En un panorama de ciberseguridad cada vez más dinámico y desafiante, donde el costo promedio de una violación de datos alcanzó los 9,36 millones de dólares en el año 2024, según un informe de IBM, se vuelve fundamental fortalecer las capacidades preventivas para mejorar la postura de seguridad. En este contexto, surge la necesidad de implementar un proceso sistemático conocido como Modelado de Amenazas.
El modelado de amenazas permite no solo comprender los riesgos actuales, sino también prever escenarios de ataque, adoptando un enfoque prospectivo que facilita la identificación y mitigación de amenazas tanto conocidas como emergentes.
Además, al tener en cuenta el contexto específico de cada organización, incluyendo su superficie de ataque y los activos críticos, aumenta la efectividad de las medidas de defensa, reduciendo la probabilidad de materialización de posibles incidentes de seguridad.
Requisitos para un Modelado de Amenazas Adecuado
Para poder realizar modelados de amenazas es importante cumplir los siguientes requisitos:
Definición del alcance y los objetivos
El primer paso del proceso de modelado de amenazas consiste en definir de manera clara el alcance y los objetivos del análisis. Esta etapa es esencial para enfocar los esfuerzos en los componentes críticos del sistema y asegurar que los recursos se utilicen de forma eficiente.
Identificación de activos
El siguiente paso poder realizar modelado de amenazas es la identificación de activos, ya que uno de los objetivos principales de los actores de amenaza es comprometer o tomar control de los activos críticos de las organizaciones.
En este proceso, los analistas de inteligencia de amenazas adoptan la perspectiva de un adversario, con el fin de identificar los recursos que son esenciales para la operación del negocio y que, por tanto, deben ser protegidos frente a posibles ataques.
Este enfoque permite priorizar la protección de los activos más valiosos, estableciendo una base sólida para las siguientes etapas del modelado de amenazas.
Caracterización del sistema
El segundo paso en el modelado de amenazas es la caracterización del sistema, lo cual implica desarrollar una visión general de la arquitectura y el comportamiento del sistema a evaluar. Este proceso permite recopilar la información necesaria para que los analistas de inteligencia de amenazas identifiquen con precisión las áreas que podrían ser vulnerables o representar un mayor riesgo de ataque:
-
-
Identificar los flujos de datos del sistema.
-
Identificar los límites de confianza, es decir, los derechos de acceso que las aplicaciones otorgan a entidades externas.
-
Identificar las dependencias externas, como servicios de terceros o APIs externas.
-
Revisar notas de seguridad externas e internas que puedan influir en el análisis de amenazas.
-
Comprender el propósito y funcionamiento de las aplicaciones.
-
Identificar las tecnologías utilizadas, incluyendo frameworks.
-
Determinar los puntos de entrada y salida que pueden ser aprovechados por adversarios (por ejemplo, interfaces web, puertos expuestos, APIs).
-
Crear un diagrama de arquitectura que represente gráficamente todos los elementos anteriores, facilitando la identificación de posibles vectores de ataque.
-
Matriz de riesgos que relacione los activos y amenazas identificadas con su posible impacto.
-
Modelado del Sistema
El siguiente paso en el proceso consiste en realizar el modelado del sistema, cuyo objetivo principal es responder a la pregunta: ¿Qué se está construyendo?. Comprender en profundidad la arquitectura del sistema es esencial para determinar qué amenazas son más relevantes y cómo podrían explotarse, considerando siempre la perspectiva de un adversario.
Durante esta fase, el analista de inteligencia de amenazas descompone la arquitectura del sistema en sus módulos o componentes básicos, en función de áreas tradicionales de vulnerabilidades. Esta descomposición permite construir perfiles de seguridad que revelan debilidades en la configuración de diseño, implementación o despliegue, y que pueden ser aprovechadas por un atacante.
Una de las herramientas más comunes para representar este modelado es el uso de diagramas, como:
Diagramas de Flujo de Datos (DFD)
Los DFD permiten representar de forma abstracta y de alto nivel el flujo de información dentro del sistema. Son especialmente útiles para:
-
- Identificar puntos de entrada y salida de datos en el sistema.
- Determinar posibles rutas de amenazas desde el punto de vista del adversario.
- Visualizar los procesos internos que manipulan los datos.
- Comprender cómo los datos viajan entre componentes y cómo pueden ser interceptados o manipulados.
Determinación e Identificación de Ciberamenazas
Una vez modelado el sistema, un analista de inteligencia de amenazas determina e identifica las amenazas, vulnerabilidades y vectores de ataque teniendo en cuenta el sistema que se está evaluando. Para lo anterior, existen diferentes metodologías de modelado de amenazas.
Algunas de las metodologías son las siguientes:
STRIDE:
Es una metodología que describe 6 tipos de amenazas:
Tipo de Amenaza | Qué se compromete | Cómo se compromete |
S - Spoofing | Autenticación | Suplantación de algo o alguien conocido y confiable. |
T - Tampering | Integridad | Modificación de datos en disco, memoria, red, etc. |
R - Repudiation | No repudio | Negación de la responsabilidad de una acción. |
I - Information Disclosure | Confidencialidad | Divulgación no autorizada de la información. |
D - Denial of Service (DoS) | Disponibilidad | Denegación u obstrucción del acceso a recursos necesarios para brindar un servicio. |
E - Elevation of Privilege | Autorización | Acceso otorgado a alguien sin la autorización adecuada. |
PASTA:
Es una metodología de modelado de amenazas compuesta por siete etapas. Su propósito es simular ataques contra aplicaciones de TI mediante el análisis estructurado de amenazas, su origen, el impacto potencial y las medidas de mitigación. PASTA (Process for Attack Simulation and Threat Analysis) permite alinear los riesgos técnicos con los objetivos del negocio, facilitando decisiones informadas en materia de seguridad.
Etapa | Nombre | Descripción |
1 | Definir los objetivos | Establecer los objetivos del análisis de amenazas, alineados con los intereses del negocio. |
2 | Definir el alcance técnico | Identificar el entorno técnico de la aplicación, incluyendo infraestructura, tecnologías y límites. |
3 | Descomposición y análisis de la aplicación | Analizar la arquitectura, componentes, flujos de datos y activos para comprender cómo funciona el sistema. |
4 | Análisis de amenazas | Identificar posibles amenazas con base en vectores de ataque, actores de amenaza y motivaciones. |
5 | Análisis de vulnerabilidades y debilidades | Evaluar las vulnerabilidades presentes y debilidades en los controles de seguridad existentes, con el fin de comprender los riesgos potenciales. |
6 | Modelado y simulación de ataques | Simular ataques potenciales para entender las rutas de explotación más probables. Durante esta fase se modelan escenarios de ataque a partir de las amenazas identificadas, con el objetivo de visualizar cómo un actor malicioso podría comprometer activos clave del sistema. Las simulaciones permiten anticipar los vectores de explotación más viables según la superficie de ataque y las vulnerabilidades presentes. Las pruebas y resultados pueden representarse mediante árboles de ataque (attack trees), los cuales estructuran gráficamente las posibles acciones del atacante, desde las más generales hasta las más específicas, permitiendo visualizar las condiciones necesarias para alcanzar un objetivo malicioso determinado. |
7 | Análisis de riesgo e impacto | Evaluar la probabilidad e impacto de las amenazas para priorizar su mitigación. |
DREAD:
Es una metodología utilizada para evaluar, analizar y encontrar la probabilidad de riesgo que califica las amenazas, teniendo en cuenta lo siguiente:
Factor | Descripción |
Damage | Impacto de un ataque. |
Reproducibility | Facilidad con la que un ataque puede reproducirse. |
Exploitability | Facilidad con la que se puede lanzar un ataque. |
Affected users | Cantidad de usuarios que se verán afectados. |
Discoverability | Facilidad con la que puede ser encontrada una vulnerabilidad. |
OCTAVE:
Es una metodología utilizada para identificar, evaluar y gestionar los riesgos asociados a los activos de TI. Permite identificar los componentes críticos de seguridad de la información, así como las amenazas que podrían afectar su confidencialidad, integridad y disponibilidad, con el objetivo de generar estrategias que permitan reducir los riesgos sobre dichos activos.
A continuación se comparten los pasos para implementar esta metodología:
Paso | Actividad |
1 | Identificar los criterios de evaluación de riesgos. |
2 | Identificar los activos que son cruciales para cumplir el objetivo de la organización. |
3 | Evaluar las consecuencias potenciales de estas amenazas para la organización. |
4 | Comprender la tolerancia al riesgo operativo de la organización. |
5 | Identificar amenazas y vulnerabilidades asociadas a esos activos. |
6 | Iniciar acciones para mitigar los riesgos. |
VAST:
Visual, Agile, and Simple Threat Modeling (VAST) es un enfoque automatizado y visual para la identificación y gestión de amenazas, diseñado para ser ágil y directo. Este proceso se utiliza para analizar y mitigar riesgos tanto en aplicaciones como en operaciones.
Etapa | Descripción |
Automatización |
|
Integración |
|
Colaboración |
|
Ciclo de Vida de Desarrollo del Software (SDLC)
Es un proceso estructurado y cíclico que guía el desarrollo de software desde la planificación hasta su retiro, integra prácticas de seguridad en cada etapa. El modelado de amenazas permite identificar, priorizar y mitigar posibles amenazas desde las primeras fases del SDLC.
-
Planificación y Análisis: De acuerdo con OWASP, en esta fase se lleva a cabo el proceso de recopilación de requisitos. Se introduce el proyecto OWASP SAMM, el cual define tres niveles de madurez que abarcan tanto los requisitos de seguridad para el desarrollo de software interno como para la gestión de la seguridad de proveedores externos:
-
Nivel 1: Considerar explícitamente la seguridad durante el proceso de definición de requisitos de software.
-
Nivel 2: Aumentar el nivel de detalle de los requisitos de seguridad, basándose en la lógica del negocio y riesgos conocidos.
-
Nivel 3: Exigir un proceso formal de requisitos de seguridad para todos los proyectos de software y dependencias de terceros.
-
-
Diseño: En esta etapa se definen los detalles de la implementación, cuyo resultado suele ser un diagrama que describe los flujos de datos y la arquitectura general del sistema. Esta fase representa una oportunidad clave para realizar el modelado de amenazas e incorporar consideraciones de seguridad en cada ticket y épica (Epic) que se genere a partir del diseño. En este contexto, un modelo de amenazas puede representarse mediante un diagrama de flujo de datos que identifique los vectores de ataque asociados a cada flujo y activo, junto con las soluciones o controles de mitigación correspondientes.
-
Desarrollo: En esta etapa se validan las suposiciones y decisiones tomadas durante las fases anteriores; también es donde se evidencian errores específicos de la implementación. OWASP SAMM ofrece consideraciones de implementación genéricas orientadas a garantizar prácticas de codificación segura y reforzar la seguridad durante el proceso de desarrollo
-
Nivel 1 : El proceso de construcción (build) es repetible y consistente.
-
Nivel 2: El proceso de construcción está optimizado y completamente integrado en el flujo de trabajo.
-
Nivel 3: El proceso de construcción ayuda a prevenir que defectos conocidos ingresen al entorno de producción.
-
-
Prueba: En esta se confirma que el software funciona correctamente y que sus resultados sirven como indicadores para tomar decisiones de seguridad basadas en las fases previas. En esta fase, se pueden realizar tanto pruebas automáticas como pruebas manuales. SAMM define tres niveles de madurez:
-
Nivel 1: Realizar pruebas de seguridad para descubrir defectos de seguridad.
-
Nivel 2: Hacer que las pruebas de seguridad durante el desarrollo sean más completas y eficientes mediante la automatización, complementada con pruebas de penetración manuales de seguridad periódicas.
-
Nivel 3: Incorporar las pruebas de seguridad como parte de los procesos de desarrollo y despliegue.
-
- Lanzamiento: En esta fase, es previsto que las funcionalidades ya han sido bien planificadas, codificadas y verificadas. Se enfoca en aspectos como la configuración del sistema, su capacidad de recuperación ante fallos y su monitorización continua. En este momento, se puede aplicar el conjunto básico de reglas de seguridad de Mod para identificar y bloquear de forma efectiva distintos tipos de ataques dirigidos a la plataforma.
Un modelo de amenazas bien estructurado permitirá:
-
Detectar riesgos desde etapas tempranas del ciclo de vida del desarrollo, reduciendo el costo y el esfuerzo de corrección.
-
Fortalecer el diseño desde su concepción, incorporando medidas de seguridad de forma proactiva.
-
Priorizar amenazas en función de su probabilidad e impacto, optimizando la asignación de recursos para la mitigación.
-
Alinear el desarrollo con requisitos normativos y estándares de la industria, mediante un enfoque sistemático y trazable para la gestión de riesgos.
-
Promover una cultura organizacional orientada a la seguridad, integrando esta mentalidad como parte esencial del trabajo diario de los equipos.
-
Mejorar la colaboración entre áreas clave, como desarrollo, seguridad, operaciones y partes interesadas del negocio, facilitando una visión compartida de los riesgos y sus mitigaciones.
Perfiles y Atribución de Amenazas
La elaboración de perfiles de amenazas constituye una actividad esencial dentro del proceso de modelado de amenazas. Esta práctica consiste en recolectar y analizar información detallada sobre los actores de amenaza con el fin de construir un perfil estructurado del adversario. Dicho perfil proporciona una visión integral de los aspectos técnicos, tácticos y estratégicos del atacante, incluyendo sus objetivos, motivaciones, capacidades y comportamientos. Este análisis facilita la creación de contramedidas más efectivas y personalizadas para prevenir o mitigar ataques.
Amenazas persistentes como las APT (Amenazas Persistentes Avanzadas), malware, o botnets pueden permanecer latentes en un sistema durante períodos prolongados, operando de forma encubierta dentro de la actividad legítima, lo que dificulta su detección y rastreo. En estos casos, los perfiles de amenazas son especialmente útiles para su atribución, permitiendo identificar patrones de comportamiento, infraestructura asociada y posibles vínculos con grupos o campañas conocidas.
Para desarrollar un perfil de amenaza eficaz, los analistas de inteligencia de amenazas recopilan toda la información disponible sobre la amenaza y la organizan en un formato analítico y comprensible. Esto permite no solo comprender mejor las amenazas del sistema, sino también anticipar técnicas de ataque similares en el futuro. Además, proporciona insumos valiosos para estrategias de defensa proactiva y respuestas ante incidentes.
Un perfil de amenaza completo puede contener los siguientes elementos:
-
Descripción: Presenta un resumen general de la amenaza, su naturaleza y contexto.
-
Motivación: Indica el propósito del ataque, que puede incluir desde beneficios económicos hasta espionaje o daño reputacional.
-
Intención: Especifica el carácter del ataque, como intencional, accidental, malicioso o motivado por competencia.
-
Capacidades: Evalúa el nivel de sofisticación técnica, recursos disponibles, habilidades y posibles apoyos externos del actor.
-
Identidad técnica: Recoge información sobre los orígenes técnicos del atacante, como nombres de dominio, direcciones IP, direcciones MAC, firmas digitales, etc.
-
Objetivos específicos: Identifica los recursos que el adversario busca comprometer, como servidores, bases de datos, usuarios privilegiados, etc.
-
Técnicas operativas: Describe los métodos, herramientas y tácticas utilizadas durante la ejecución del ataque (por ejemplo, spear phishing, explotación de vulnerabilidades, uso de malware personalizado, etc.).
-
Meta final: Define el resultado esperado por el atacante, como el robo de información sensible (datos bancarios, credenciales, información personal), interrupción del servicio o acceso persistente al sistema.
Visita nuestros boletines de seguridad para conocer más sobre diferentes tipos y perfiles de amenazas haciendo clic aquí.
Clasificación de las Ciberamenazas
En esta etapa, el analista de inteligencia de amenazas clasifica las amenazas identificadas en función del nivel de riesgo que cada una podría representar para los activos de una organización. Esta clasificación permite establecer un orden de prioridad basado en el impacto potencial y la probabilidad de ocurrencia de cada amenaza, facilitando así una gestión del riesgo más eficiente y orientada a la acción.
La clasificación de amenazas resulta esencial para identificar cuáles representan el mayor peligro para el sistema y sus recursos, permitiendo al analista concentrar los esfuerzos en aquellas que requieren una respuesta inmediata o medidas de mitigación prioritarias.
Uno de los métodos más comunes para llevar a cabo la clasificación de amenazas consiste en la utilización de la siguiente fórmula:
Riesgo = Probabilidad × Impacto
También se pueden utilizar metodologías como DREAD.
Mitigación de las Ciberamenazas
Una vez que se ha comprendido el sistema y se han identificado las amenazas, es necesario elaborar un plan de mitigación que permita seleccionar una o más de las siguientes estrategias para tratar el riesgo:
-
Mitigar: Implementar controles o medidas que reduzcan la probabilidad de ocurrencia de la amenaza, el impacto que podría generar, o ambos. Esta es la estrategia más común cuando el riesgo no puede eliminarse completamente, pero sí reducirse a un nivel aceptable.
-
Eliminar: Modificar el diseño del sistema, eliminar una funcionalidad o descontinuar el uso de un componente para suprimir completamente la exposición al riesgo. Es la estrategia más efectiva, pero no siempre viable desde el punto de vista operativo o comercial.
-
Transferir: Reasignar la responsabilidad del riesgo a un tercero, como un proveedor, aseguradora o cliente, mediante mecanismos como contratos, seguros o acuerdos de nivel de servicio (SLA). Esta estrategia no elimina el riesgo, pero cambia quién lo gestiona.
-
Aceptar: Reconocer la existencia del riesgo y decidir no tomar acciones adicionales, ya sea porque el impacto es bajo, el coste de mitigación es desproporcionado, o existen restricciones de negocio que impiden aplicar otras estrategias. Esta decisión debe estar debidamente documentada y justificada.
Documentar, Revisar y Actualizar
La documentación de todo el proceso de modelado de amenazas es fundamental para garantizar la trazabilidad, la comprensión compartida y la mejora continua. Se debe registrar de forma sistemática los objetivos, supuestos, decisiones de diseño, amenazas identificadas y las medidas de mitigación propuestas.
Es esencial que el modelo de amenazas y sus artefactos asociados (diagramas, matrices de riesgos, registros de sesiones, etc.) sean revisados de manera colaborativa por las partes interesadas, incluyendo equipos de desarrollo, seguridad, arquitectura y negocio. Esta revisión permite validar supuestos, detectar brechas y asegurar la alineación con los requisitos técnicos y estratégicos.
El modelado de amenazas debe entenderse como un proceso continuo y dinámico. A medida que cambian la arquitectura, los requisitos del sistema o el entorno de amenazas, será necesario actualizar el modelo para reflejar estos cambios. La incorporación de revisiones programadas y eventos desencadenantes (como nuevos despliegues, integraciones o descubrimiento de vulnerabilidades) permitirá mantener la relevancia y eficacia del modelo a lo largo del tiempo.
En conclusión, el modelado de amenazas es esencial para fortalecer la postura de seguridad de una organización. No solo permite identificar, clasificar y comprender las amenazas de manera proactiva, sino que también facilita el diseño de estrategias de mitigación efectivas, basadas en un conocimiento detallado de los activos críticos y las amenazas del sistema.
Además, representa la necesidad de contar con soluciones tecnológicas avanzadas y personal calificado en inteligencia de amenazas. Un ejemplo de esto es nuestra Operación Unificada de Seguridad, cuyo enfoque es mejorar la postura de ciberseguridad y enfrentar amenazas. También reduce el Dwell Time (tiempo de permanencia), minimizando el tiempo de identificación y reacción ante ciberataques a solo minutos, gestionando así amenazas conocidas, emergentes y desconocidas.
Referencias:
-
https://cheatsheetseries.owasp.org/cheatsheets/Threat_Modeling_Cheat_Sheet.html#system-modeling
-
https://www.ncsc.gov.uk/collection/risk-management/threat-modelling
-
https://owasp.org/www-project-integration-standards/writeups/owasp_in_sdlc/
-
https://cheatsheetseries.owasp.org/cheatsheets/Threat_Modeling_Cheat_Sheet.html
