. Si eres nuevo en la serie OWASP Top 10, te recomendamos leer primero las secciones de [Riesgos de Seguridad en APIs][2] y [Metodología y Datos][3] antes de sumergirte en la lista de los 10 principales riesgos.
+
+Puedes contribuir al OWASP API Security Top 10 con tus preguntas, comentarios e ideas en nuestro repositorio de GitHub:
+
+* https://owasp.org/www-project-api-security/
+* https://github.com/OWASP/API-Security/blob/master/CONTRIBUTING.md
+
+Puedes encontrar el OWASP API Security Top 10 aquí:
+
+* https://owasp.org/www-project-api-security/
+* https://github.com/OWASP/API-Security
+
+Queremos agradecer a todos los colaboradores que hicieron posible este proyecto con su esfuerzo y contribuciones. Todos ellos están listados en la [sección de Reconocimientos][4]. ¡Gracias!
+
+[1]: https://owasp.org/www-project-top-ten/
+[2]: ./0x10-api-security-risks.md
+[3]: ./0xd0-about-data.md
+[4]: ./0xd1-acknowledgments.md
+
diff --git a/editions/2023/es/0x03-introduction.md b/editions/2023/es/0x03-introduction.md
@@ -0,0 +1,46 @@
+# Introducción
+
+## ¡Bienvenido al OWASP API Security Top 10 - 2023!
+
+¡Bienvenido a la segunda edición del OWASP API Security Top 10!
+
+Este documento de concienciación se publicó por primera vez en 2019. Desde entonces, la industria de la seguridad en APIs ha florecido y se ha vuelto más madura. Creemos firmemente que este trabajo ha contribuido positivamente a ello, ya que fue adoptado rápidamente como una referencia en la industria.
+
+Las APIs juegan un papel muy importante en la arquitectura de aplicaciones modernas. Sin embargo, dado que la innovación avanza a un ritmo diferente al de la concienciación sobre seguridad, creemos que es fundamental enfocarnos en crear conciencia sobre las debilidades de seguridad más comunes en APIs.
+
+El objetivo principal del OWASP API Security Top 10 es educar a quienes participan en el desarrollo y mantenimiento de APIs, como desarrolladores, diseñadores, arquitectos, gerentes u organizaciones. Puedes obtener más información sobre el **Proyecto de Seguridad en APIs** visitando [la página del proyecto][1].
+
+Si no estás familiarizado con la serie OWASP Top 10, recomendamos revisar al menos los siguientes proyectos:
+
+* [OWASP Cloud-Native Application Security Top 10][2]
+* [OWASP Desktop App Security Top 10][3]
+* [OWASP Docker Top 10][4]
+* [OWASP Low-Code/No-Code Top 10][5]
+* [OWASP Machine Learning Security Top 10][6]
+* [OWASP Mobile Top 10][7]
+* [OWASP Top 10][8]
+* [OWASP Top 10 CI/CD Security Risks][9]
+* [OWASP Top 10 Client-Side Security Risks][10]
+* [OWASP Top 10 Privacy Risks][11]
+* [OWASP Serverless Top 10][12]
+
+Ninguno de estos proyectos reemplaza a otro: si trabajas en una aplicación móvil que utiliza una API en el backend, es recomendable leer ambos Top 10 correspondientes. Lo mismo aplica si trabajas en una aplicación web o de escritorio que dependa de APIs.
+
+En la sección de [Metodología y Datos][13], puedes leer más sobre cómo se creó esta edición. Por ahora, animamos a todos a contribuir con preguntas, comentarios e ideas en nuestro [repositorio de GitHub][14] o en nuestra [lista de correo][15].
+
+[1]: https://owasp.org/www-project-api-security/
+[2]: https://owasp.org/www-project-cloud-native-application-security-top-10/
+[3]: https://owasp.org/www-project-desktop-app-security-top-10/
+[4]: https://owasp.org/www-project-docker-top-10/
+[5]: https://owasp.org/www-project-top-10-low-code-no-code-security-risks/
+[6]: https://owasp.org/www-project-machine-learning-security-top-10/
+[7]: https://owasp.org/www-project-mobile-top-10/
+[8]: https://owasp.org/www-project-top-ten/
+[9]: https://owasp.org/www-project-top-10-ci-cd-security-risks/
+[10]: https://owasp.org/www-project-top-10-client-side-security-risks/
+[11]: https://owasp.org/www-project-top-10-privacy-risks/
+[12]: https://owasp.org/www-project-serverless-top-10/
+[13]: ./0xd0-about-data.md
+[14]: https://github.com/OWASP/API-Security
+[15]: https://groups.google.com/a/owasp.org/forum/#!forum/api-security-project
+
diff --git a/editions/2023/es/0x04-release-notes.md b/editions/2023/es/0x04-release-notes.md
@@ -0,0 +1,24 @@
+
+# Notas de la Versión
+
+Esta es la segunda edición del OWASP API Security Top 10, exactamente cuatro años después de su primera publicación. Mucho ha cambiado en el panorama de la seguridad en APIs. El tráfico de APIs ha aumentado rápidamente, algunos protocolos de API han ganado mucha más popularidad, han surgido numerosos proveedores y soluciones de seguridad para APIs y, por supuesto, los atacantes han desarrollado nuevas habilidades y técnicas para comprometer APIs. Era momento de actualizar la lista de los diez riesgos de seguridad más críticos en APIs.
+
+Con una industria de seguridad en APIs más madura, por primera vez, hubo [una convocatoria pública para recopilar datos][1]. Desafortunadamente, no se recibió ninguna contribución de datos, pero basándonos en la experiencia del equipo del proyecto, la cuidadosa revisión de especialistas en seguridad de APIs y los comentarios de la comunidad sobre la versión candidata, construimos esta nueva lista. En la [sección de Metodología y Datos][2], encontrarás más detalles sobre cómo se elaboró esta versión. Para conocer más detalles sobre los riesgos de seguridad, consulta la [sección de Riesgos de Seguridad en APIs][3].
+
+El OWASP API Security Top 10 2023 es un documento de concienciación con visión de futuro para una industria de ritmo acelerado. No reemplaza a otros Top 10. En esta edición:
+
+* Hemos combinado la Exposición Excesiva de Datos y la Asignación Masiva, enfocándonos en la causa raíz común: fallas en la validación de autorización a nivel de propiedad de objeto.
+* Hemos puesto mayor énfasis en el consumo de recursos, en lugar de solo centrarnos en la rapidez con la que se agotan.
+* Hemos creado una nueva categoría, **"Acceso Ilimitado a Flujos de Negocio Sensibles"**, para abordar nuevas amenazas, incluidas muchas que pueden mitigarse mediante limitación de tasas (rate limiting).
+* Agregamos **"Consumo Inseguro de APIs"** para abordar un nuevo enfoque observado en los ataques: los atacantes han comenzado a buscar servicios integrados de un objetivo para comprometerlos, en lugar de atacar directamente las APIs de su objetivo. Este es el momento adecuado para generar conciencia sobre este riesgo creciente.
+
+Las APIs desempeñan un papel cada vez más importante en la arquitectura moderna de microservicios, aplicaciones de una sola página (SPA), aplicaciones móviles, IoT, entre otros. El **OWASP API Security Top 10** es un esfuerzo necesario para crear conciencia sobre los problemas modernos de seguridad en APIs.
+
+Esta actualización solo fue posible gracias al gran esfuerzo de varios voluntarios, quienes están listados en la [sección de Reconocimientos][4].
+
+¡Gracias!
+
+[1]: https://owasp.org/www-project-api-security/announcements/cfd/2022/
+[2]: ./0xd0-about-data.md
+[3]: ./0x10-api-security-risks.md
+[4]: ./0xd1-acknowledgments.md
diff --git a/editions/2023/es/0x10-api-security-risks.md b/editions/2023/es/0x10-api-security-risks.md
@@ -0,0 +1,41 @@
+# Riesgos de Seguridad en APIs
+
+Se utilizó la [Metodología de Evaluación de Riesgos de OWASP][1] para realizar el análisis de riesgos.
+
+La siguiente tabla resume la terminología asociada con la puntuación de riesgo.
+
+| Agentes de Amenaza | Explotabilidad | Prevalencia de la Debilidad | Detectabilidad de la Debilidad | Impacto Técnico | Impactos en el Negocio |
+| :-: | :-: | :-: | :-: | :-: | :-: |
+| Específico de APIs | Fácil: **3** | Generalizado **3** | Fácil **3** | Severo **3** | Específico del Negocio |
+| Específico de APIs | Promedio: **2** | Común **2** | Promedio **2** | Moderado **2** | Específico del Negocio |
+| Específico de APIs | Difícil: **1** | Difícil **1** | Difícil **1** | Menor **1** | Específico del Negocio |
+
+**Nota**: Este enfoque no toma en cuenta la probabilidad de que un agente de amenaza ataque. Tampoco considera detalles técnicos específicos de tu aplicación. Cualquiera de estos factores podría afectar significativamente la probabilidad de que un atacante encuentre y explote una vulnerabilidad en particular. Esta clasificación tampoco evalúa el impacto real en tu negocio.  
+
+Cada organización debe decidir cuánto riesgo de seguridad en aplicaciones y APIs está dispuesta a aceptar, según su cultura, industria y entorno regulatorio. El propósito del **OWASP API Security Top 10** no es realizar este análisis de riesgos por ti. Dado que esta edición no está basada en datos cuantitativos, la prevalencia de las debilidades se determina mediante el consenso de los miembros del equipo.
+
+## Referencias
+
+### OWASP
+
+* [Metodología de Evaluación de Riesgos de OWASP][1]
+* [Artículo sobre Modelado de Amenazas/Riesgos][2]
+
+### Externas
+
+* [ISO 31000: Gestión de Riesgos][3]
+* [ISO 27001: Sistema de Gestión de Seguridad de la Información (SGSI)][4]
+* [Marco de Ciberseguridad del NIST (EE.UU.)][5]
+* [Mitigaciones Estratégicas del ASD (Australia)][6]
+* [NIST CVSS 3.0][7]
+* [Herramienta de Modelado de Amenazas de Microsoft][8]
+
+[1]: https://owasp.org/www-project-risk-assessment-framework/
+[2]: https://owasp.org/www-community/Threat_Modeling
+[3]: https://www.iso.org/iso-31000-risk-management.html
+[4]: https://www.iso.org/isoiec-27001-information-security.html
+[5]: https://www.nist.gov/cyberframework
+[6]: https://www.asd.gov.au/infosec/mitigationstrategies.htm
+[7]: https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator
+[8]: https://www.microsoft.com/en-us/download/details.aspx?id=49168
+