Translated ['src/pentesting-cloud/aws-security/aws-basic-information/REA

src/pentesting-cloud/azure-security/az-services/az-azuread.md

@@ -184,11 +184,11 @@ Connect-AzureAD -AccountId test@corp.onmicrosoft.com -AadAccessToken $token
 {{#endtab }}
 {{#endtabs }}
 
-Cuando inicias sesión a través de la CLI en Azure con cualquier programa, estás utilizando una Aplicación de Azure de un inquilino que pertenece a Microsoft. Estas Aplicaciones, como las que puedes crear en tu cuenta, tienen un id de cliente. No podrás ver todas ellas en las listas de aplicaciones permitidas que puedes ver en la consola, pero están permitidas por defecto.
+Cuando **inicias sesión** a través de **CLI** en Azure con cualquier programa, estás utilizando una **Aplicación de Azure** de un **inquilino** que pertenece a **Microsoft**. Estas Aplicaciones, como las que puedes crear en tu cuenta, **tienen un id de cliente**. **No podrás ver todas ellas** en las **listas de aplicaciones permitidas** que puedes ver en la consola, **pero están permitidas por defecto**.
 
-Por ejemplo, un script de powershell que autentica utiliza una aplicación con el id de cliente `1950a258-227b-4e31-a9cf-717495945fc2`. Incluso si la aplicación no aparece en la consola, un administrador del sistema podría bloquear esa aplicación para que los usuarios no puedan acceder utilizando herramientas que se conectan a través de esa Aplicación.
+Por ejemplo, un **script de powershell** que **autentica** utiliza una aplicación con el id de cliente **`1950a258-227b-4e31-a9cf-717495945fc2`**. Incluso si la aplicación no aparece en la consola, un sysadmin podría **bloquear esa aplicación** para que los usuarios no puedan acceder utilizando herramientas que se conectan a través de esa App.
 
-Sin embargo, hay otros ids de cliente de aplicaciones que te permitirán conectarte a Azure:
+Sin embargo, hay **otros ids de cliente** de aplicaciones que **te permitirán conectarte a Azure**:
 ```bash
 # The important part is the ClientId, which identifies the application to login inside Azure
 
@@ -365,7 +365,7 @@ $password = "ThisIsTheNewPassword.!123" | ConvertTo- SecureString -AsPlainText
 ```
 ### MFA y Políticas de Acceso Condicional
 
-Se recomienda encarecidamente agregar MFA a cada usuario, sin embargo, algunas empresas no lo configurarán o podrían configurarlo con un Acceso Condicional: El usuario será **requerido MFA si** inicia sesión desde una ubicación, navegador o **alguna condición** específica. Estas políticas, si no se configuran correctamente, pueden ser propensas a **bypasses**. Verifica:
+Se recomienda encarecidamente agregar MFA a cada usuario, sin embargo, algunas empresas no lo configurarán o podrían configurarlo con un Acceso Condicional: El usuario será **requerido MFA si** inicia sesión desde una ubicación específica, navegador o **alguna condición**. Estas políticas, si no se configuran correctamente, pueden ser propensas a **bypasses**. Verifica:
 
 {{#ref}}
 ../az-privilege-escalation/az-entraid-privesc/az-conditional-access-policies-mfa-bypass.md
@@ -714,10 +714,10 @@ Para más información sobre Aplicaciones consulta:
 ../az-basic-information/
 {{#endref}}
 
-Cuando se genera una aplicación, se otorgan 2 tipos de permisos:
+Cuando se genera una App, se otorgan 2 tipos de permisos:
 
 - **Permisos** otorgados al **Service Principal**
-- **Permisos** que la **aplicación** puede tener y usar en **nombre del usuario**.
+- **Permisos** que la **app** puede tener y usar en **nombre del usuario**.
 
 {{#tabs }}
 {{#tab name="az cli" }}
@@ -1120,7 +1120,7 @@ Verifique:
 
 La Protección de Identidad de Entra es un servicio de seguridad que permite **detectar cuándo un usuario o un inicio de sesión es demasiado arriesgado** para ser aceptado, permitiendo **bloquear** al usuario o el intento de inicio de sesión.
 
-Permite al administrador configurarlo para **bloquear** intentos cuando el riesgo es "Bajo y superior", "Medio y superior" o "Alto". Aunque, por defecto, está completamente **deshabilitado**:
+Permite al administrador configurarlo para **bloquear** intentos cuando el riesgo es "Bajo y superior", "Medio y superior" o "Alto". Sin embargo, por defecto está completamente **deshabilitado**:
 
 <figure><img src="../../../images/image (356).png" alt=""><figcaption></figcaption></figure>
 

src/pentesting-cloud/azure-security/az-services/az-cloud-shell.md

@@ -10,7 +10,7 @@ No hay permisos asignados a este servicio, por lo tanto, no hay técnicas de esc
 
 ### Características Clave
 
-**Entorno**: Azure Cloud Shell proporciona un entorno seguro al ejecutarse en Azure Linux, la propia distribución de Linux de Microsoft diseñada para infraestructura en la nube. Todos los paquetes incluidos en el repositorio de Azure Linux son compilados internamente por Microsoft para protegerse contra ataques de la cadena de suministro.  
+**Entorno**: Azure Cloud Shell proporciona un entorno seguro al ejecutarse en Azure Linux, la propia distribución de Linux de Microsoft diseñada para infraestructura en la nube. Todos los paquetes incluidos en el repositorio de Azure Linux son compilados internamente por Microsoft para protegerse contra ataques a la cadena de suministro.  
 **Herramientas Preinstaladas**: Cloud Shell incluye un conjunto completo de herramientas preinstaladas como Azure CLI, Azure PowerShell, Terraform, Docker CLI, Ansible, Git y editores de texto como vim, nano y emacs. Estas herramientas están listas para usar. Para listar los paquetes y módulos instalados, puedes usar "Get-Module -ListAvailable", "tdnf list" y "pip3 list".  
 **Persistencia de $HOME**: Al iniciar Azure Cloud Shell por primera vez, puedes usarlo con o sin una cuenta de almacenamiento adjunta. Elegir no adjuntar almacenamiento crea una sesión efímera donde los archivos se eliminan al finalizar la sesión. Para persistir archivos entre sesiones, monta una cuenta de almacenamiento, que se adjunta automáticamente como **$HOME\clouddrive**, con tu directorio **$HOME** guardado como un archivo **.img** en Azure File Share. Sin embargo, los archivos fuera de $HOME y los estados de la máquina no se persisten. Para almacenar de forma segura secretos como claves SSH, utiliza Azure Key Vault.  
 **Unidad de Azure (Azure:)**: PowerShell en Azure Cloud Shell incluye la unidad de Azure (Azure:), que permite una navegación fácil de los recursos de Azure como Compute, Network y Storage utilizando comandos similares a los del sistema de archivos. Cambia a la unidad de Azure con cd Azure: y regresa a tu directorio personal con cd ~. Aún puedes usar cmdlets de Azure PowerShell para gestionar recursos desde cualquier unidad.  

src/pentesting-cloud/azure-security/az-services/az-cosmosDB.md

@@ -110,7 +110,7 @@ Get-AzCosmosDBSqlUserDefinedFunction -ResourceGroupName "<ResourceGroupName>" -A
 
 #### Conexión
 
-Para conectar la biblioteca azure-cosmosDB (pip install azure-cosmos) es necesario. Además, el endpoint y la clave son componentes cruciales para establecer la conexión.
+Para conectar la biblioteca azure-cosmosDB (pip install azure-cosmos) es necesario. Además, el endpoint y la clave son componentes cruciales para realizar la conexión.
 ```python
 from azure.cosmos import CosmosClient, PartitionKey
 
@@ -312,4 +312,6 @@ print(f"Inserted document with ID: {result.inserted_id}")
 * Echar un vistazo a la post explotación "Microsoft.DocumentDB/databaseAccounts/mongodbUserDefinitions/write" && "Microsoft.DocumentDB/databaseAccounts/mongodbUserDefinitions/read" y definiciones de roles porque aquí podría haber una escalación de privilegios
 * Echar un vistazo a las restauraciones
 
+
+
 {{#include ../../../banners/hacktricks-training.md}}

src/pentesting-cloud/azure-security/az-services/az-file-shares.md

@@ -4,7 +4,7 @@
 
 ## Información Básica
 
-**Azure Files** es un servicio de almacenamiento de archivos en la nube completamente gestionado que proporciona almacenamiento de archivos compartidos accesible a través de los protocolos estándar **SMB (Server Message Block)** y **NFS (Network File System)**. Aunque el protocolo principal utilizado es SMB, las comparticiones de archivos de Azure NFS no son compatibles con Windows (según la [**documentación**](https://learn.microsoft.com/en-us/azure/storage/files/files-nfs-protocol)). Permite crear comparticiones de archivos en red altamente disponibles que pueden ser accedidas simultáneamente por múltiples máquinas virtuales (VMs) o sistemas locales, lo que permite un intercambio de archivos sin problemas entre entornos.
+**Azure Files** es un servicio de almacenamiento de archivos en la nube completamente gestionado que proporciona almacenamiento de archivos compartidos accesible a través de los protocolos estándar **SMB (Server Message Block)** y **NFS (Network File System)**. Aunque el protocolo principal utilizado es SMB, los compartidos de archivos de Azure NFS no son compatibles con Windows (según la [**documentación**](https://learn.microsoft.com/en-us/azure/storage/files/files-nfs-protocol)). Permite crear compartidos de archivos en red altamente disponibles que pueden ser accedidos simultáneamente por múltiples máquinas virtuales (VMs) o sistemas locales, lo que permite un intercambio de archivos sin problemas entre entornos.
 
 ### Niveles de Acceso
 
@@ -25,7 +25,7 @@
 
 - **Autenticación de AD DS local**: Utiliza credenciales de Active Directory locales sincronizadas con Microsoft Entra ID para acceso basado en identidad. Requiere conectividad de red a AD DS local.
 - **Autenticación de Microsoft Entra Domain Services**: Aprovecha los Servicios de Dominio de Microsoft Entra (AD basado en la nube) para proporcionar acceso utilizando credenciales de Microsoft Entra.
-- **Microsoft Entra Kerberos para Identidades Híbridas**: Permite a los usuarios de Microsoft Entra autenticar las comparticiones de archivos de Azure a través de Internet utilizando Kerberos. Soporta VMs unidas a Microsoft Entra híbridas o unidas a Microsoft Entra sin requerir conectividad a controladores de dominio locales. Pero no soporta identidades solo en la nube.
+- **Microsoft Entra Kerberos para Identidades Híbridas**: Permite a los usuarios de Microsoft Entra autenticar compartidos de archivos de Azure a través de Internet utilizando Kerberos. Soporta VMs unidas a Microsoft Entra híbridas o unidas a Microsoft Entra sin requerir conectividad a controladores de dominio locales. Pero no soporta identidades solo en la nube.
 - **Autenticación de Kerberos de AD para Clientes de Linux**: Permite a los clientes de Linux utilizar Kerberos para la autenticación SMB a través de AD DS local o Servicios de Dominio de Microsoft Entra.
 
 ## Enumeración

src/pentesting-cloud/azure-security/az-services/az-function-apps.md

@@ -13,9 +13,9 @@
 
 - **Flex Consumption Plan**: Ofrece **escalado dinámico impulsado por eventos** con precios de pago por uso, añadiendo o eliminando instancias de función según la demanda. Soporta **redes virtuales** y **instancias pre-provisionadas** para reducir los inicios en frío, lo que lo hace adecuado para **cargas de trabajo variables** que no requieren soporte de contenedores.
 - **Traditional Consumption Plan**: La opción sin servidor predeterminada, donde **solo pagas por los recursos de computación cuando se ejecutan las funciones**. Escala automáticamente según los eventos entrantes e incluye **optimización de inicios en frío**, pero no admite implementaciones de contenedores. Ideal para **cargas de trabajo intermitentes** que requieren escalado automático.
-- **Premium Plan**: Diseñado para **rendimiento consistente**, con **trabajadores precalentados** para eliminar los inicios en frío. Ofrece **tiempos de ejecución extendidos, redes virtuales** y admite **imágenes de Linux personalizadas**, lo que lo hace perfecto para **aplicaciones críticas** que necesitan alto rendimiento y características avanzadas.
-- **Dedicated Plan**: Se ejecuta en máquinas virtuales dedicadas con **facturación predecible** y admite escalado manual o automático. Permite ejecutar múltiples aplicaciones en el mismo plan, proporciona **aislamiento de computación** y asegura **acceso seguro a la red** a través de App Service Environments, lo que lo hace ideal para **aplicaciones de larga duración** que necesitan asignación de recursos consistente.
-- **Container Apps**: Permite desplegar **aplicaciones de función en contenedores** en un entorno gestionado, junto con microservicios y APIs. Soporta bibliotecas personalizadas, migración de aplicaciones heredadas y **procesamiento GPU**, eliminando la gestión del clúster de Kubernetes. Ideal para **aplicaciones escalables en contenedores impulsadas por eventos**.
+- **Premium Plan**: Diseñado para **rendimiento consistente**, con **trabajadores precalentados** para eliminar los inicios en frío. Ofrece **tiempos de ejecución extendidos, redes virtuales**, y soporta **imágenes de Linux personalizadas**, lo que lo hace perfecto para **aplicaciones críticas** que necesitan alto rendimiento y características avanzadas.
+- **Dedicated Plan**: Se ejecuta en máquinas virtuales dedicadas con **facturación predecible** y soporta escalado manual o automático. Permite ejecutar múltiples aplicaciones en el mismo plan, proporciona **aislamiento de computación**, y asegura **acceso seguro a la red** a través de App Service Environments, lo que lo hace ideal para **aplicaciones de larga duración** que necesitan asignación de recursos consistente.
+- **Container Apps**: Permite desplegar **aplicaciones de función en contenedores** en un entorno gestionado, junto con microservicios y APIs. Soporta bibliotecas personalizadas, migración de aplicaciones heredadas, y **procesamiento GPU**, eliminando la gestión del clúster de Kubernetes. Ideal para **aplicaciones escalables en contenedores impulsadas por eventos**.
 
 ### **Buckets de Almacenamiento**
 
@@ -46,7 +46,7 @@ Usando un desencadenador HTTP:
 
 Es posible configurar variables de entorno dentro de una aplicación, que podrían contener información sensible. Además, por defecto se crean las variables de entorno **`AzureWebJobsStorage`** y **`WEBSITE_CONTENTAZUREFILECONNECTIONSTRING`** (entre otras). Estas son especialmente interesantes porque **contienen la clave de la cuenta para controlar con PERMISOS COMPLETOS la cuenta de almacenamiento que contiene los datos de la aplicación**. Estas configuraciones también son necesarias para ejecutar el código desde la cuenta de almacenamiento.
 
-Estas variables de entorno o parámetros de configuración también controlan cómo la Function ejecuta el código, por ejemplo, si **`WEBSITE_RUN_FROM_PACKAGE`** existe, indicará la URL donde se encuentra el código de la aplicación.
+Estas variables de entorno o parámetros de configuración también controlan cómo la función ejecuta el código, por ejemplo, si **`WEBSITE_RUN_FROM_PACKAGE`** existe, indicará la URL donde se encuentra el código de la aplicación.
 
 ### **Sandbox de Funciones**
 
@@ -58,7 +58,7 @@ En una **función de Windows** usando NodeJS, el código se encontraba en **`C:\
 
 Al igual que [**VMs**](vms/index.html), las Functions pueden tener **Identidades Gestionadas** de 2 tipos: Asignadas por el sistema y Asignadas por el usuario.
 
-La **asignada por el sistema** será una identidad gestionada que **solo la función** que la tiene asignada podrá usar, mientras que las identidades gestionadas **asignadas por el usuario** son identidades gestionadas que **cualquier otro servicio de Azure podrá usar**.
+La **asignada por el sistema** será una identidad gestionada que **solo la función** que la tiene asignada podrá usar, mientras que las **identidades gestionadas asignadas por el usuario** son identidades gestionadas que **cualquier otro servicio de Azure podrá usar**.
 
 > [!NOTE]
 > Al igual que en [**VMs**](vms/index.html), las Functions pueden tener **1 identidad gestionada asignada por el sistema** y **varias asignadas por el usuario**, por lo que siempre es importante intentar encontrar todas ellas si comprometes la función porque podrías ser capaz de escalar privilegios a varias identidades gestionadas desde solo una Function.
@@ -79,7 +79,7 @@ Ten en cuenta que necesitas encontrar una manera de **verificar todas las Identi
 Al crear un endpoint dentro de una función usando un **desencadenador HTTP**, es posible indicar el **nivel de autorización de clave de acceso** necesario para activar la función. Hay tres opciones disponibles:
 
 - **ANONYMOUS**: **Todos** pueden acceder a la función a través de la URL.
-- **FUNCTION**: El endpoint solo es accesible para usuarios que utilizan una **clave de función, host o maestra**.
+- **FUNCTION**: El endpoint solo es accesible para usuarios que usan una **clave de función, host o maestra**.
 - **ADMIN**: El endpoint solo es accesible para usuarios con una **clave maestra**.
 
 **Tipo de claves:**
@@ -96,7 +96,7 @@ Al crear un endpoint dentro de una función usando un **desencadenador HTTP**, e
 
 ### Autenticación Básica
 
-Al igual que en App Services, las Functions también admiten autenticación básica para conectarse a **SCM** y **FTP** para desplegar código usando un **nombre de usuario y contraseña en una URL** proporcionada por Azure. Más información al respecto en:
+Al igual que en los App Services, las Functions también admiten autenticación básica para conectarse a **SCM** y **FTP** para desplegar código usando un **nombre de usuario y contraseña en una URL** proporcionada por Azure. Más información al respecto en:
 
 {{#ref}}
 az-app-services.md
@@ -104,7 +104,7 @@ az-app-services.md
 
 ### Implementaciones Basadas en Github
 
-Cuando se genera una función a partir de un repositorio de Github, la consola web de Azure permite **crear automáticamente un flujo de trabajo de Github en un repositorio específico** para que cada vez que se actualice este repositorio, se actualice el código de la función. De hecho, el yaml de Github Action para una función de python se ve así:
+Cuando se genera una función a partir de un repositorio de Github, la consola web de Azure permite **crear automáticamente un flujo de trabajo de Github en un repositorio específico**, de modo que cada vez que se actualice este repositorio, se actualice el código de la función. De hecho, el yaml de Github Action para una función de python se ve así:
 
 <details>
 

src/pentesting-cloud/azure-security/az-services/az-logic-apps.md

@@ -11,7 +11,7 @@ Logic Apps proporciona un diseñador visual para crear flujos de trabajo con una
 ### Ejemplos
 
 - **Automatización de Pipelines de Datos**: Logic Apps puede automatizar **procesos de transferencia y transformación de datos** en combinación con Azure Data Factory. Esto es útil para crear pipelines de datos escalables y confiables que mueven y transforman datos entre varios almacenes de datos, como Azure SQL Database y Azure Blob Storage, ayudando en operaciones de análisis e inteligencia empresarial.
-- **Integración con Azure Functions**: Logic Apps puede trabajar junto a Azure Functions para desarrollar **aplicaciones sofisticadas impulsadas por eventos que escalan según sea necesario** e integran sin problemas con otros servicios de Azure. Un caso de uso de ejemplo es utilizar un Logic App para activar una Azure Function en respuesta a ciertos eventos, como cambios en una cuenta de Azure Storage, permitiendo un procesamiento de datos dinámico.
+- **Integración con Azure Functions**: Logic Apps puede trabajar junto a Azure Functions para desarrollar **aplicaciones sofisticadas impulsadas por eventos que escalan según sea necesario** e integran sin problemas con otros servicios de Azure. Un caso de uso de ejemplo es usar un Logic App para activar una Azure Function en respuesta a ciertos eventos, como cambios en una cuenta de Azure Storage, permitiendo un procesamiento de datos dinámico.
 
 ### Visualizar un LogicAPP
 
@@ -142,7 +142,7 @@ Get-AzLogicAppTriggerHistory -ResourceGroupName "<ResourceGroupName>" -Name "<Lo
 
 * Esquemas: Gestionar esquemas XML para validar y procesar mensajes en su cuenta de integración.
 * Mapas: Configurar transformaciones basadas en XSLT para convertir formatos de datos dentro de sus flujos de trabajo de integración.
-* Ensamblajes: Gestionar ensamblajes de la cuenta de integración para optimizar la lógica y el procesamiento de datos.
+* Ensamblajes: Gestionar ensamblajes de cuentas de integración para optimizar la lógica y el procesamiento de datos.
 * Certificados: Manejar certificados para cifrar y firmar mensajes, asegurando una comunicación segura.
 * Socios: Gestionar información de socios comerciales para transacciones B2B, permitiendo integraciones sin problemas.
 * Acuerdos: Configurar reglas y ajustes para intercambiar datos con socios comerciales (por ejemplo, EDI, AS2).
@@ -251,7 +251,7 @@ Get-AzIntegrationAccountSchema -ResourceGroupName <resource-group-name> -Integra
 
 ## Escalación de Privilegios
 
-Igual que la escalación de privilegios de las aplicaciones lógicas:
+Lo mismo que la escalación de privilegios de las aplicaciones lógicas:
 
 {{#ref}}
 ../az-privilege-escalation/az-logic-apps-privesc.md

src/pentesting-cloud/azure-security/az-services/az-mysql.md

@@ -1,4 +1,4 @@
-# Az - Bases de Datos MySQL
+# Az - Bases de datos MySQL
 
 {{#include ../../../banners/hacktricks-training.md}}
 
@@ -149,4 +149,6 @@ az mysql flexible-server deploy run \
 
 * Buscar una forma de acceder con mysql flexible-server ad-admin para verificar que es un método de escalación de privilegios
 
+
+
 {{#include ../../../banners/hacktricks-training.md}}

src/pentesting-cloud/azure-security/az-services/az-postgresql.md

@@ -3,7 +3,7 @@
 {{#include ../../../banners/hacktricks-training.md}}
 
 ## Azure PostgreSQL
-**Azure Database for PostgreSQL** es un servicio de **base de datos relacional completamente gestionado basado en la edición comunitaria de PostgreSQL**. Está diseñado para proporcionar escalabilidad, seguridad y flexibilidad para diversas necesidades de aplicaciones. Similar a Azure MySQL, PostgreSQL ofrece dos modelos de implementación:
+**Azure Database for PostgreSQL** es un servicio de **base de datos relacional completamente gestionado basado en PostgreSQL** Community Edition. Está diseñado para proporcionar escalabilidad, seguridad y flexibilidad para diversas necesidades de aplicaciones. Similar a Azure MySQL, PostgreSQL ofrece dos modelos de implementación:
 
 * **Servidor Único** (en la ruta de retiro):
 - Optimizado para implementaciones de PostgreSQL sencillas y rentables.
@@ -21,7 +21,7 @@
 * **Monitoreo Activo**: Accede a métricas y registros detallados para rastrear y mejorar el rendimiento de la base de datos.
 * **Detener/Iniciar Servidor**: Los usuarios pueden detener e iniciar el servidor.
 * **Copias de Seguridad Automáticas**: Copias de seguridad diarias integradas con períodos de retención configurables de hasta 35 días.
-* **Acceso Basado en Roles**: Controla los permisos de los usuarios y el acceso administrativo a través de Azure Active Directory.
+* **Acceso Basado en Roles**: Controla los permisos de usuario y el acceso administrativo a través de Azure Active Directory.
 * **Seguridad y Redes**: puede gestionar las reglas del firewall del servidor para un acceso seguro a la base de datos y desacoplar configuraciones de red virtual según sea necesario.
 
 ### Enumeración

src/pentesting-cloud/azure-security/az-services/az-queue-enum.md

@@ -4,7 +4,7 @@
 
 ## Información Básica
 
-Azure Queue Storage es un servicio en la plataforma de nube Azure de Microsoft diseñado para la cola de mensajes entre componentes de la aplicación, **permitiendo la comunicación asíncrona y el desacoplamiento**. Te permite almacenar un número ilimitado de mensajes, cada uno de hasta 64 KB de tamaño, y soporta operaciones como crear y eliminar colas, agregar, recuperar, actualizar y eliminar mensajes, así como gestionar metadatos y políticas de acceso. Aunque típicamente procesa mensajes en un orden de primero en entrar, primero en salir (FIFO), no se garantiza un FIFO estricto.
+Azure Queue Storage es un servicio en la plataforma de nube Azure de Microsoft diseñado para la cola de mensajes entre componentes de la aplicación, **permitiendo la comunicación asíncrona y desacoplando**. Te permite almacenar un número ilimitado de mensajes, cada uno de hasta 64 KB de tamaño, y soporta operaciones como crear y eliminar colas, agregar, recuperar, actualizar y eliminar mensajes, así como gestionar metadatos y políticas de acceso. Aunque típicamente procesa mensajes en un orden de primero en entrar, primero en salir (FIFO), no se garantiza un FIFO estricto.
 
 ### Enumeración
 

src/pentesting-cloud/azure-security/az-services/az-servicebus-enum.md

@@ -16,7 +16,7 @@ Azure Service Bus es un **servicio de mensajería** basado en la nube diseñado
 - Múltiples suscripciones independientes reciben copias de los mensajes.
 - Las suscripciones pueden tener reglas/filtros para controlar la entrega o agregar metadatos.
 - Soporta comunicación de muchos a muchos.
-3. **Espacios de Nombres:** Un contenedor para todos los componentes de mensajería, colas y temas, es como tu propia porción de un poderoso clúster de Azure, proporcionando capacidad dedicada y opcionalmente abarcando tres zonas de disponibilidad.
+3. **Espacios de Nombres:** Un contenedor para todos los componentes de mensajería, colas y temas, es como tu propia parte de un poderoso clúster de Azure, proporcionando capacidad dedicada y opcionalmente abarcando tres zonas de disponibilidad.
 
 ### Características Avanzadas
 

src/pentesting-cloud/azure-security/az-services/vms/README.md

@@ -19,7 +19,7 @@ Las Máquinas Virtuales (VMs) de Azure son servidores **basados en la nube flexi
 - **Zonas de Disponibilidad**: Las zonas de disponibilidad son grupos distintos de centros de datos dentro de una región específica de Azure que están físicamente separados para minimizar el riesgo de que múltiples zonas se vean afectadas por cortes locales o desastres.
 - **Tipo de Seguridad**:
 - **Seguridad Estándar**: Este es el tipo de seguridad predeterminado que no requiere ninguna configuración específica.
-- **Lanzamiento Confiable**: Este tipo de seguridad mejora la protección contra kits de arranque y malware a nivel de kernel utilizando Secure Boot y Módulo de Plataforma de Confianza Virtual (vTPM).
+- **Lanzamiento Confiable**: Este tipo de seguridad mejora la protección contra kits de arranque y malware a nivel de kernel utilizando Secure Boot y Módulo de Plataforma Confiable Virtual (vTPM).
 - **VMs Confidenciales**: Además de un lanzamiento confiable, ofrece aislamiento basado en hardware entre la VM, el hipervisor y la gestión del host, mejora la encriptación del disco y [**más**](https://learn.microsoft.com/en-us/azure/confidential-computing/confidential-vm-overview)**.**
 - **Autenticación**: Por defecto, se genera una nueva **clave SSH**, aunque es posible usar una clave pública o usar una clave anterior y el nombre de usuario por defecto es **azureuser**. También es posible configurar el uso de una **contraseña.**
 - **Encriptación de disco de VM:** El disco está encriptado en reposo por defecto utilizando una clave gestionada por la plataforma.
@@ -28,18 +28,18 @@ Las Máquinas Virtuales (VMs) de Azure son servidores **basados en la nube flexi
 - **Ninguno**: Básicamente abre todos los puertos
 - **Básico**: Permite abrir fácilmente los puertos de entrada HTTP (80), HTTPS (443), SSH (22), RDP (3389)
 - **Avanzado**: Selecciona un grupo de seguridad
-- **Copia de seguridad**: Es posible habilitar copia de seguridad **Estándar** (una al día) y **Mejorada** (múltiples al día)
+- **Copia de seguridad**: Es posible habilitar la copia de seguridad **Estándar** (una al día) y **Mejorada** (múltiples al día)
 - **Opciones de orquestación de parches**: Esto permite aplicar automáticamente parches en las VMs de acuerdo con la política seleccionada como se describe en los [**docs**](https://learn.microsoft.com/en-us/azure/virtual-machines/automatic-vm-guest-patching).
 - **Alertas**: Es posible recibir automáticamente alertas por correo electrónico o aplicación móvil cuando algo sucede en la VM. Reglas predeterminadas:
-- El porcentaje de CPU es mayor al 80%
-- Los bytes de memoria disponible son menos de 1GB
-- El porcentaje de IOPS consumidos de discos de datos es mayor al 95%
-- El porcentaje de IOPS consumidos del SO es mayor al 95%
-- La red total es mayor a 500GB
-- La red de salida total es mayor a 200GB
-- VmAvailabilityMetric es menor a 1
-- **Monitor de salud**: Por defecto verifica el protocolo HTTP en el puerto 80
-- **Bloqueos**: Permite bloquear una VM para que solo pueda ser leída (**Bloqueo de Solo Lectura**) o que pueda ser leída y actualizada pero no eliminada (**Bloqueo No Eliminable**).
+- Porcentaje de CPU es mayor que 80%
+- Bytes de Memoria Disponible es menor que 1GB
+- Porcentaje de IOPS Consumidos de Discos de Datos es mayor que 95%
+- Porcentaje de IOPS Consumidos del SO es mayor que 95%
+- Red en Total es mayor que 500GB
+- Red Saliente Total es mayor que 200GB
+- VmAvailabilityMetric es menor que 1
+- **Monitor de Salud**: Por defecto verifica el protocolo HTTP en el puerto 80
+- **Bloqueos**: Permite bloquear una VM para que solo pueda ser leída (**Bloqueo de Solo Lectura**) o que pueda ser leída y actualizada pero no eliminada (**Bloqueo de No Se Puede Eliminar**).
 - La mayoría de los recursos relacionados con VM **también soportan bloqueos** como discos, instantáneas...
 - Los bloqueos también se pueden aplicar a **niveles de grupo de recursos y suscripción**
 
@@ -142,17 +142,17 @@ Get-AzRestorePointCollection -Name <CollectionName> -ResourceGroupName <Resource
 {{#endtab}}
 {{#endtabs}}
 
-## Azure Site Recovery
+## Recuperación de Sitios de Azure
 
-De los [**docs**](https://learn.microsoft.com/en-us/azure/site-recovery/site-recovery-overview): Site Recovery ayuda a garantizar la continuidad del negocio manteniendo las aplicaciones y cargas de trabajo en funcionamiento durante las interrupciones. Site Recovery **replica cargas de trabajo** que se ejecutan en máquinas físicas y virtuales (VMs) desde un sitio principal a una ubicación secundaria. Cuando ocurre una interrupción en su sitio principal, se cambia a una ubicación secundaria y se accede a las aplicaciones desde allí. Después de que la ubicación principal vuelva a funcionar, puede regresar a ella.
+De los [**docs**](https://learn.microsoft.com/en-us/azure/site-recovery/site-recovery-overview): La Recuperación de Sitios ayuda a garantizar la continuidad del negocio manteniendo las aplicaciones y cargas de trabajo en funcionamiento durante las interrupciones. La Recuperación de Sitios **replica cargas de trabajo** que se ejecutan en máquinas físicas y virtuales (VMs) desde un sitio principal a una ubicación secundaria. Cuando ocurre una interrupción en su sitio principal, se cambia a una ubicación secundaria y se accede a las aplicaciones desde allí. Después de que la ubicación principal vuelva a funcionar, puede regresar a ella.
 
-## Azure Bastion
+## Bastión de Azure
 
-Azure Bastion permite el acceso seguro y sin problemas al **Remote Desktop Protocol (RDP)** y **Secure Shell (SSH)** a sus máquinas virtuales (VMs) directamente a través del Portal de Azure o mediante un jump box. Al **eliminar la necesidad de direcciones IP públicas** en sus VMs.
+El Bastión de Azure permite un acceso seguro y sin problemas al **Protocolo de Escritorio Remoto (RDP)** y **Shell Seguro (SSH)** a sus máquinas virtuales (VMs) directamente a través del Portal de Azure o mediante un jump box. Al **eliminar la necesidad de direcciones IP públicas** en sus VMs.
 
-El Bastion despliega una subred llamada **`AzureBastionSubnet`** con una máscara de red `/26` en la VNet en la que necesita trabajar. Luego, permite **conectarse a VMs internas a través del navegador** utilizando `RDP` y `SSH`, evitando exponer puertos de las VMs a Internet. También puede funcionar como un **jump host**.
+El Bastión despliega una subred llamada **`AzureBastionSubnet`** con una máscara de red `/26` en la VNet en la que necesita trabajar. Luego, permite **conectarse a VMs internas a través del navegador** utilizando `RDP` y `SSH`, evitando exponer puertos de las VMs a Internet. También puede funcionar como un **host de salto**.
 
-Para listar todos los Hosts de Azure Bastion en su suscripción y conectarse a las VMs a través de ellos, puede usar los siguientes comandos:
+Para listar todos los Hosts de Bastión de Azure en su suscripción y conectarse a las VMs a través de ellos, puede usar los siguientes comandos:
 
 {{#tabs}}
 {{#tab name="az cli"}}
@@ -189,7 +189,7 @@ Get-AzBastion
 
 ## Metadatos
 
-El Servicio de Metadatos de Instancia de Azure (IMDS) **proporciona información sobre las instancias de máquinas virtuales en ejecución** para ayudar con su gestión y configuración. Ofrece detalles como el SKU, almacenamiento, configuraciones de red e información sobre eventos de mantenimiento próximos a través de **REST API disponible en la dirección IP no enrutable 169.254.169.254**, que es accesible solo desde dentro de la VM. La comunicación entre la VM y el IMDS se mantiene dentro del host, asegurando un acceso seguro. Al consultar el IMDS, los clientes HTTP dentro de la VM deben evitar los proxies web para garantizar una comunicación adecuada.
+El Servicio de Metadatos de Instancia de Azure (IMDS) **proporciona información sobre las instancias de máquinas virtuales en ejecución** para ayudar con su gestión y configuración. Ofrece detalles como el SKU, almacenamiento, configuraciones de red e información sobre eventos de mantenimiento próximos a través de **REST API disponible en la dirección IP no enrutable 169.254.169.254**, que es accesible solo desde dentro de la VM. La comunicación entre la VM y el IMDS se mantiene dentro del host, asegurando un acceso seguro. Al consultar el IMDS, los clientes HTTP dentro de la VM deben evitar los proxies web para asegurar una comunicación adecuada.
 
 Además, para contactar el punto final de metadatos, la solicitud HTTP debe tener el encabezado **`Metadata: true`** y no debe tener el encabezado **`X-Forwarded-For`**.
 

src/pentesting-cloud/azure-security/az-services/vms/az-azure-network.md

@@ -4,14 +4,14 @@
 
 ## Información Básica
 
-Azure proporciona **redes virtuales (VNet)** que permiten a los usuarios crear **redes** **aisladas** dentro de la nube de Azure. Dentro de estas VNets, recursos como máquinas virtuales, aplicaciones, bases de datos... pueden ser alojados y gestionados de forma segura. La conectividad en Azure soporta tanto la comunicación dentro de la nube (entre servicios de Azure) como la conexión a redes externas e internet.\
+Azure proporciona **redes virtuales (VNet)** que permiten a los usuarios crear **redes aisladas** dentro de la nube de Azure. Dentro de estas VNets, recursos como máquinas virtuales, aplicaciones, bases de datos... pueden ser alojados y gestionados de forma segura. La red en Azure admite tanto la comunicación dentro de la nube (entre servicios de Azure) como la conexión a redes externas y a internet.\
 Además, es posible **conectar** VNets con otras VNets y con redes locales.
 
 ## Red Virtual (VNET) y Subredes
 
-Una Red Virtual de Azure (VNet) es una representación de tu propia red en la nube, proporcionando **aislamiento lógico** dentro del entorno de Azure dedicado a tu suscripción. Las VNets te permiten aprovisionar y gestionar redes privadas virtuales (VPNs) en Azure, alojando recursos como Máquinas Virtuales (VMs), bases de datos y servicios de aplicaciones. Ofrecen **control total sobre la configuración de la red**, incluyendo rangos de direcciones IP, creación de subredes, tablas de rutas y puertas de enlace de red.
+Una Red Virtual de Azure (VNet) es una representación de tu propia red en la nube, proporcionando **aislamiento lógico** dentro del entorno de Azure dedicado a tu suscripción. Las VNets te permiten aprovisionar y gestionar redes privadas virtuales (VPN) en Azure, alojando recursos como Máquinas Virtuales (VM), bases de datos y servicios de aplicaciones. Ofrecen **control total sobre la configuración de la red**, incluyendo rangos de direcciones IP, creación de subredes, tablas de rutas y puertas de enlace de red.
 
-**Subredes** son subdivisiones dentro de una VNet, definidas por rangos de **direcciones IP** específicos. Al segmentar una VNet en múltiples subredes, puedes organizar y asegurar recursos de acuerdo a tu arquitectura de red.\
+**Subredes** son subdivisiones dentro de una VNet, definidas por rangos de **direcciones IP** específicos. Al segmentar una VNet en múltiples subredes, puedes organizar y asegurar recursos de acuerdo con tu arquitectura de red.\
 Por defecto, todas las subredes dentro de la misma Red Virtual de Azure (VNet) **pueden comunicarse entre sí** sin ninguna restricción.
 
 **Ejemplo:**
@@ -56,7 +56,7 @@ Los NSGs pueden asociarse a **subredes y NICs.**
 **Ejemplo de reglas:**
 
 - Una regla de entrada que permite el tráfico HTTP (puerto 80) desde cualquier origen a tus servidores web.
-- Una regla de salida que permite solo tráfico SQL (puerto 1433) a un rango de direcciones IP de destino específico.
+- Una regla de salida que permite solo el tráfico SQL (puerto 1433) a un rango de direcciones IP de destino específico.
 
 ### Enumeración
 
@@ -97,12 +97,12 @@ Está disponible en tres SKUs—**Básico**, **Estándar** y **Premium**, cada u
 
 | Criterio/Característica       | Opción 1	                                         | Opción 2                                    | Opción 3                                                  |
 | ------------------------------ | ------------------------------------------------- | ------------------------------------------- | --------------------------------------------------------- |
-| **Caso de Uso Recomendado**    | Pequeñas/Medianas Empresas (PMEs) con necesidades limitadas | Uso empresarial general, filtrado de Capas 3–7 | Entornos altamente sensibles (por ejemplo, procesamiento de pagos)  |
-| **Rendimiento**                | Hasta 250 Mbps de rendimiento                     | Hasta 30 Gbps de rendimiento                | Hasta 100 Gbps de rendimiento                             |
-| **Inteligencia de Amenazas**   | Solo alertas                                      | Alertas y bloqueo (IPs/dominios maliciosos) | Alertas y bloqueo (inteligencia de amenazas avanzada)     |
-| **Filtrado L3–L7**            | Filtrado básico                                   | Filtrado con estado a través de protocolos   | Filtrado con estado con inspección avanzada               |
-| **Protección Avanzada contra Amenazas** | No disponible                                     | Filtrado basado en inteligencia de amenazas | Incluye Sistema de Detección y Prevención de Intrusiones (IDPS) |
-| **Inspección TLS**             | No disponible                                     | No disponible                               | Soporta terminación TLS entrante/saliente                |
+| **Caso de Uso Recomendado**   | Pequeñas/Medianas Empresas (PYMEs) con necesidades limitadas | Uso empresarial general, filtrado de Capas 3–7 | Entornos altamente sensibles (por ejemplo, procesamiento de pagos)  |
+| **Rendimiento**               | Hasta 250 Mbps de rendimiento                     | Hasta 30 Gbps de rendimiento                | Hasta 100 Gbps de rendimiento                             |
+| **Inteligencia de Amenazas**  | Solo alertas                                      | Alertas y bloqueo (IPs/dominios maliciosos) | Alertas y bloqueo (inteligencia de amenazas avanzada)    |
+| **Filtrado L3–L7**            | Filtrado básico                                   | Filtrado con estado a través de protocolos  | Filtrado con estado con inspección avanzada               |
+| **Protección Avanzada contra Amenazas** | No disponible                             | Filtrado basado en inteligencia de amenazas | Incluye Sistema de Detección y Prevención de Intrusiones (IDPS) |
+| **Inspección TLS**            | No disponible                                     | No disponible                               | Soporta terminación TLS entrante/saliente                |
 | **Disponibilidad**             | Backend fijo (2 VMs)                             | Escalado automático                         | Escalado automático                                       |
 | **Facilidad de Gestión**       | Controles básicos                                 | Gestionado a través del Firewall Manager    | Gestionado a través del Firewall Manager                  |
 
@@ -145,7 +145,7 @@ Get-AzFirewall
 
 Las **Tablas de Rutas de Azure** se utilizan para controlar el enrutamiento del tráfico de red dentro de una subred. Definen reglas que especifican cómo se deben reenviar los paquetes, ya sea a recursos de Azure, a internet o a un siguiente salto específico como un Appliance Virtual o Azure Firewall. Puedes asociar una tabla de rutas con una **subred**, y todos los recursos dentro de esa subred seguirán las rutas en la tabla.
 
-**Ejemplo:** Si una subred alberga recursos que necesitan enrutar el tráfico saliente a través de un Network Virtual Appliance (NVA) para inspección, puedes crear una **ruta** en una tabla de rutas para redirigir todo el tráfico (por ejemplo, `0.0.0.0/0`) a la dirección IP privada del NVA como el siguiente salto.
+**Ejemplo:** Si una subred alberga recursos que necesitan enrutar tráfico saliente a través de un Appliance Virtual de Red (NVA) para inspección, puedes crear una **ruta** en una tabla de rutas para redirigir todo el tráfico (por ejemplo, `0.0.0.0/0`) a la dirección IP privada del NVA como el siguiente salto.
 
 ### **Enumeración**
 
@@ -212,7 +212,7 @@ Los Puntos de Conexión de Servicio de Azure extienden el espacio de direcciones
 
 **Ejemplo:**
 
-Por ejemplo, una **cuenta de Azure Storage** por defecto es accesible a través de internet público. Al habilitar un **punto de conexión de servicio para Azure Storage dentro de su VNet**, puede asegurarse de que solo el tráfico de su VNet pueda acceder a la cuenta de almacenamiento. El firewall de la cuenta de almacenamiento puede configurarse para aceptar tráfico solo de su VNet.
+Por ejemplo, una cuenta de **Azure Storage** por defecto es accesible a través de internet público. Al habilitar un **punto de conexión de servicio para Azure Storage dentro de su VNet**, puede asegurarse de que solo el tráfico de su VNet pueda acceder a la cuenta de almacenamiento. El firewall de la cuenta de almacenamiento puede configurarse para aceptar tráfico solo de su VNet.
 
 ### **Enumeración**
 
@@ -254,16 +254,16 @@ Microsoft recomienda usar Private Links en la [**docs**](https://learn.microsoft
 **Private Links:**
 
 - Private Link mapea los servicios de Azure en tu VNet a través de un endpoint privado, que es una interfaz de red con una dirección IP privada dentro de tu VNet.
-- El servicio de Azure se accede utilizando esta dirección IP privada, haciendo que parezca que es parte de tu red.
+- El servicio de Azure se accede utilizando esta dirección IP privada, haciendo que parezca parte de tu red.
 - Los servicios conectados a través de Private Link solo pueden ser accedidos desde tu VNet o redes conectadas; no hay acceso público a internet al servicio.
 - Permite una conexión segura a los servicios de Azure o a tus propios servicios alojados en Azure, así como una conexión a servicios compartidos por otros.
-- Proporciona un control de acceso más granular a través de un endpoint privado en tu VNet, en lugar de un control de acceso más amplio a nivel de subred con los service endpoints.
+- Proporciona un control de acceso más granular a través de un endpoint privado en tu VNet, en lugar de un control de acceso más amplio a nivel de subred con service endpoints.
 
-En resumen, aunque tanto los Service Endpoints como los Private Links proporcionan conectividad segura a los servicios de Azure, **los Private Links ofrecen un mayor nivel de aislamiento y seguridad al garantizar que los servicios se accedan de forma privada sin exponerlos a internet público**. Los Service Endpoints, por otro lado, son más fáciles de configurar para casos generales donde se requiere un acceso simple y seguro a los servicios de Azure sin necesidad de una IP privada en la VNet.
+En resumen, aunque tanto Service Endpoints como Private Links proporcionan conectividad segura a los servicios de Azure, **Private Links ofrecen un mayor nivel de aislamiento y seguridad al garantizar que los servicios se accedan de forma privada sin exponerlos al internet público**. Los Service Endpoints, por otro lado, son más fáciles de configurar para casos generales donde se requiere un acceso simple y seguro a los servicios de Azure sin necesidad de una IP privada en la VNet.
 
 ## Azure Front Door (AFD) y AFD WAF
 
-**Azure Front Door** es un punto de entrada escalable y seguro para la **rápida entrega** de tus aplicaciones web globales. **Combina** varios servicios como **balanceo de carga global, aceleración de sitios, descarga de SSL y capacidades de Web Application Firewall (WAF)** en un solo servicio. Azure Front Door proporciona enrutamiento inteligente basado en la **ubicación de borde más cercana al usuario**, asegurando un rendimiento y confiabilidad óptimos. Además, ofrece enrutamiento basado en URL, alojamiento de múltiples sitios, afinidad de sesión y seguridad a nivel de aplicación.
+**Azure Front Door** es un punto de entrada escalable y seguro para la **rápida entrega** de tus aplicaciones web globales. **Combina** varios servicios como **balanceo de carga global, aceleración de sitios, descarga de SSL y capacidades de Firewall de Aplicaciones Web (WAF)** en un solo servicio. Azure Front Door proporciona enrutamiento inteligente basado en la **ubicación de borde más cercana al usuario**, asegurando un rendimiento y confiabilidad óptimos. Además, ofrece enrutamiento basado en URL, alojamiento de múltiples sitios, afinidad de sesión y seguridad a nivel de aplicación.
 
 **Azure Front Door WAF** está diseñado para **proteger aplicaciones web de ataques basados en la web** sin modificar el código de backend. Incluye reglas personalizadas y conjuntos de reglas gestionadas para proteger contra amenazas como inyección SQL, scripting entre sitios y otros ataques comunes.
 
@@ -296,7 +296,7 @@ Get-AzFrontDoorWafPolicy -Name <policyName> -ResourceGroupName <resourceGroupNam
 
 ## Azure Application Gateway y Azure Application Gateway WAF
 
-Azure Application Gateway es un **balanceador de carga de tráfico web** que te permite gestionar el tráfico hacia tus **aplicaciones** web. Ofrece **balanceo de carga de Capa 7, terminación SSL y capacidades de firewall de aplicaciones web (WAF)** en el Controlador de Entrega de Aplicaciones (ADC) como servicio. Las características clave incluyen enrutamiento basado en URL, afinidad de sesión basada en cookies y descarga de capa de sockets seguros (SSL), que son cruciales para aplicaciones que requieren capacidades de balanceo de carga complejas como enrutamiento global y enrutamiento basado en rutas.
+Azure Application Gateway es un **balanceador de carga de tráfico web** que te permite gestionar el tráfico hacia tus **aplicaciones web**. Ofrece **balanceo de carga de Capa 7, terminación SSL y capacidades de firewall de aplicaciones web (WAF)** en el Controlador de Entrega de Aplicaciones (ADC) como servicio. Las características clave incluyen enrutamiento basado en URL, afinidad de sesión basada en cookies y descarga de capa de sockets seguros (SSL), que son cruciales para aplicaciones que requieren capacidades de balanceo de carga complejas como enrutamiento global y enrutamiento basado en rutas.
 
 **Ejemplo:**
 
@@ -322,10 +322,10 @@ az network application-gateway waf-config list --gateway-name <AppGatewayName> -
 
 ## Azure Hub, Spoke y Peering de VNet
 
-**El Peering de VNet** es una característica de red en Azure que **permite que diferentes Redes Virtuales (VNets) se conecten de manera directa y sin problemas**. A través del peering de VNet, los recursos en una VNet pueden comunicarse con recursos en otra VNet utilizando direcciones IP privadas, **como si estuvieran en la misma red**.\
-**El Peering de VNet también se puede usar con redes locales** configurando una VPN de sitio a sitio o Azure ExpressRoute.
+**VNet Peering** es una característica de red en Azure que **permite que diferentes Redes Virtuales (VNets) se conecten de manera directa y sin problemas**. A través del peering de VNet, los recursos en una VNet pueden comunicarse con recursos en otra VNet utilizando direcciones IP privadas, **como si estuvieran en la misma red**.\
+**El peering de VNet también se puede usar con redes locales** configurando una VPN de sitio a sitio o Azure ExpressRoute.
 
-**Azure Hub y Spoke** es una topología de red utilizada en Azure para gestionar y organizar el tráfico de red. **El "hub" es un punto central que controla y enruta el tráfico entre diferentes "spokes"**. El hub generalmente contiene servicios compartidos como dispositivos virtuales de red (NVAs), Azure VPN Gateway, Azure Firewall o Azure Bastion. Los **"spokes" son VNets que alojan cargas de trabajo y se conectan al hub utilizando peering de VNet**, lo que les permite aprovechar los servicios compartidos dentro del hub. Este modelo promueve un diseño de red limpio, reduciendo la complejidad al centralizar servicios comunes que múltiples cargas de trabajo a través de diferentes VNets pueden usar.
+**Azure Hub y Spoke** es una topología de red utilizada en Azure para gestionar y organizar el tráfico de red. **El "hub" es un punto central que controla y enruta el tráfico entre diferentes "spokes"**. El hub típicamente contiene servicios compartidos como dispositivos virtuales de red (NVAs), Azure VPN Gateway, Azure Firewall o Azure Bastion. Los **"spokes" son VNets que alojan cargas de trabajo y se conectan al hub utilizando peering de VNet**, permitiéndoles aprovechar los servicios compartidos dentro del hub. Este modelo promueve un diseño de red limpio, reduciendo la complejidad al centralizar servicios comunes que múltiples cargas de trabajo en diferentes VNets pueden usar.
 
 > [!CAUTION] > **El emparejamiento de VNET no es transitivo en Azure**, lo que significa que si el spoke 1 está conectado al spoke 2 y el spoke 2 está conectado al spoke 3, entonces el spoke 1 no puede comunicarse directamente con el spoke 3.
 
@@ -364,7 +364,7 @@ Get-AzFirewall
 
 ## VPN de Sitio a Sitio
 
-Una VPN de Sitio a Sitio en Azure te permite **conectar tu red local a tu Red Virtual (VNet) de Azure**, permitiendo que recursos como las VMs dentro de Azure aparezcan como si estuvieran en tu red local. Esta conexión se establece a través de un **gateway VPN que cifra el tráfico** entre las dos redes.
+Una VPN de Sitio a Sitio en Azure te permite **conectar tu red local a tu Red Virtual (VNet) de Azure**, permitiendo que recursos como VMs dentro de Azure aparezcan como si estuvieran en tu red local. Esta conexión se establece a través de una **puerta de enlace VPN que cifra el tráfico** entre las dos redes.
 
 **Ejemplo:**
 
@@ -395,7 +395,7 @@ Get-AzVirtualNetworkGatewayConnection -ResourceGroupName <ResourceGroupName>
 
 ## Azure ExpressRoute
 
-Azure ExpressRoute es un servicio que proporciona una **conexión privada, dedicada y de alta velocidad entre su infraestructura local y los centros de datos de Azure**. Esta conexión se realiza a través de un proveedor de conectividad, evitando el internet público y ofreciendo más confiabilidad, velocidades más rápidas, menores latencias y mayor seguridad que las conexiones típicas a internet.
+Azure ExpressRoute es un servicio que proporciona una **conexión privada, dedicada y de alta velocidad entre su infraestructura local y los centros de datos de Azure**. Esta conexión se realiza a través de un proveedor de conectividad, evitando el internet público y ofreciendo más confiabilidad, velocidades más rápidas, menores latencias y mayor seguridad que las conexiones de internet típicas.
 
 **Ejemplo:**