@saulwade/swl-ses 1.3.0 → 1.3.1

package/CLAUDE.md

@@ -1,4 +1,4 @@
-# CLAUDE.md — @saulwade/swl-ses v1.3.0
+# CLAUDE.md — @saulwade/swl-ses v1.3.1
 
 ## Reglas de máxima prioridad (aplican SIEMPRE, sin excepción)
 
@@ -67,6 +67,8 @@ El Read tool sigue siendo correcto para `.pdf` (≤20 páginas), `.md`, `.txt` y
 - **Criterio dominio para incorporar skills externos**: solo si dominio = ingeniería de software general. Pregunta de filtro: *¿le sirve esto a un ingeniero de software en cualquier proyecto de software?* (ML Ops, Data Science, finanzas, etc. → descartar)
 - **Filtro primario al analizar `temp/`**: antes de evaluar arquitectura, verificar **compatibilidad de dominio**. Si es incompatible, veredicto NINGUNA aplicabilidad sin análisis adicional
 - **Variables de entorno opt-in enterprise**: ver `@docs/variables-entorno.md` (catálogo completo). Patrón obligatorio: `if (!process.env.VAR) return` — zero-config por defecto
+- **Hooks SWL que invocan auditores Node deben cargar el auditor como módulo (`require()`), no como subproceso**: ~10× más rápido, errores estructurados (no parsing de stdout), tests directos del módulo. Excepción legítima: cuando el auditor es Python o Bash (`spawnSync`). Ejemplo aplicado en `hooks/claudemd-bloat-detector.js` que usa `require('./scripts/auditar-claudemd.js')` directamente. Antipatrón evitado: `spawnSync('node', [auditorPath, ...])` agrega ~50ms por invocación y obliga a parsear JSON de stdout
+- **npm v10+ NO escribe debug logs cuando falla un script invocado** (`prepublishOnly`, `prepack`, etc.) — solo cuando falla npm-mismo (network, registry, auth). El default `loglevel=notice` mantiene `_logs/` vacío para errores de scripts. Para diagnóstico de `npm run publish:all` que falla en script propio, capturar stdout+stderr con redirección: PowerShell `npm run publish:all *>&1 | Tee-Object .planning/logs/publish-$(Get-Date -Format yyyyMMdd-HHmmss).log` o Bash `2>&1 | tee`. Alternativa permanente: `npm config set loglevel verbose`
 
 ## Referencias a docs clave (cargar bajo demanda con `@`)
 
@@ -185,6 +187,7 @@ Al modificar un componente del sistema, verificar TODOS los archivos afectados.
 | **Schema** | `INVENTARIO.md`, `SALUD.md` |
 | **Bump de versión** | 15+ ubicaciones — checklist en `/swl:release` paso 6 |
 | **CLAUDE.md (cualquier capa)** | Verificar con `/swl:claudemd audit` antes de commit |
+| **Cualquier `npm publish`** | Ejecutar `node scripts/verificar-release.js` ANTES, no solo en release formal. Detecta discrepancias de contadores y versiones invisibles al ojo humano (caso real v1.3.0: 18 discrepancias detectadas) |
 
 Esta tabla es obligatoria. Omitir un archivo causa fallos en `/swl:salud`.
 

package/README.md

@@ -1,4 +1,4 @@
-# swl-ses v1.3.0
+# swl-ses v1.3.1
 
 > El paquete anterior `@saulwadeleon/swl-software-engineering-system` está deprecado. Migrar a `@saulwade/swl-ses` (npmjs.org canónico) o `@saul-wade/swl-ses` (mirror en GitHub Packages) — el CLI `swl-ses` no cambia.
 

package/habilidades/nextjs-experto/SKILL.md

@@ -4,12 +4,12 @@ description: >
   Next.js App Router: Server Components, Client Components, Server Actions,
   streaming con Suspense, ISR, route handlers y middleware. Cargar cuando se
   implementen páginas Next.js, data fetching, mutaciones o rutas de API.
-version: "1.1.0"
+version: "1.1.1"
 evolved: true
-evolved-from: "1.0.0"
-evolved-at: "2026-05-10"
+evolved-from: "1.1.0"
+evolved-at: "2026-05-11"
 evolved-by: "aprender"
-evolved-note: "3 gotchas operativos confirmados en sesión SIGM Opción B: useSearchParams Suspense bailout, cache .next stale, brace-expansion override CVE-2025-5889"
+evolved-note: "L-108 SIGM Opción C: cache .next/ confirmado x2 (Opción B + Opción C) — patrón consolidado para refactors de tipos masivos. Sin cambios en otros gotchas."
 herramientasPermitidas: [Read]
 exclusiones:
   - "No cargar para proyectos Next.js con Pages Router (pages/index.tsx) — el modelo de getServerSideProps y getStaticProps es diferente al App Router; este skill solo cubre App Router."
@@ -323,7 +323,7 @@ export default function Reloj() {
 
 **`useSearchParams()` requiere `<Suspense>` boundary durante prerender estático**: build de producción falla con `⨯ useSearchParams() should be wrapped in a suspense boundary at page "/X". Read more: https://nextjs.org/docs/messages/missing-suspense-with-csr-bailout`. Causa: el prerender estático no puede ejecutar el hook → CSR bailout → build aborta. Fix: en `page.tsx` envolver el componente que usa `useSearchParams()` en `<Suspense fallback={null}>` (o un esqueleto). El shell se prerenderiza vacío; el componente hidrata en cliente con los search params disponibles. Mismo patrón aplica a `useRouter()` y `usePathname()` cuando se usan en componentes prerenderizados. Caso real: SIGM agregó `useSearchParams()` a `useLoginForm.ts` para honrar `?siguiente=`; tsc + vitest pasaban pero `npm run build` falló hasta envolver `<LoginForm />` en `<Suspense>`.
 
-**Cache `.next/` puede ocultar errores TypeScript reales tras refactor de tipos masivo**: `npx tsc --noEmit` local pasa pero CI falla con errores TS2724/TS2305 sobre tipos eliminados. Causa: `.next/types/*.d.ts` y `tsconfig.tsbuildinfo` cachean los types del estado anterior; CI clona limpio y ve los errores reales. Fix: cuando se modifican imports/exports masivos en `lib/*/tipos.ts` (refactor de tipos, eliminación de interfaces, codegen openapi-typescript), borrar cache antes de validar local: `cd frontend && rm -rf .next && npx tsc --noEmit`. Si CI falla con TSC y local pasa: 90% de las veces es cache stale.
+**Cache `.next/` puede ocultar errores TypeScript reales tras refactor de tipos masivo** [CONFIRMADO x2 — Opción B 2026-05-10, Opción C 2026-05-11]: `npx tsc --noEmit` local pasa pero CI falla con errores TS2724/TS2305 sobre tipos eliminados. Causa: `.next/types/*.d.ts` y `tsconfig.tsbuildinfo` cachean los types del estado anterior; CI clona limpio y ve los errores reales. Fix: cuando se modifican imports/exports masivos en `lib/*/tipos.ts` (refactor de tipos, eliminación de interfaces, codegen openapi-typescript), borrar cache antes de validar local: `cd frontend && rm -rf .next && npx tsc --noEmit`. Si CI falla con TSC y local pasa: 90% de las veces es cache stale. Reforzado masivamente en F2/F3 de SIGM Opción C — 6+ archivos generados con tipos backend-first detectaron diff que el cache local ocultaba.
 
 **Override de `brace-expansion@^5` rompe minimatch (eslint depende)**: `npm install` aplica el override pero `eslint . --ext .ts,.tsx` falla con `TypeError: expand is not a function` en `@eslint/config-array → minimatch → brace-expansion`. Causa: brace-expansion v3+ cambió la API (de export default `expand` function a export con shape distinto); minimatch espera la API v2. Fix: para CVE-2025-5889 (ReDoS), usar `"brace-expansion": "^2.0.2"` (parcheado desde 2.0.2 — NO requiere v5). Validación pre-override: `npm ls brace-expansion` para revisar consumidores conocidos antes de bumpear major. Mismo patrón aplicable a otros overrides de transitives — validar cadena de consumers antes de bumpear major.
 

package/habilidades/nextjs-testing/SKILL.md

@@ -4,7 +4,12 @@ description: >
   Testing Next.js con Vitest, React Testing Library, Playwright y MSW.
   Cubre Server Components, Server Actions, page objects E2E y mocking de API.
   Cargar cuando se escriban tests de componentes, integración o E2E en Next.js.
-version: "1.0.0"
+version: "1.0.1"
+evolved: true
+evolved-from: "1.0.0"
+evolved-at: "2026-05-11"
+evolved-by: "aprender"
+evolved-note: "L-106 SIGM Opción C: gotcha getByText vs getAllByText/getByRole para textos duplicados legítimos (subtotal+total, heading+botón) - confirmado x2 en F1.1 y F1.2"
 herramientasPermitidas: [Read]
 exclusiones:
   - "No cargar para tests React puros fuera del contexto de Next.js (Vite, CRA, Remix) — los mocks del router de Next.js y los Server Components son específicos del framework."
@@ -311,6 +316,26 @@ Preferir assertions específicas sobre el contenido crítico.
 
 **`userEvent.setup()` debe llamarse fuera del `it()` o re-instanciarse por test**: compartir una instancia de `userEvent` entre tests causa que el estado del puntero/teclado se acumule entre tests, causando comportamiento impredecible. Causa: `userEvent.setup()` crea un estado de dispositivo virtual que persiste. Fix: llamar `const user = userEvent.setup()` dentro de cada `it()` o en `beforeEach`, no al nivel de `describe`.
 
+**`getByText` falla con "found multiple elements" cuando el mismo texto aparece en varios nodos legítimos** [CONFIRMADO x2 en SIGM Opción C, F1.1 y F1.2]: en componentes con resumen + total, o heading + botón con texto similar, el monto `$5,000.00` o la palabra "Forma de pago" aparece en 2+ elementos del DOM. `getByText` lanza error. Fix por precisión semántica, en orden de preferencia:
+
+```tsx
+// ❌ Falla cuando hay duplicación legítima
+expect(screen.getByText('$5,000.00')).toBeInTheDocument()
+
+// ✅ Opción 1 — usar getByRole con accessibility name (más precisa)
+expect(screen.getByRole('heading', { name: /forma de pago/i })).toBeInTheDocument()
+expect(screen.getByRole('button', { name: /agregar forma de pago/i })).toBeInTheDocument()
+
+// ✅ Opción 2 — getAllByText cuando todas las apariciones son válidas
+const montos = screen.getAllByText('$5,000.00')
+expect(montos).toHaveLength(2)  // subtotal + total
+
+// ✅ Opción 3 — within() para scope al contenedor
+const total = within(screen.getByTestId('seccion-total')).getByText('$5,000.00')
+```
+
+Regla práctica: si el texto aparece duplicado, casi siempre la intención del test es verificar UNO de los dos elementos por su rol semántico (`heading` vs `button` vs `cell`). `getByRole` con `name` lo resuelve sin recurrir a `data-testid`.
+
 ## Checklist de verificación
 
 - [ ] Vitest/Jest configurado con next/jest transform o plugin react

package/habilidades/planear-fase/SKILL.md

@@ -1,12 +1,12 @@
 ---
 name: planear-fase
 description: Crea el PLAN.md ejecutable para una fase de desarrollo. Descompone la fase en tareas atómicas con dependencias explícitas, las agrupa en oleadas de ejecución paralela cuando es posible, y aplica verificación goal-backward para garantizar que el plan completo satisface los criterios de éxito definidos en CONTEXTO.md.
-version: "1.1.0"
+version: "1.2.0"
 evolved: true
-evolved-from: "1.0.0"
-evolved-at: "2026-05-09"
+evolved-from: "1.1.0"
+evolved-at: "2026-05-10"
 evolved-by: "aprender"
-evolved-note: "Sección nueva 'Convivencia con placeholders previos del roadmap' — anti-patrón confirmado en auditoría SIGM 2026-05-09 (3 placeholders PLAN-fase-3/4/5.md desactualizados coexistiendo con 0N-PLAN.md reales)"
+evolved-note: "Sección nueva 'Estimación de commits — bloques funcionales, no archivos' — anti-patrón confirmado en sesión ADR-0016 (estimación 12 commits resultó 7 reales, 1.7× sobreestimación por contar archivos en vez de bloques funcionales)"
 herramientasPermitidas: [Read, Write, Edit, Bash, Glob, Grep]
 exclusiones:
   - "No cargar si no existe CONTEXTO.md para la fase — ejecutar `discutir-fase` primero."
@@ -75,6 +75,26 @@ Agrupa tareas sin dependencias mutuas en la misma oleada. Las tareas de una
 oleada pueden ejecutarse en paralelo (o en secuencia rápida si el contexto lo
 requiere).
 
+### 5. Estimación de commits — bloques funcionales, no archivos
+
+Al estimar la cantidad de commits que requerirá una fase, contar **bloques
+funcionales atómicos** (1 bloque = 1 commit), no archivos modificados. Un
+refactor que toca 25 archivos pero implementa 7 bloques funcionales coherentes
+genera 7 commits, no 25.
+
+**Heurística**:
+
+- Cada Bn (B1, B2, B3...) del plan = 1 commit atómico (incluye código + tests + manifests asociados)
+- Modificaciones cross-archivo en el MISMO bloque funcional van al MISMO commit
+- Tests del bloque van CON el bloque, no en commit separado (excepto TDD estricto)
+- Bump de versión + docs + CHANGELOG = 1 commit final aparte (B-final)
+
+**Anti-patrón observado** (sesión 2026-05-10, ADR-0016): estimación inicial
+"~12 commits, ~25 archivos" para Opción C completa. Resultado real: 7 commits,
+25 archivos (1.7× sobreestimación de commits). La cuenta de archivos fue
+correcta; la de commits estaba inflada por contar "1 archivo nuevo = 1 commit"
+en vez de "1 bloque funcional = 1 commit".
+
 ---
 
 ## Algoritmo de construcción del plan

package/habilidades/react-experto/SKILL.md

@@ -1,12 +1,12 @@
 ---
 name: react-experto
 description: React + Next.js mejores prácticas modernas. Cubre Server Components vs Client Components, data fetching patterns (RSC, React Query, SWR, Server Actions), state management (useState, Zustand, Jotai), performance (memo, lazy, Suspense, streaming) y Next.js App Router patterns.
-version: "1.1.0"
+version: "1.1.1"
 evolved: true
-evolved-from: "1.0.0"
-evolved-at: "2026-05-10"
+evolved-from: "1.1.0"
+evolved-at: "2026-05-11"
 evolved-by: "aprender"
-evolved-note: "Patrón useSyncExternalStore para hidratación cliente-only confirmado en sesión SIGM (evita la regla nueva react-hooks/set-state-in-effect)"
+evolved-note: "L-105 SIGM: setState dentro de useEffect bloqueado por react-hooks/set-state-in-effect (eslint-plugin-react-hooks v7+) - 3 patrones de reemplazo (lazy init, useMemo, useSyncExternalStore) confirmados x3 en F1.2/F1.3/F3"
 herramientasPermitidas: [Read]
 exclusiones:
   - "No cargar para optimización de rendimiento React (memo, useMemo, useCallback, virtualización, code splitting) — para rendimiento cargar `react-optimizacion`."
@@ -222,3 +222,24 @@ const mounted = useSyncExternalStore(
 )
 ```
 Equivalente funcional al patrón mounted flag, sin disparar la regla. Type-safe, lint-compliant. Usar en Header/Sidebar/cualquier componente que lea localStorage o `window` y necesite render distinto en SSR vs cliente.
+
+**`setState` dentro de `useEffect` por cualquier razón dispara la misma regla — 3 patrones idiomáticos para reemplazarlo** [CONFIRMADO x3 en SIGM Opción C, F1.2/F1.3/F3]: la regla `react-hooks/set-state-in-effect` no solo afecta al patrón mounted flag — bloquea cualquier `setX(...)` síncrono dentro del cuerpo de un `useEffect`. Patrones de reemplazo según el caso:
+
+```tsx
+// ❌ Anti-patrón (la regla lo bloquea)
+const [value, setValue] = useState(null)
+useEffect(() => {
+  setValue(cargarDesdeStorage())
+}, [])
+
+// ✅ Caso 1 — lazy initialization (estado inicial computado una sola vez)
+const [value, setValue] = useState(() => cargarDesdeStorage())
+
+// ✅ Caso 2 — valor derivado de props o estado
+const value = useMemo(() => calcular(prop1, prop2), [prop1, prop2])
+
+// ✅ Caso 3 — detección cliente vs SSR
+const isClient = useSyncExternalStore(() => () => {}, () => true, () => false)
+```
+
+Regla práctica: si el `setState` solo se ejecuta una vez al montar, casi siempre puede reescribirse como `useState(() => init())` o `useMemo(...)`. Solo dejar `setState` dentro de `useEffect` cuando responde a un evento externo asíncrono (fetch, subscription) — en ese caso, mover la lógica a un handler dedicado y aplicar `// eslint-disable-next-line react-hooks/set-state-in-effect` con comentario justificando.

package/habilidades/tdd-workflow/SKILL.md

@@ -1,7 +1,12 @@
 ---
 name: tdd-workflow
 description: Flujo completo de Test-Driven Development. Ciclo RED (el test falla) → GREEN (implementación mínima) → REFACTOR (limpieza). Incluye cobertura mínima obligatoria, tests de frontera, factories, fixtures y estrategias para diferentes tipos de código (APIs, services, componentes Angular).
-version: "1.0.0"
+version: "1.0.1"
+evolved: true
+evolved-from: "1.0.0"
+evolved-at: "2026-05-11"
+evolved-by: "aprender"
+evolved-note: "L-109 SIGM: nombrar tests por causa raíz (no por feature) — test_repository_no_usa_columna_inexistente_p_monto detectó bug en F1.4 sin necesidad de reproducción manual"
 herramientasPermitidas: [Read, Bash]
 evolvable: true  # default para skill estandar
 exclusiones:
@@ -291,3 +296,5 @@ pytest --cov=src/services --cov-fail-under=90
 **La fase REFACTOR del ciclo TDD en componentes Angular introduce regresiones silenciosas cuando se extrae lógica a un `computed()` pero el template sigue usando la función directa que ahora devuelve `undefined`**: refactorizar `getTotal()` como método del componente hacia `total = computed(() => ...)` y olvidar actualizar el template de `{{ getTotal() }}` a `{{ total() }}` no genera error de compilación con Angular 17+; el template simplemente muestra `undefined`. Causa: Angular no verifica en tiempo de compilación que los métodos referenciados en templates existen en la clase si el template usa la sintaxis de interpolación sin type-checking estricto. Fix: activar `strictTemplates: true` en `tsconfig.app.json` para que el compilador de Angular valide que todas las referencias en templates corresponden a miembros públicos del componente. Ejecutar `ng build` antes de considerar el REFACTOR completo.
 
 **`db_session.rollback()` en el fixture de pytest-asyncio no deshace los datos insertados por `db.flush()` dentro de la función testeada cuando la sesión usa `autocommit=True` implícito por configuración del engine**: algunos proyectos configuran `AsyncEngine` con `isolation_level="AUTOCOMMIT"` para compatibilidad con operaciones DDL; en ese contexto, cada `flush()` hace commit inmediatamente y el `rollback()` del fixture no puede deshacer esos cambios. Causa: `AUTOCOMMIT` en PostgreSQL significa que no hay transacción activa que se pueda revertir. Fix: verificar que el engine de tests NO use `isolation_level="AUTOCOMMIT"` (la configuración debe ser solo para el engine de migraciones Alembic, no para el de la app). Para tests que necesitan AUTOCOMMIT por alguna razón, usar una BD de test separada que se trunca con `TRUNCATE ... RESTART IDENTITY CASCADE` en el teardown del fixture.
+
+**Tests nombrados por feature (`test_emitir_factura_exitosa`) pierden poder regresivo; nombrados por causa raíz (`test_repository_no_usa_columna_inexistente_p_monto`) detectan regresiones específicas sin reproducción manual** [CONFIRMADO en SIGM Opción C F1.4]: cuando se descubre un bug por una causa raíz concreta (typo en nombre de columna SQL, omisión de `selectinload`, mock que devuelve dict en vez de objeto, schema obsoleto), el test de regresión que se escribe debe llevar el nombre de la causa, no del feature afectado. Caso real: durante F1.4 de SIGM, el repository de pagos referenciaba `p.monto` cuando la columna se llamaba `p.monto_pagado`; el test escrito como `test_repository_no_usa_columna_inexistente_p_monto` falló inmediatamente en la siguiente sesión cuando otro agente reintrodujo el typo, sin necesidad de reproducir el escenario de negocio (emitir cobro real, verificar respuesta). Causa: los nombres orientados a feature (`test_pago_exitoso`) son ambiguos sobre QUÉ falla — si el test falla, el desarrollador debe diagnosticar; los nombres orientados a causa raíz (`test_X_no_usa_Y`, `test_query_incluye_selectinload_Z`, `test_service_devuelve_dict_no_objeto`) son auto-diagnósticos. Fix: para cada bug que cueste >30 min diagnosticar, escribir UN test adicional cuyo nombre describa la condición técnica violada, no el escenario de negocio. Convención: `test_<componente>_<condicion_tecnica>` o `test_<componente>_no_<anti_patron>`. Estos tests son tu segunda línea de defensa contra regresiones de la misma causa raíz, complementarios a los tests de comportamiento.

package/hooks/lib/privacy-filter.js

@@ -83,8 +83,42 @@ function contieneTagsPrivados(texto) {
  *   - Email: formato RFC5322 simplificado.
  *   - IPv4 fuera de rangos privados (posible doxxing).
  */
+/**
+ * Validación Luhn (mod 10) — algoritmo estándar de la industria para tarjetas
+ * de credito/debito (Visa, MasterCard, Amex, etc.). Toda tarjeta emitida pasa
+ * Luhn check; secuencias numericas arbitrarias (timestamps, IDs, hashes) NO
+ * pasan en >90% de los casos.
+ *
+ * Reduce falsos positivos masivamente sin sacrificar detección real:
+ *   - `20260510-215306` (timestamp YYYYMMDD-HHMMSS de 14 dígitos): NO pasa
+ *   - `4111-1111-1111-1111` (Visa test): SÍ pasa
+ *   - `5500-0000-0000-0004` (MasterCard test): SÍ pasa
+ *
+ * Patrón usado por gitleaks, trufflehog y la mayoría de scanners modernos.
+ */
+function pasaLuhn(s) {
+  const digitos = String(s).replace(/\D/g, '');
+  if (digitos.length < 13 || digitos.length > 19) return false;
+  let suma = 0;
+  let duplicar = false;
+  for (let i = digitos.length - 1; i >= 0; i--) {
+    let d = digitos.charCodeAt(i) - 48; // '0' = 48
+    if (d < 0 || d > 9) return false;
+    if (duplicar) {
+      d *= 2;
+      if (d > 9) d -= 9;
+    }
+    suma += d;
+    duplicar = !duplicar;
+  }
+  return suma % 10 === 0;
+}
+
 const PATTERNS_PII = [
-  { regex: /\b(?:\d[ -]?){13,19}\b/, tipo: 'tarjeta_credito' },
+  // El patrón captura por formato; pasaLuhn() valida después para eliminar
+  // falsos positivos (timestamps, IDs numericos, hashes que casualmente
+  // tienen 13-19 dígitos con separadores).
+  { regex: /\b(?:\d[ -]?){13,19}\b/, tipo: 'tarjeta_credito', validar: pasaLuhn },
   { regex: /\b[A-Z]{4}\d{6}[HMX][A-Z]{5}[A-Z0-9]{2}\b/, tipo: 'curp' },
   { regex: /\b[A-ZÑ&]{4}\d{6}[A-Z0-9]{3}\b/, tipo: 'rfc_persona_fisica' },
   { regex: /\b[A-Z]{6}\d{8}[HM]\d{3}\b/, tipo: 'ife_ine' },
@@ -112,10 +146,14 @@ const PATTERNS_PII = [
 function detectarPII(texto) {
   if (!texto || typeof texto !== 'string') return [];
   const hallazgos = [];
-  for (const { regex, tipo } of PATTERNS_PII) {
+  for (const { regex, tipo, validar } of PATTERNS_PII) {
     const matches = texto.match(new RegExp(regex.source, regex.flags + 'g'));
     if (!matches) continue;
-    for (const m of matches.slice(0, 3)) {  // max 3 muestras por tipo
+    // Aplicar validador secundario si el patrón lo declara. Filtra falsos
+    // positivos de formato cuando hay una invariante adicional (Luhn para
+    // tarjetas, etc.). Sin validador se mantiene el comportamiento legacy.
+    const validados = validar ? matches.filter(validar) : matches;
+    for (const m of validados.slice(0, 3)) {  // max 3 muestras por tipo
       const muestra = m.length > 8
         ? m.slice(0, 2) + '***' + m.slice(-2)
         : '***';
@@ -125,4 +163,4 @@ function detectarPII(texto) {
   return hallazgos;
 }
 
-module.exports = { filtrarPrivacidad, contieneTagsPrivados, detectarPII, MAX_TAGS, PATTERNS_PII };
+module.exports = { filtrarPrivacidad, contieneTagsPrivados, detectarPII, pasaLuhn, MAX_TAGS, PATTERNS_PII };

package/manifiestos/skills-lock.json

@@ -1,8 +1,8 @@
 {
   "lockfileVersion": 1,
-  "generatedAt": "2026-05-05T16:50:32.441Z",
-  "skillsCount": 151,
-  "lockHash": "sha256:9eb487b296412d9bd32ec2f62684741c3c0e542a1f1631ffad85d9b8eebdd7c8",
+  "generatedAt": "2026-05-11T03:35:46.021Z",
+  "skillsCount": 155,
+  "lockHash": "sha256:92e415132658a0de593795e73b5561d952194f39a138fdb429f16743bb5837ff",
   "skills": [
     {
       "nombre": "accesibilidad-a11y",
@@ -109,6 +109,13 @@
       "bytes": 13620,
       "version": "\"1.0.0\""
     },
+    {
+      "nombre": "benchmark-memoria",
+      "path": "habilidades/benchmark-memoria/SKILL.md",
+      "hash": "sha256:9f2c36b648fb667d6edce9135e04226d2f932f6b23eef6b27625ef72eee9c77e",
+      "bytes": 7484,
+      "version": "\"1.0.0\""
+    },
     {
       "nombre": "brainstorming",
       "path": "habilidades/brainstorming/SKILL.md",
@@ -238,9 +245,9 @@
     {
       "nombre": "contenedores-docker",
       "path": "habilidades/contenedores-docker/SKILL.md",
-      "hash": "sha256:88df8cc105b2dbf79b108f28b8cf30f5a5ab632392d62f62c907e228902208c0",
-      "bytes": 8241,
-      "version": "\"1.0.0\""
+      "hash": "sha256:a3a816bfb4bfceef7eeac90838392eddf474c86665e3c5cc600ecbedf29d448e",
+      "bytes": 9574,
+      "version": "\"1.0.1\""
     },
     {
       "nombre": "context-builder",
@@ -287,9 +294,9 @@
     {
       "nombre": "datos-etl",
       "path": "habilidades/datos-etl/SKILL.md",
-      "hash": "sha256:1211cb964437ed46386563b3923b8e26044cf94ee7d3860f5e29e819bf3bb610",
-      "bytes": 8152,
-      "version": "\"1.0.0\""
+      "hash": "sha256:adae4c508c3895b77c68b5e84a65649d1c8043837eb69d721ff56a033731617b",
+      "bytes": 9595,
+      "version": "\"1.0.1\""
     },
     {
       "nombre": "dbml-experto",
@@ -368,6 +375,13 @@
       "bytes": 12806,
       "version": "\"1.0.0\""
     },
+    {
+      "nombre": "doubt-driven-review",
+      "path": "habilidades/doubt-driven-review/SKILL.md",
+      "hash": "sha256:5677f6c92a0fc183f9bbe06171cca14e3ad85695dba055acd1de56d81bff182b",
+      "bytes": 7620,
+      "version": null
+    },
     {
       "nombre": "drift-detection",
       "path": "habilidades/drift-detection/SKILL.md",
@@ -396,6 +410,13 @@
       "bytes": 11583,
       "version": "\"1.0.0\""
     },
+    {
+      "nombre": "eval-framework",
+      "path": "habilidades/eval-framework/SKILL.md",
+      "hash": "sha256:0b00cfaa631e0bd6af0bf5d9a01aa54fcc7d0656b8c9760c97d56f8493fdfb5d",
+      "bytes": 7778,
+      "version": "\"1.0.0\""
+    },
     {
       "nombre": "evaluacion-agentes",
       "path": "habilidades/evaluacion-agentes/SKILL.md",
@@ -427,9 +448,9 @@
     {
       "nombre": "fastapi-experto",
       "path": "habilidades/fastapi-experto/SKILL.md",
-      "hash": "sha256:162f657adca20ce62ee329a12ecc2c299639fec35009413d14e05a1a5f1ed3bd",
-      "bytes": 15472,
-      "version": "\"1.1.2\""
+      "hash": "sha256:19e472102b7d59c1b1e1719e9ea6096467977ad8a73035d6013e56178f94ab05",
+      "bytes": 17608,
+      "version": "\"1.2.0\""
     },
     {
       "nombre": "filament-admin",
@@ -616,15 +637,15 @@
     {
       "nombre": "memoria-busqueda",
       "path": "habilidades/memoria-busqueda/SKILL.md",
-      "hash": "sha256:9b91718feb612f25c0ad5eb4212f9769e6c1e945f869b536224667551cc8d86e",
-      "bytes": 9354,
-      "version": "\"1.0.0\""
+      "hash": "sha256:3a23c11eff134da8f2317fdb87aa4f5fd9e37bcaa7ea4591058beacc36874a9e",
+      "bytes": 10423,
+      "version": "\"1.1.0\""
     },
     {
       "nombre": "meta-skills-estandar",
       "path": "habilidades/meta-skills-estandar/SKILL.md",
-      "hash": "sha256:f8301097cf92fbb5cc04595db23db6d63e681fd15b3714d6b90f8149c22c6ea3",
-      "bytes": 12759,
+      "hash": "sha256:6c2861defb5f5c46c1ac851ecf2ec06958be714fd14d3f7f512ba916b43e3b7b",
+      "bytes": 13101,
       "version": "\"1.0.0\""
     },
     {
@@ -672,9 +693,9 @@
     {
       "nombre": "nextjs-experto",
       "path": "habilidades/nextjs-experto/SKILL.md",
-      "hash": "sha256:da6e2dbbf299f8c251e5474a07b12ec189a02f26c3ea4eee1a7bcebfce3026ca",
-      "bytes": 13475,
-      "version": "\"1.0.0\""
+      "hash": "sha256:689e4ce7f045a233efbb8fb9126e3345d9f9be9f2a7a56786b8149260455399a",
+      "bytes": 16165,
+      "version": "\"1.1.1\""
     },
     {
       "nombre": "nextjs-patrones",
@@ -686,9 +707,9 @@
     {
       "nombre": "nextjs-testing",
       "path": "habilidades/nextjs-testing/SKILL.md",
-      "hash": "sha256:eb3bdab66501f79046cfbebf278c3496b1d2cb316f60cb6ee0c1cf3d39521107",
-      "bytes": 13825,
-      "version": "\"1.0.0\""
+      "hash": "sha256:66742e5c32822ffd1b79ab44922fed64367d28c2510f4c55efd4cd7ad5727a6d",
+      "bytes": 15435,
+      "version": "\"1.0.1\""
     },
     {
       "nombre": "node-experto",
@@ -707,8 +728,8 @@
     {
       "nombre": "nuevo-proyecto",
       "path": "habilidades/nuevo-proyecto/SKILL.md",
-      "hash": "sha256:1bccdb84c7380ba7acfd20f6331dc77feec618ad8109e8113db760e95972eca7",
-      "bytes": 8757,
+      "hash": "sha256:8244596084fce93e17b194a43e10ec00da75cd12f97891b51b641e55ce1303c8",
+      "bytes": 11956,
       "version": "\"1.0.0\""
     },
     {
@@ -770,16 +791,16 @@
     {
       "nombre": "planear-fase",
       "path": "habilidades/planear-fase/SKILL.md",
-      "hash": "sha256:e986e9109bf4a367bb94b9754ca1f6c773e3d610103b0f300e82fb8ea5533069",
-      "bytes": 11976,
-      "version": "\"1.0.0\""
+      "hash": "sha256:199b9abb865739d17b0654a3a67d116d95a2133140ffde92bda89d3ed9f41b98",
+      "bytes": 14372,
+      "version": "\"1.2.0\""
     },
     {
       "nombre": "postgresql-experto",
       "path": "habilidades/postgresql-experto/SKILL.md",
-      "hash": "sha256:a211f5f91f78e0acde6f83d36318283fb006405eb60fb099bc3509c86ad17845",
-      "bytes": 7296,
-      "version": "\"1.0.0\""
+      "hash": "sha256:7beba10b4479f705a250067103064944fe45c3ef666fd5513bfc9441d9009498",
+      "bytes": 9711,
+      "version": "\"1.1.0\""
     },
     {
       "nombre": "prevencion-racionalizacion",
@@ -826,9 +847,9 @@
     {
       "nombre": "react-experto",
       "path": "habilidades/react-experto/SKILL.md",
-      "hash": "sha256:88657b9aa47e962ff5d2d49211629463182ba7db0738c46c8ee03012196d60e5",
-      "bytes": 9117,
-      "version": "\"1.0.0\""
+      "hash": "sha256:f1f0d478de5c16b1b0fb787caf45ca7151a0eab3dcf71352fdc3f871b1d1948b",
+      "bytes": 11776,
+      "version": "\"1.1.1\""
     },
     {
       "nombre": "react-optimizacion",
@@ -928,6 +949,13 @@
       "bytes": 10257,
       "version": "\"1.0.0\""
     },
+    {
+      "nombre": "swl-claudemd",
+      "path": "habilidades/swl-claudemd/SKILL.md",
+      "hash": "sha256:8b8b0cd03c815e0cfadeffc81a49f0858105be9c564eb5f8e83dfd1cb78dd05e",
+      "bytes": 10312,
+      "version": "\"1.0.0\""
+    },
     {
       "nombre": "swl-dashboard",
       "path": "habilidades/swl-dashboard/SKILL.md",
@@ -959,9 +987,9 @@
     {
       "nombre": "tdd-workflow",
       "path": "habilidades/tdd-workflow/SKILL.md",
-      "hash": "sha256:426ac240b063abc3ae4606ee7bcd11768122c880875155bfe4328ed26f3a931f",
-      "bytes": 13412,
-      "version": "\"1.0.0\""
+      "hash": "sha256:4050e995cd6ce8422b965793c98605ce8a9ead4025784b5addb5a0cb24fc7acb",
+      "bytes": 15307,
+      "version": "\"1.0.1\""
     },
     {
       "nombre": "terraform-experto",
@@ -1036,9 +1064,9 @@
     {
       "nombre": "verificar-trabajo",
       "path": "habilidades/verificar-trabajo/SKILL.md",
-      "hash": "sha256:ac6c6f3b6fccb60cb4c3f63f1988acb245f14caacff0f428914c6ec9c542bff7",
-      "bytes": 13361,
-      "version": "\"1.1.0\""
+      "hash": "sha256:001fd34fbeefbe995c4b76fb55fa1a5277577f701b098998f189fd7d0c35e40e",
+      "bytes": 14619,
+      "version": "\"1.1.1\""
     },
     {
       "nombre": "wiki-conocimiento",

package/package.json

@@ -1,7 +1,7 @@
 {
   "name": "@saulwade/swl-ses",
-  "version": "1.3.0",
-  "description": "Sistema de ingenieria de software auto-evolutivo multi-runtime polyglot con 59 agentes, 154 habilidades, 42 comandos, 64 reglas y 40 hooks. Soporta 11 lenguajes y 5 runtimes: Claude Code, Copilot, OpenCode, Codex y Gemini CLI. 100% en espanol (Mexico). Incluye gateway bidireccional con relay Telegram a Claude Code.",
+  "version": "1.3.1",
+  "description": "Sistema de ingenieria de software auto-evolutivo multi-runtime polyglot con 59 agentes, 155 habilidades, 43 comandos, 64 reglas y 41 hooks. Soporta 11 lenguajes y 5 runtimes: Claude Code, Copilot, OpenCode, Codex y Gemini CLI. 100% en espanol (Mexico). Incluye gateway bidireccional con relay Telegram a Claude Code.",
   "bin": {
     "swl-ses": "bin/swl-ses.js",
     "swl-telegram-bot": "bin/swl-telegram-bot.js",

package/plugin.json

@@ -1,7 +1,7 @@
 {
   "name": "swl-ses",
-  "version": "1.3.0",
-  "description": "Sistema de ingenieria de software auto-evolutivo multi-runtime polyglot. 59 agentes, 154 habilidades, 42 comandos, 64 reglas y 40 hooks. 62 librerias. 11 lenguajes. Soporta Claude Code, Copilot, OpenCode, Codex y Gemini CLI.",
+  "version": "1.3.1",
+  "description": "Sistema de ingenieria de software auto-evolutivo multi-runtime polyglot. 59 agentes, 155 habilidades, 43 comandos, 64 reglas y 41 hooks. 62 librerias. 11 lenguajes. Soporta Claude Code, Copilot, OpenCode, Codex y Gemini CLI.",
   "author": "Saul Wade Leon",
   "license": "MIT",
   "repository": "https://github.com/saul-wade/swl-ses",

package/reglas/seguridad-agentes.md

@@ -88,6 +88,18 @@ Reglas derivadas de patrones de gobernanza de orquestación de agentes:
   verificación) no implica que el producto final sea correcto. El reporte final
   debe distinguir: qué está probado sobre el proceso, qué está probado sobre el
   código, y qué NO está probado todavía.
+- **Verificar afirmaciones del sub-agente antes de aceptar su plan**: cuando un
+  sub-agente reporta "el módulo X ya existe", "encontré N archivos modificados",
+  "el endpoint Y ya está implementado", el agente padre DEBE verificar contra el
+  filesystem con `Grep`/`Glob`/`Read` antes de aceptar el plan completo. Evidencia
+  (SIGM Opción C, 2026-05-11): los sub-agentes F1.1/F1.2/F1.3/F1.4 reportaron
+  "ya existía la BD/endpoint/pantalla, solo falta X menor" pero el agente padre
+  siguió con commits que agregaban valor mínimo (~80% del trabajo ya estaba hecho
+  en fases previas aprobadas). El padre debe decidir si el delta justifica un
+  commit nuevo o si el trabajo del sub-agente puede descartarse. Patrón
+  obligatorio: tras recibir el reporte del sub-agente, extraer 2-3 afirmaciones
+  factuales (`X existe en path P`, `función Y devuelve schema Z`) y verificar
+  cada una con un comando independiente antes de aprobar el siguiente commit.
 
 ---
 

package/scripts/publicar.js

@@ -12,10 +12,11 @@
 
 'use strict';
 
-const { execFileSync } = require('child_process');
+const { execFileSync, spawnSync } = require('child_process');
 const fs   = require('fs');
 const path = require('path');
 const os   = require('os');
+const readline = require('readline');
 
 const {
   NOMBRE_GITHUB_MIRROR: GITHUB_NAME,
@@ -58,6 +59,159 @@ function npmExec(args, opts = {}) {
   return execFileSync(bin, args, { ...defaults, ...opts });
 }
 
+/**
+ * Variante de npmExec que captura stderr para detección posterior de errores
+ * estructurados (ej: EOTP). stdout sigue heredado (live-streaming visible al
+ * usuario) y stderr se pipea a un buffer + se ecoa a process.stderr al final.
+ *
+ * Retorna { status, stderr } sin lanzar — el caller inspecciona el status.
+ */
+function npmSpawnCaptureStderr(args, opts = {}) {
+  const defaults = { cwd: ROOT, timeout: 300_000, env: process.env };
+  const merged = { ...defaults, ...opts, stdio: ['inherit', 'inherit', 'pipe'] };
+  let res;
+  if (NPM_CLI_JS) {
+    res = spawnSync(process.execPath, [NPM_CLI_JS, ...args], merged);
+  } else {
+    const bin = process.platform === 'win32' ? 'npm.cmd' : 'npm';
+    res = spawnSync(bin, args, merged);
+  }
+  const stderr = res.stderr ? String(res.stderr) : '';
+  // Ecoar stderr al usuario para que vea el diagnóstico de npm aunque se capturó.
+  if (stderr) process.stderr.write(stderr);
+  return { status: res.status, signal: res.signal, stderr, error: res.error };
+}
+
+/**
+ * Detecta si un blob de stderr indica que npm requiere una OTP de 2FA.
+ * Match defensivo: cubre tanto el código de error explícito (`EOTP`) como el
+ * mensaje canónico ("requires a one-time password"), porque npm ha cambiado
+ * el formato del mensaje entre versiones (npm 8 vs 10+).
+ *
+ * Pura — testeable sin dependencias. Exportada para tests.
+ */
+function esErrorOTP(stderr) {
+  if (!stderr) return false;
+  const blob = String(stderr);
+  return /\bEOTP\b/.test(blob) || /one-time password/i.test(blob);
+}
+
+/**
+ * Solicita una OTP al usuario via stdin (readline síncrono).
+ * Retorna la OTP normalizada (string de 6 dígitos) o null si:
+ *   - stdin no es TTY (CI, pipe) → no se puede pedir interactivamente
+ *   - el usuario cancela con Ctrl+C / línea vacía
+ *   - el formato no es válido (no 6 dígitos)
+ *
+ * El caller debe manejar el caso null como "fallback a guía manual".
+ */
+function solicitarOTPInteractiva() {
+  if (!process.stdin.isTTY) {
+    process.stderr.write('[publicar] stdin no es TTY: no se puede pedir OTP interactivamente.\n');
+    process.stderr.write('[publicar] Configurar NPM_CONFIG_OTP=<otp> antes de invocar este script.\n');
+    return null;
+  }
+
+  const rl = readline.createInterface({ input: process.stdin, output: process.stderr });
+  // questionSync vía promesa NO funciona aquí — el script es síncrono.
+  // Usamos un truco: readline es async-only, así que dejamos al usuario
+  // el manejo bloqueante leyendo línea por línea con readSync vía read-int.
+  // Pero readline no expone modo síncrono. Alternativa: leer de stdin con
+  // fd 0 + readSync. En Windows con TTY funciona; en Linux idem.
+  try {
+    process.stderr.write('\nNPM requiere OTP (2FA). Ingresa el código de 6 dígitos de tu autenticador: ');
+    const otp = leerLineaStdinSync().trim();
+    rl.close();
+    if (!/^\d{6}$/.test(otp)) {
+      process.stderr.write(`\n[publicar] OTP inválida: se esperan 6 dígitos, se recibió: "${otp.slice(0, 20)}"\n`);
+      return null;
+    }
+    return otp;
+  } catch (err) {
+    rl.close();
+    process.stderr.write(`\n[publicar] error leyendo OTP: ${String(err.message).slice(0, 120)}\n`);
+    return null;
+  }
+}
+
+/**
+ * Lectura síncrona de una línea de stdin. Necesario porque readline solo
+ * expone API asíncrona, pero todo el flujo de publicar.js es síncrono.
+ * Lee byte por byte hasta encontrar newline o EOF.
+ */
+function leerLineaStdinSync() {
+  const BUFFER_SIZE = 256;
+  const buf = Buffer.alloc(BUFFER_SIZE);
+  let line = '';
+  while (true) {
+    let bytesRead;
+    try {
+      bytesRead = fs.readSync(0, buf, 0, BUFFER_SIZE, null);
+    } catch (err) {
+      // EAGAIN en stdin no-bloqueante: poco común en TTY, pero defensivo.
+      if (err.code === 'EAGAIN') continue;
+      throw err;
+    }
+    if (bytesRead === 0) break; // EOF
+    const chunk = buf.slice(0, bytesRead).toString('utf-8');
+    const nlIdx = chunk.indexOf('\n');
+    if (nlIdx >= 0) {
+      line += chunk.slice(0, nlIdx);
+      break;
+    }
+    line += chunk;
+  }
+  return line.replace(/\r$/, ''); // Windows envía \r\n
+}
+
+/**
+ * Ejecuta un `npm publish` con soporte automático de OTP (2FA).
+ *
+ * Flujo:
+ *   1. Si NPM_CONFIG_OTP está definida en el entorno, se usa directamente
+ *      (npm la lee automáticamente — no hay que pasarla como flag).
+ *   2. Si el publish falla con EOTP/one-time password, se intenta solicitar
+ *      la OTP interactivamente y reintentar con --ignore-scripts (los
+ *      scripts pre-publish ya pasaron en el primer intento).
+ *   3. Si no se puede obtener OTP (no TTY o usuario cancela), reporta el
+ *      error y retorna false.
+ *
+ * Retorna: { ok: boolean, stderr: string }
+ *
+ * Exportada para tests.
+ */
+function ejecutarPublishConOTP(args, opts = {}) {
+  // Intento 1: con OTP de env si existe, sin ella si no.
+  const intento1 = npmSpawnCaptureStderr(args, opts);
+  if (intento1.status === 0) {
+    return { ok: true, stderr: intento1.stderr };
+  }
+
+  // Si NO es EOTP, no podemos hacer nada — propagamos el fallo.
+  if (!esErrorOTP(intento1.stderr)) {
+    return { ok: false, stderr: intento1.stderr };
+  }
+
+  // Es EOTP. Intentar solicitar OTP interactivamente.
+  process.stderr.write('\n[publicar] npm rechazó el publish con EOTP (2FA requerida).\n');
+  const otp = solicitarOTPInteractiva();
+  if (!otp) {
+    process.stderr.write('[publicar] No se obtuvo OTP. Aborta. Reintentar con:\n');
+    process.stderr.write(`  NPM_CONFIG_OTP=<otp> node scripts/publicar.js ${process.argv.slice(2).join(' ')}\n`);
+    return { ok: false, stderr: intento1.stderr };
+  }
+
+  // Reintento con OTP via env + --ignore-scripts (los pre-publish ya pasaron).
+  process.stderr.write('\n[publicar] Reintentando publish con OTP recibida...\n');
+  const envConOTP = { ...(opts.env || process.env), NPM_CONFIG_OTP: otp };
+  const argsConIgnore = args.includes('--ignore-scripts') ? args : [...args, '--ignore-scripts'];
+  const intento2 = npmSpawnCaptureStderr(argsConIgnore, { ...opts, env: envConOTP });
+  if (intento2.status === 0) {
+    return { ok: true, stderr: intento2.stderr };
+  }
+  return { ok: false, stderr: intento2.stderr };
+}
+
 function leerPkg() {
   return JSON.parse(fs.readFileSync(PKG_PATH, 'utf-8'));
 }
@@ -245,14 +399,13 @@ function publicarNpmjs(pkg, dryRun) {
 
   const args = ['publish', `--registry=${NPMJS_REGISTRY}`, '--access', 'public'];
   if (dryRun) args.push('--dry-run');
-  try {
-    npmExec(args);
+  const resultado = ejecutarPublishConOTP(args);
+  if (resultado.ok) {
     console.log(`${dryRun ? '[DRY-RUN] ' : ''}OK: ${pkg.name}@${pkg.version} ${dryRun ? 'se publicaría' : 'publicado'} en npmjs`);
     return true;
-  } catch (err) {
-    console.error(`ERROR publicando en npmjs: ${err.message}`);
-    return false;
   }
+  console.error(`ERROR publicando en npmjs (ver stderr arriba para diagnóstico de npm).`);
+  return false;
 }
 
 function publicarGitHub(pkg, dryRun) {
@@ -272,17 +425,16 @@ function publicarGitHub(pkg, dryRun) {
 
   const args = ['publish', `--registry=${GITHUB_REGISTRY}`];
   if (dryRun) args.push('--dry-run');
-  try {
-    npmExec(args, { cwd: tmpDir });
+  const resultado = ejecutarPublishConOTP(args, { cwd: tmpDir });
+  if (resultado.ok) {
     console.log(`${dryRun ? '[DRY-RUN] ' : ''}OK: ${GITHUB_NAME}@${pkg.version} ${dryRun ? 'se publicaría' : 'publicado'} en GitHub Packages`);
     if (dryRun) console.log(`Directorio temporal: ${tmpDir}`);
     limpiar(tmpDir);
     return true;
-  } catch (err) {
-    console.error(`ERROR publicando en GitHub Packages: ${err.message}`);
-    limpiar(tmpDir);
-    return false;
   }
+  console.error(`ERROR publicando en GitHub Packages (ver stderr arriba para diagnóstico de npm).`);
+  limpiar(tmpDir);
+  return false;
 }
 
 function parsearArgs(argv) {
@@ -350,6 +502,8 @@ if (require.main === module) {
     prepararDirectorioTemporal,
     copiarDir,
     limpiar,
+    esErrorOTP,
+    ejecutarPublishConOTP,
     GITHUB_NAME,
     GITHUB_REGISTRY,
     NPMJS_REGISTRY,