failproofai 0.0.6-beta.2 → 0.0.6-beta.3

package/.next/standalone/docs/es/built-in-policies.mdx

@@ -1,19 +1,19 @@
 ---
-title: Políticas integradas
+title: Políticas Integradas
 description: "Las 30 políticas integradas que detectan los modos de fallo más comunes en agentes"
 icon: shield
 ---
 
-failproofai incluye 30 políticas integradas que detectan los modos de fallo más comunes en agentes. Cada política se activa en un tipo de evento de hook específico y un nombre de herramienta determinado. Nueve políticas aceptan parámetros que permiten ajustar su comportamiento sin escribir código. Cuatro políticas de flujo de trabajo imponen un pipeline de commit → push → PR → CI antes de que Claude se detenga.
+failproofai incluye 30 políticas integradas que detectan los modos de fallo más comunes en agentes. Cada política se activa en un tipo de evento de hook específico y en un nombre de herramienta determinado. Nueve políticas aceptan parámetros que permiten ajustar su comportamiento sin escribir código. Cuatro políticas de flujo de trabajo imponen un pipeline de commit → push → PR → CI antes de que Claude se detenga.
 
 ---
 
 ## Descripción general
 
-Las políticas están agrupadas por categorías:
+Las políticas están agrupadas en categorías:
 
 | Categoría | Políticas | Tipo de hook |
-|-----------|-----------|--------------|
+|----------|----------|-----------|
 | [Comandos peligrosos](#dangerous-commands) | block-sudo, block-rm-rf, block-curl-pipe-sh, block-failproofai-commands | PreToolUse |
 | [Secretos (sanitizadores)](#secrets-sanitizers) | sanitize-jwt, sanitize-api-keys, sanitize-connection-strings, sanitize-private-key-content, sanitize-bearer-tokens | PostToolUse |
 | [Entorno](#environment) | block-env-files, protect-env-vars | PreToolUse |
@@ -26,33 +26,33 @@ Las políticas están agrupadas por categorías:
 
 - **`block-`** — impide que el agente continúe.
 - **`warn-`** — proporciona contexto adicional al agente para que pueda corregirse.
-- **`sanitize-`** — elimina datos sensibles de la salida de la herramienta antes de que el agente los vea.
+- **`sanitize-`** — elimina datos sensibles de la salida de una herramienta antes de que el agente la vea.
 - **`require-`** — bloquea el evento Stop hasta que se cumplan las condiciones.
 
 ---
 
 <Tip>
-Todas las políticas admiten un campo opcional `hint` en `policyParams`. El hint se añade al mensaje de deny o instruct que ve Claude, proporcionando orientación práctica sin modificar el código de la política. Funciona con políticas integradas, personalizadas y de convención. Consulta [Configuración → hint](/es/configuration#hint-cross-cutting) para más detalles.
+Todas las políticas admiten un campo opcional `hint` en `policyParams`. El hint se agrega al mensaje de deny o instruct que ve Claude, ofreciendo orientación práctica sin modificar el código de la política. Funciona con políticas integradas, personalizadas y de convención. Consulta [Configuración → hint](/es/configuration#hint-cross-cutting) para más detalles.
 </Tip>
 
 ---
 
 ## Comandos peligrosos
 
-Evita que los agentes ejecuten operaciones difíciles de deshacer o que puedan dañar el sistema host.
+Evita que los agentes ejecuten operaciones difíciles de deshacer o que puedan dañar el sistema anfitrión.
 
 ### `block-sudo`
 
 **Evento:** PreToolUse (Bash)  
-**Por defecto:** Deniega cualquier comando `sudo`.
+**Comportamiento predeterminado:** Deniega cualquier comando `sudo`.
 
-Bloquea las invocaciones que incluyen la palabra clave `sudo`. La coincidencia de patrones se realiza sobre los tokens del comando analizado, no sobre la cadena sin procesar, para evitar evasiones mediante inyección de operadores de shell.
+Bloquea las invocaciones que incluyen la palabra clave `sudo`. La coincidencia de patrones se realiza sobre los tokens de comando analizados, no sobre la cadena sin procesar, para evitar elusiones mediante inyección de operadores de shell.
 
 **Parámetros:**
 
-| Parámetro | Tipo | Por defecto | Descripción |
-|-----------|------|-------------|-------------|
-| `allowPatterns` | `string[]` | `[]` | Prefijos de comando exactos que están permitidos. Cada entrada se compara con los tokens argv analizados. |
+| Parámetro | Tipo | Predeterminado | Descripción |
+|-------|------|---------|-------------|
+| `allowPatterns` | `string[]` | `[]` | Prefijos de comandos exactos que están permitidos. Cada entrada se compara con los tokens argv analizados. |
 
 **Ejemplo:**
 
@@ -69,7 +69,7 @@ Bloquea las invocaciones que incluyen la palabra clave `sudo`. La coincidencia d
 Con esta configuración, `sudo systemctl status nginx` está permitido, pero `sudo rm /etc/hosts` es denegado.
 
 <Note>
-Los patrones se comparan con los tokens analizados, no con la cadena del comando sin procesar. Esto evita evasiones mediante operadores de shell añadidos (p. ej., `sudo systemctl status x; rm -rf /` no coincide con `sudo systemctl status *`).
+Los patrones se comparan con los tokens analizados, no con la cadena de comando sin procesar. Esto evita elusiones mediante operadores de shell añadidos (p. ej., `sudo systemctl status x; rm -rf /` no coincide con `sudo systemctl status *`).
 </Note>
 
 ---
@@ -77,13 +77,13 @@ Los patrones se comparan con los tokens analizados, no con la cadena del comando
 ### `block-rm-rf`
 
 **Evento:** PreToolUse (Bash)  
-**Por defecto:** Deniega `rm -rf`, `rm -fr` y formas similares de eliminación recursiva.
+**Comportamiento predeterminado:** Deniega `rm -rf`, `rm -fr` y formas similares de eliminación recursiva.
 
 **Parámetros:**
 
-| Parámetro | Tipo | Por defecto | Descripción |
-|-----------|------|-------------|-------------|
-| `allowPaths` | `string[]` | `[]` | Rutas donde la eliminación recursiva está permitida (p. ej., `/tmp`). |
+| Parámetro | Tipo | Predeterminado | Descripción |
+|-------|------|---------|-------------|
+| `allowPaths` | `string[]` | `[]` | Rutas donde es seguro eliminar de forma recursiva (p. ej., `/tmp`). |
 
 **Ejemplo:**
 
@@ -102,7 +102,7 @@ Los patrones se comparan con los tokens analizados, no con la cadena del comando
 ### `block-curl-pipe-sh`
 
 **Evento:** PreToolUse (Bash)  
-**Por defecto:** Deniega `curl <url> | bash`, `curl <url> | sh`, `wget <url> | bash` y patrones similares.
+**Comportamiento predeterminado:** Deniega `curl <url> | bash`, `curl <url> | sh`, `wget <url> | bash` y patrones similares.
 
 Sin parámetros.
 
@@ -111,7 +111,7 @@ Sin parámetros.
 ### `block-failproofai-commands`
 
 **Evento:** PreToolUse (Bash)  
-**Por defecto:** Deniega comandos que desinstalarían o deshabilitarían failproofai (p. ej., `npm uninstall failproofai`, `failproofai policies --uninstall`).
+**Comportamiento predeterminado:** Deniega comandos que desinstalarían o desactivarían failproofai (p. ej., `npm uninstall failproofai`, `failproofai policies --uninstall`).
 
 Sin parámetros.
 
@@ -119,12 +119,12 @@ Sin parámetros.
 
 ## Secretos (sanitizadores)
 
-Evita que los agentes filtren credenciales en su contexto o salida. Las políticas sanitizadoras se activan en eventos **PostToolUse**. Cuando Claude ejecuta un comando Bash, lee un archivo o llama a cualquier herramienta, estas políticas inspeccionan la salida antes de que se devuelva a Claude. Si se detecta un patrón de secreto, la política devuelve una decisión de deny que impide que la salida sea enviada de vuelta.
+Evita que los agentes filtren credenciales en su contexto o salida. Las políticas de sanitización se activan en eventos **PostToolUse**. Cuando Claude ejecuta un comando Bash, lee un archivo o invoca cualquier herramienta, estas políticas inspeccionan la salida antes de que se devuelva a Claude. Si se detecta un patrón de secreto, la política devuelve una decisión de deny que impide que la salida sea procesada.
 
 ### `sanitize-jwt`
 
 **Evento:** PostToolUse (todas las herramientas)  
-**Por defecto:** Elimina tokens JWT (tres segmentos base64url separados por `.`).
+**Comportamiento predeterminado:** Redacta tokens JWT (tres segmentos base64url separados por `.`).
 
 Sin parámetros.
 
@@ -133,13 +133,13 @@ Sin parámetros.
 ### `sanitize-api-keys`
 
 **Evento:** PostToolUse (todas las herramientas)  
-**Por defecto:** Elimina formatos comunes de claves API: Anthropic (`sk-ant-`), OpenAI (`sk-`), GitHub PATs (`ghp_`), claves de acceso AWS (`AKIA`), claves de Stripe (`sk_live_`, `sk_test_`) y claves de API de Google (`AIza`).
+**Comportamiento predeterminado:** Redacta formatos comunes de claves API: Anthropic (`sk-ant-`), OpenAI (`sk-`), PATs de GitHub (`ghp_`), claves de acceso de AWS (`AKIA`), claves de Stripe (`sk_live_`, `sk_test_`) y claves de API de Google (`AIza`).
 
 **Parámetros:**
 
-| Parámetro | Tipo | Por defecto | Descripción |
-|-----------|------|-------------|-------------|
-| `additionalPatterns` | `{ regex: string; label: string }[]` | `[]` | Patrones regex adicionales a tratar como secretos. |
+| Parámetro | Tipo | Predeterminado | Descripción |
+|-------|------|---------|-------------|
+| `additionalPatterns` | `{ regex: string; label: string }[]` | `[]` | Patrones regex adicionales para tratar como secretos. |
 
 **Ejemplo:**
 
@@ -161,7 +161,7 @@ Sin parámetros.
 ### `sanitize-connection-strings`
 
 **Evento:** PostToolUse (todas las herramientas)  
-**Por defecto:** Elimina cadenas de conexión a bases de datos que contienen credenciales incrustadas (p. ej., `postgresql://user:password@host/db`).
+**Comportamiento predeterminado:** Redacta cadenas de conexión a bases de datos que contienen credenciales embebidas (p. ej., `postgresql://user:password@host/db`).
 
 Sin parámetros.
 
@@ -170,7 +170,7 @@ Sin parámetros.
 ### `sanitize-private-key-content`
 
 **Evento:** PostToolUse (todas las herramientas)  
-**Por defecto:** Elimina bloques PEM (`-----BEGIN PRIVATE KEY-----`, `-----BEGIN RSA PRIVATE KEY-----`, etc.).
+**Comportamiento predeterminado:** Redacta bloques PEM (`-----BEGIN PRIVATE KEY-----`, `-----BEGIN RSA PRIVATE KEY-----`, etc.).
 
 Sin parámetros.
 
@@ -179,7 +179,7 @@ Sin parámetros.
 ### `sanitize-bearer-tokens`
 
 **Evento:** PostToolUse (todas las herramientas)  
-**Por defecto:** Elimina encabezados `Authorization: Bearer <token>` donde el token tiene 20 o más caracteres.
+**Comportamiento predeterminado:** Redacta encabezados `Authorization: Bearer <token>` donde el token tiene 20 o más caracteres.
 
 Sin parámetros.
 
@@ -192,9 +192,9 @@ Protege la configuración sensible del entorno para que los agentes no puedan le
 ### `block-env-files`
 
 **Evento:** PreToolUse (Bash, Read)  
-**Por defecto:** Deniega la lectura de archivos `.env` mediante `cat .env`, llamadas a la herramienta `Read` con `.env` como ruta de archivo, etc.
+**Comportamiento predeterminado:** Deniega la lectura de archivos `.env` mediante `cat .env`, llamadas a la herramienta `Read` con `.env` como ruta de archivo, etc.
 
-No bloquea `.envrc` ni otros archivos relacionados con el entorno; solo archivos con el nombre exacto `.env`.
+No bloquea `.envrc` ni otros archivos relacionados con el entorno; solo archivos denominados exactamente `.env`.
 
 Sin parámetros.
 
@@ -203,7 +203,7 @@ Sin parámetros.
 ### `protect-env-vars`
 
 **Evento:** PreToolUse (Bash)  
-**Por defecto:** Deniega comandos que imprimen variables de entorno: `printenv`, `env`, `echo $VAR`.
+**Comportamiento predeterminado:** Deniega comandos que imprimen variables de entorno: `printenv`, `env`, `echo $VAR`.
 
 Sin parámetros.
 
@@ -216,13 +216,13 @@ Mantiene a los agentes trabajando dentro de los límites del proyecto y alejados
 ### `block-read-outside-cwd`
 
 **Evento:** PreToolUse (Read, Bash)  
-**Por defecto:** Deniega la lectura de archivos fuera del directorio de trabajo actual (la raíz del proyecto).
+**Comportamiento predeterminado:** Deniega la lectura de archivos fuera del directorio de trabajo actual (la raíz del proyecto).
 
 **Parámetros:**
 
-| Parámetro | Tipo | Por defecto | Descripción |
-|-----------|------|-------------|-------------|
-| `allowPaths` | `string[]` | `[]` | Prefijos de rutas absolutas permitidos aunque estén fuera del directorio de trabajo. |
+| Parámetro | Tipo | Predeterminado | Descripción |
+|-------|------|---------|-------------|
+| `allowPaths` | `string[]` | `[]` | Prefijos de rutas absolutas que están permitidos aunque estén fuera del cwd. |
 
 **Ejemplo:**
 
@@ -241,13 +241,13 @@ Mantiene a los agentes trabajando dentro de los límites del proyecto y alejados
 ### `block-secrets-write`
 
 **Evento:** PreToolUse (Write, Edit)  
-**Por defecto:** Deniega escrituras en archivos habitualmente usados para claves privadas y certificados: `id_rsa`, `id_ed25519`, `*.key`, `*.pem`, `*.p12`, `*.pfx`.
+**Comportamiento predeterminado:** Deniega escrituras en archivos habitualmente usados para claves privadas y certificados: `id_rsa`, `id_ed25519`, `*.key`, `*.pem`, `*.p12`, `*.pfx`.
 
 **Parámetros:**
 
-| Parámetro | Tipo | Por defecto | Descripción |
-|-----------|------|-------------|-------------|
-| `additionalPatterns` | `string[]` | `[]` | Patrones de nombre de archivo adicionales (estilo glob) a bloquear. |
+| Parámetro | Tipo | Predeterminado | Descripción |
+|-------|------|---------|-------------|
+| `additionalPatterns` | `string[]` | `[]` | Patrones de nombre de archivo adicionales (estilo glob) que se deben bloquear. |
 
 **Ejemplo:**
 
@@ -265,17 +265,17 @@ Mantiene a los agentes trabajando dentro de los límites del proyecto y alejados
 
 ## Git
 
-Previene pushes accidentales, force-pushes y errores de rama difíciles de deshacer.
+Previene pushes accidentales, force-pushes y errores de rama que son difíciles de deshacer.
 
 ### `block-push-master`
 
 **Evento:** PreToolUse (Bash)  
-**Por defecto:** Deniega `git push origin main` y `git push origin master`.
+**Comportamiento predeterminado:** Deniega `git push origin main` y `git push origin master`.
 
 **Parámetros:**
 
-| Parámetro | Tipo | Por defecto | Descripción |
-|-----------|------|-------------|-------------|
+| Parámetro | Tipo | Predeterminado | Descripción |
+|-------|------|---------|-------------|
 | `protectedBranches` | `string[]` | `["main", "master"]` | Nombres de ramas a las que no se puede hacer push directamente. |
 
 **Ejemplo:**
@@ -291,7 +291,7 @@ Previene pushes accidentales, force-pushes y errores de rama difíciles de desha
 ```
 
 <Tip>
-Para permitir push a todas las ramas (deshabilitando efectivamente esta política sin eliminarla de `enabledPolicies`), establece `protectedBranches: []`.
+Para permitir push a todas las ramas (desactivando efectivamente esta política sin eliminarla de `enabledPolicies`), establece `protectedBranches: []`.
 </Tip>
 
 ---
@@ -299,12 +299,12 @@ Para permitir push a todas las ramas (deshabilitando efectivamente esta polític
 ### `block-work-on-main`
 
 **Evento:** PreToolUse (Bash)  
-**Por defecto:** Deniega hacer checkout directamente a las ramas `main` o `master`.
+**Comportamiento predeterminado:** Deniega hacer checkout directamente de las ramas `main` o `master`.
 
 **Parámetros:**
 
-| Parámetro | Tipo | Por defecto | Descripción |
-|-----------|------|-------------|-------------|
+| Parámetro | Tipo | Predeterminado | Descripción |
+|-------|------|---------|-------------|
 | `protectedBranches` | `string[]` | `["main", "master"]` | Nombres de ramas a las que no se puede hacer checkout directamente. |
 
 ---
@@ -312,9 +312,9 @@ Para permitir push a todas las ramas (deshabilitando efectivamente esta polític
 ### `block-force-push`
 
 **Evento:** PreToolUse (Bash)  
-**Por defecto:** Deniega `git push --force` y `git push -f`.
+**Comportamiento predeterminado:** Deniega `git push --force` y `git push -f`.
 
-Sin parámetros específicos de política. Usa el campo transversal [`hint`](/es/configuration#hint-cross-cutting) para sugerir alternativas:
+Sin parámetros específicos de la política. Usa el [`hint`](/es/configuration#hint-cross-cutting) transversal para sugerir alternativas:
 
 ```json
 {
@@ -331,7 +331,7 @@ Sin parámetros específicos de política. Usa el campo transversal [`hint`](/es
 ### `warn-git-amend`
 
 **Evento:** PreToolUse (Bash)  
-**Por defecto:** Instruye a Claude a proceder con cuidado al ejecutar `git commit --amend`. No bloquea el comando.
+**Comportamiento predeterminado:** Indica a Claude que proceda con cuidado al ejecutar `git commit --amend`. No bloquea el comando.
 
 Sin parámetros.
 
@@ -340,7 +340,7 @@ Sin parámetros.
 ### `warn-git-stash-drop`
 
 **Evento:** PreToolUse (Bash)  
-**Por defecto:** Instruye a Claude a confirmar antes de ejecutar `git stash drop`. No bloquea el comando.
+**Comportamiento predeterminado:** Indica a Claude que confirme antes de ejecutar `git stash drop`. No bloquea el comando.
 
 Sin parámetros.
 
@@ -349,7 +349,7 @@ Sin parámetros.
 ### `warn-all-files-staged`
 
 **Evento:** PreToolUse (Bash)  
-**Por defecto:** Instruye a Claude a revisar qué está añadiendo al área de staging cuando ejecuta `git add -A` o `git add .`. No bloquea el comando.
+**Comportamiento predeterminado:** Indica a Claude que revise lo que está añadiendo al área de preparación cuando ejecuta `git add -A` o `git add .`. No bloquea el comando.
 
 Sin parámetros.
 
@@ -362,7 +362,7 @@ Detecta operaciones SQL destructivas antes de que se ejecuten contra tu base de
 ### `warn-destructive-sql`
 
 **Evento:** PreToolUse (Bash)  
-**Por defecto:** Instruye a Claude a confirmar antes de ejecutar SQL que contenga `DROP TABLE`, `DROP DATABASE` o `DELETE` sin cláusula `WHERE`.
+**Comportamiento predeterminado:** Indica a Claude que confirme antes de ejecutar SQL que contenga `DROP TABLE`, `DROP DATABASE` o `DELETE` sin una cláusula `WHERE`.
 
 Sin parámetros.
 
@@ -371,7 +371,7 @@ Sin parámetros.
 ### `warn-schema-alteration`
 
 **Evento:** PreToolUse (Bash)  
-**Por defecto:** Instruye a Claude a confirmar antes de ejecutar sentencias `ALTER TABLE`.
+**Comportamiento predeterminado:** Indica a Claude que confirme antes de ejecutar sentencias `ALTER TABLE`.
 
 Sin parámetros.
 
@@ -384,12 +384,12 @@ Proporciona contexto adicional a los agentes antes de operaciones potencialmente
 ### `warn-large-file-write`
 
 **Evento:** PreToolUse (Write)  
-**Por defecto:** Instruye a Claude a confirmar antes de escribir archivos de más de 1024 KB.
+**Comportamiento predeterminado:** Indica a Claude que confirme antes de escribir archivos de más de 1024 KB.
 
 **Parámetros:**
 
-| Parámetro | Tipo | Por defecto | Descripción |
-|-----------|------|-------------|-------------|
+| Parámetro | Tipo | Predeterminado | Descripción |
+|-------|------|---------|-------------|
 | `thresholdKb` | `number` | `1024` | Umbral de tamaño de archivo en kilobytes a partir del cual se emite una advertencia. |
 
 **Ejemplo:**
@@ -405,7 +405,7 @@ Proporciona contexto adicional a los agentes antes de operaciones potencialmente
 ```
 
 <Note>
-El manejador del hook impone un límite de 1 MB en stdin para los payloads. Para probar esta política con contenido pequeño, establece `thresholdKb` a un valor muy inferior a 1024.
+El manejador de hooks impone un límite de 1 MB en stdin para los payloads. Para probar esta política con contenido pequeño, establece `thresholdKb` en un valor muy inferior a 1024.
 </Note>
 
 ---
@@ -413,7 +413,7 @@ El manejador del hook impone un límite de 1 MB en stdin para los payloads. Para
 ### `warn-package-publish`
 
 **Evento:** PreToolUse (Bash)  
-**Por defecto:** Instruye a Claude a confirmar antes de ejecutar `npm publish`.
+**Comportamiento predeterminado:** Indica a Claude que confirme antes de ejecutar `npm publish`.
 
 Sin parámetros.
 
@@ -422,7 +422,7 @@ Sin parámetros.
 ### `warn-background-process`
 
 **Evento:** PreToolUse (Bash)  
-**Por defecto:** Instruye a Claude a tener cuidado al lanzar procesos en segundo plano mediante `nohup`, `&`, `disown` o `screen`.
+**Comportamiento predeterminado:** Indica a Claude que tenga cuidado al lanzar procesos en segundo plano mediante `nohup`, `&`, `disown` o `screen`.
 
 Sin parámetros.
 
@@ -431,7 +431,7 @@ Sin parámetros.
 ### `warn-global-package-install`
 
 **Evento:** PreToolUse (Bash)  
-**Por defecto:** Instruye a Claude a confirmar antes de ejecutar `npm install -g`, `yarn global add` o `pip install` sin un entorno virtual.
+**Comportamiento predeterminado:** Indica a Claude que confirme antes de ejecutar `npm install -g`, `yarn global add` o `pip install` sin un entorno virtual.
 
 Sin parámetros.
 
@@ -444,16 +444,16 @@ Impone qué gestores de paquetes puede utilizar el agente.
 ### `prefer-package-manager`
 
 **Evento:** PreToolUse (Bash)  
-**Por defecto:** Deshabilitado. Cuando está habilitado, bloquea cualquier comando de gestor de paquetes que no esté en la lista `allowed` e indica a Claude que reescriba el comando usando un gestor permitido.
+**Comportamiento predeterminado:** Desactivado. Cuando está habilitado, bloquea cualquier comando de gestor de paquetes que no esté en la lista `allowed` e indica a Claude que reescriba el comando usando un gestor permitido.
 
 Detecta: pip, pip3, python -m pip, npm, npx, yarn, pnpm, pnpx, bun, bunx, uv, poetry, pipenv, conda, cargo.
 
-| Parámetro | Tipo | Por defecto | Descripción |
-|-----------|------|-------------|-------------|
-| `allowed` | string[] | `[]` | Nombres de gestores de paquetes permitidos. Cualquier gestor detectado que no esté en esta lista será bloqueado. Si está vacío, la política no hace nada. |
+| Parámetro | Tipo | Predeterminado | Descripción |
+|-----------|------|---------|-------------|
+| `allowed` | string[] | `[]` | Nombres de gestores de paquetes permitidos. Cualquier gestor detectado que no esté en esta lista es bloqueado. Cuando está vacío, la política no tiene efecto. |
 | `blocked` | string[] | `[]` | Nombres de gestores adicionales a bloquear más allá de la lista integrada (p. ej., `['pdm', 'pipx']`). |
 
-La lista de bloqueo integrada incluye: pip, pip3, npm, npx, yarn, pnpm, pnpx, bun, bunx, uv, poetry, pipenv, conda, cargo. Usa `blocked` para añadir gestores que no estén en esta lista.
+La lista de bloqueo integrada incluye: pip, pip3, npm, npx, yarn, pnpm, pnpx, bun, bunx, uv, poetry, pipenv, conda, cargo. Usa `blocked` para añadir gestores que no están en esta lista.
 
 **Ejemplo de configuración:**
 
@@ -469,18 +469,18 @@ La lista de bloqueo integrada incluye: pip, pip3, npm, npx, yarn, pnpm, pnpx, bu
 }
 ```
 
-Con esta configuración, tanto `pip install flask` como `pdm install flask` son denegados con un mensaje que indica a Claude que use `uv` o `bun`. Comandos como `uv pip install flask` están permitidos porque `uv` está en la lista de permitidos y se comprueba primero.
+Con esta configuración, tanto `pip install flask` como `pdm install flask` son denegados con un mensaje que indica a Claude que use `uv` o `bun` en su lugar. Comandos como `uv pip install flask` están permitidos porque `uv` está en la lista de permitidos y se verifica primero.
 
 ---
 
 ## Comportamiento de la IA
 
-Detecta cuándo los agentes se quedan atascados o se comportan de forma inesperada.
+Detecta cuándo los agentes se quedan bloqueados o se comportan de forma inesperada.
 
 ### `warn-repeated-tool-calls`
 
 **Evento:** PreToolUse (todas las herramientas)  
-**Por defecto:** Instruye a Claude a reconsiderar cuando la misma herramienta es llamada 3 o más veces con parámetros idénticos, lo que suele ser una señal de que el agente está atascado en un bucle.
+**Comportamiento predeterminado:** Indica a Claude que reconsidere cuando la misma herramienta se llama 3 o más veces con parámetros idénticos, lo cual es una señal habitual de que el agente está atascado en un bucle.
 
 Sin parámetros.
 
@@ -488,14 +488,14 @@ Sin parámetros.
 
 ## Flujo de trabajo
 
-Impone un flujo de trabajo disciplinado al final de la sesión. Estas políticas se activan en el evento **Stop** y evitan que Claude se detenga hasta que se cumpla cada condición. Siguen una cadena de dependencia natural: commit → push → PR → CI. Si una política deniega, las políticas posteriores de la cadena se omiten (deny cortocircuita la cadena).
+Impone un flujo de trabajo disciplinado al final de la sesión. Estas políticas se activan en el evento **Stop** y deniegan a Claude la posibilidad de detenerse hasta que se cumpla cada condición. Siguen una cadena de dependencias natural: commit → push → PR → CI. Si una política deniega, las políticas posteriores en la cadena se omiten (la denegación interrumpe la cadena).
 
-Todas las políticas de flujo de trabajo son **fail-open**: si la herramienta requerida no está disponible (p. ej., `gh` no instalado, sin remote de git), la política permite la acción con un mensaje informativo explicando por qué se omitió la comprobación.
+Todas las políticas de flujo de trabajo son **fail-open**: si la herramienta requerida no está disponible (p. ej., `gh` no está instalado, no hay remote de git), la política permite la operación con un mensaje informativo que explica por qué se omitió la verificación.
 
 ### `require-commit-before-stop`
 
 **Evento:** Stop  
-**Por defecto:** Deniega la detención cuando hay cambios sin commitear (archivos modificados, en staging o sin seguimiento). Devuelve un mensaje informativo cuando el directorio de trabajo está limpio.
+**Comportamiento predeterminado:** Deniega la detención cuando hay cambios sin confirmar (archivos modificados, en el área de preparación o sin seguimiento). Devuelve un mensaje informativo cuando el directorio de trabajo está limpio.
 
 Sin parámetros.
 
@@ -504,12 +504,12 @@ Sin parámetros.
 ### `require-push-before-stop`
 
 **Evento:** Stop  
-**Por defecto:** Deniega la detención cuando hay commits sin hacer push o cuando la rama actual no tiene una rama de seguimiento remota. Sugiere `git push -u` para crear una rama de seguimiento si es necesario. Falla de forma abierta si no hay remote configurado.
+**Comportamiento predeterminado:** Deniega la detención cuando hay commits sin enviar o cuando la rama actual no tiene una rama de seguimiento remota. Sugiere `git push -u` para crear una rama de seguimiento si es necesario. Falla de forma abierta si no hay un remote configurado.
 
 **Parámetros:**
 
-| Parámetro | Tipo | Por defecto | Descripción |
-|-----------|------|-------------|-------------|
+| Parámetro | Tipo | Predeterminado | Descripción |
+|-------|------|---------|-------------|
 | `remote` | `string` | `"origin"` | Nombre del remote al que hacer push. |
 
 **Ejemplo:**
@@ -529,13 +529,13 @@ Sin parámetros.
 ### `require-pr-before-stop`
 
 **Evento:** Stop  
-**Por defecto:** Deniega la detención cuando no existe ningún pull request para la rama actual, o cuando el PR existente está cerrado o fusionado. Instruye a Claude a crear un PR con `gh pr create`.
+**Comportamiento predeterminado:** Deniega la detención cuando no existe ningún pull request para la rama actual, o cuando el PR existente está cerrado o fusionado. Indica a Claude que cree un PR con `gh pr create`.
 
 Sin parámetros.
 
 <Note>
 Esta política requiere que [GitHub CLI](https://cli.github.com/) (`gh`) esté instalado y autenticado.
-Ejecuta `gh auth login` con un token de acceso personal que tenga el scope `repo` para acceso de lectura a
+Ejecuta `gh auth login` con un token de acceso personal que tenga el ámbito `repo` para acceso de lectura a
 pull requests. Si `gh` no está instalado o no está autenticado, la política falla de forma abierta e informa del motivo a Claude.
 </Note>
 
@@ -544,23 +544,23 @@ pull requests. Si `gh` no está instalado o no está autenticado, la política f
 ### `require-ci-green-before-stop`
 
 **Evento:** Stop  
-**Por defecto:** Deniega la detención cuando las comprobaciones de CI están fallando o aún en ejecución en la rama actual. Comprueba tanto las ejecuciones de flujos de trabajo de GitHub Actions como las comprobaciones de bots de terceros (p. ej., CodeRabbit, SonarCloud, Codecov). Trata las conclusiones `skipped` como éxito. Devuelve un mensaje informativo cuando todas las comprobaciones pasan.
+**Comportamiento predeterminado:** Deniega la detención cuando las verificaciones de CI están fallando o aún en ejecución en la rama actual. Comprueba tanto las ejecuciones de flujo de trabajo de GitHub Actions como las verificaciones de bots de terceros (p. ej., CodeRabbit, SonarCloud, Codecov). Trata las conclusiones `skipped` y `cancelled` como éxito. Devuelve un mensaje informativo cuando todas las verificaciones pasan.
 
 Sin parámetros.
 
 <Note>
 Esta política requiere que [GitHub CLI](https://cli.github.com/) (`gh`) esté instalado y autenticado.
-Ejecuta `gh auth login` con un token de acceso personal que tenga el scope `repo` para acceso de lectura a
-ejecuciones de flujos de trabajo de Actions y la API de Checks. Si `gh` no está instalado o no está autenticado, la política falla de forma abierta e informa del motivo a Claude.
+Ejecuta `gh auth login` con un token de acceso personal que tenga el ámbito `repo` para acceso de lectura a
+ejecuciones de flujo de trabajo de Actions y la API de Checks. Si `gh` no está instalado o no está autenticado, la política falla de forma abierta e informa del motivo a Claude.
 </Note>
 
 ---
 
 ---
 
-## Deshabilitar políticas individuales
+## Desactivar políticas individuales
 
-Elimina una política específica de `enabledPolicies` en tu configuración, o desactívala en la pestaña Policies del panel de control.
+Elimina una política específica de `enabledPolicies` en tu configuración, o desactívala desde la pestaña Políticas del panel de control.
 
 ```json
 {