Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Modelado de
Amenazas de
una Aplicación
Seguridad en el software
Índice
Índice ...................................................................................................................................... 1
Introducción ........................................................................................................................... 2
Conclusión ..................................................................................................................... 14
Referencias .................................................................................................................... 15
Índice de figuras
Índice de tablas
Actividades 1
Asignatura Datos del alumno Fecha
Seguridad en Apellidos: Ortiz Hernandez
05/06/2023
Aplicaciones Online Nombre: Elena
Introducción
Un modelado de amenazas es una herramienta que nos ayuda a mejorar el proceso de
diseño de las aplicaciones, es decir, nos ayuda a conseguir que el desarrollo de una aplicación
seguro. Su principal objetivo es mantener sus propiedades de seguridad frente a los ataques
realizados por personal malicioso sobre sus componentes y reducir al mínimo posible sus
vulnerabilidades explotables.
metodologías STRIDE y DREAD, así como, el modelado del Diagrama de Flujo de Datos
del fabricante Microsoft en su versión más reciente para modelar el caso que se presenta a
continuación.
© Universidad Internacional de La Rioja (UNIR)
Actividades 2
Asignatura Datos del alumno Fecha
Seguridad en Apellidos: Ortiz Hernandez
05/06/2023
Aplicaciones Online Nombre: Elena
identificar y planificar de forma correcta, la mejor manera de mitigar las amenazas de una
de medidas o controles que contribuyan a mejorar la seguridad. Está técnica tiene como
principales ventajas la aplicación durante una etapa temprana del SDLC, y más allá de que su
se señala coloquialmente “una imagen vale más que mil palabras” y en un diagrama se puede
El diagrama de flujo de datos (DFD), data flow diagram, es la representación gráfica del flujo
de datos de un proceso o sistema. El diagrama de flujo de datos es una de las principales formas
Program and Systems Design’. En este libro establecieron los componentes y sus simbologías:
Actividades 3
Asignatura Datos del alumno Fecha
Seguridad en Apellidos: Ortiz Hernandez
05/06/2023
Aplicaciones Online Nombre: Elena
recibir la información, siendo así fuente y/o destino de la información. Estas entidades
suelen encontrarse en los bordes del diagrama. Por ejemplo: esto puede ser una
los datos de entrada para obtener datos de salida. Estas transformaciones pueden ser:
dirigir el flujo de entrada, realizar cálculos, ordenar datos, etc. Asimismo, los procesos
van acompañados de una etiqueta descriptiva para explicar lo que hace. Por ejemplo:
enviar pedido.
posterior. Un almacén de datos puede ser una base de datos. Al igual que los procesos,
© Universidad Internacional de La Rioja (UNIR)
los almacenes también van acompañados de una etiqueta. Por ejemplo: pedidos.
• Flujo de datos: es la ruta que toman unos datos entre las entidades
Actividades 4
Asignatura Datos del alumno Fecha
Seguridad en Apellidos: Ortiz Hernandez
05/06/2023
Aplicaciones Online Nombre: Elena
Método STRIDE
Actividades 5
Asignatura Datos del alumno Fecha
Seguridad en Apellidos: Ortiz Hernandez
05/06/2023
Aplicaciones Online Nombre: Elena
Una vez que se tiene identificada la lista de amenazas, el siguiente paso consiste en
puntuarlas de acuerdo con el riesgo que suponen. Esto permite priorizar las actuaciones a
1 representaría una amenaza que es poco probable que ocurra, y 10 sería una amenaza muy
máximo. Este enfoque tan simplista, nos permite en un primer momento clasificar las
amenazas en una escala entre 1-10 que podemos dividir en tres partes según su riesgo: Alto,
Una amenaza con un riesgo alto debería ser tratada de forma rápida, una amenaza
con riesgo medio, aunque importante es de menor urgencia, y por último la de riesgo bajo se
podría llegar a ignorar dependiendo del costo y del esfuerzo que se requiera. El problema de
aplicar este método está dada por la dificultad de valorar de igual forma el riesgo cuando esta
valoración es efectuada por diferentes personas. El método DREAD, trata de facilitar el uso
Actividades 6
Asignatura Datos del alumno Fecha
Seguridad en Apellidos: Ortiz Hernandez
05/06/2023
Aplicaciones Online Nombre: Elena
propicien el ataque?
La anterior tabla referencia el método de puntuación DREAD suministrado por Microsoft. Fuente: P.F, Daniel. Análisis y Modelado de
Amenazas.
Actividades 7
Asignatura Datos del alumno Fecha
Seguridad en Apellidos: Ortiz Hernandez
05/06/2023
Aplicaciones Online Nombre: Elena
Ejercicio práctico
La aplicación permite analizar las amenazas de una aplicación web típica de negocio
de pago electrónico de una librería (textos, libros, revistas, etc.), en formato digital con
opciones de impresión. El sistema está basado en una típica arquitectura de una aplicación web
▸ Diagrama DFD
© Universidad Internacional de La Rioja (UNIR)
Actividades 8
Asignatura Datos del alumno Fecha
Seguridad en Apellidos: Ortiz Hernandez
05/06/2023
Aplicaciones Online Nombre: Elena
REPORTEMODELADO
.htm
Actividades 9
Asignatura Datos del alumno Fecha
Seguridad en Apellidos: Ortiz Hernandez
05/06/2023
Aplicaciones Online Nombre: Elena
de ellas para su análisis con el método STRIDE. Las cuales se presentan a continuación:
Técnicas de ataque scripting, para ello el atacante debe tener acceso a la red interna o ser un usuario
interno de la organización.
Un ataque al servidor web puede interrumpir los datos que fluyen a través de
Técnicas de ataque
un límite de confianza en cualquier dirección.
Actividades 10
Asignatura Datos del alumno Fecha
Seguridad en Apellidos: Ortiz Hernandez
05/06/2023
Aplicaciones Online Nombre: Elena
Listas control de acceso ACL. Control de acceso basado en roles. Trabajar con
Medida de mitigación
el mínimo privilegio. Validación de entradas
Técnicas de ataque Cliente afirma que no recibió datos de una fuente fuera del límite de confianza.
Listas control de acceso ACL. Control de acceso basado en roles. Trabajar con
Medida de mitigación
el mínimo privilegio. Validación de entradas.
Actividades 11
Asignatura Datos del alumno Fecha
Seguridad en Apellidos: Ortiz Hernandez
05/06/2023
Aplicaciones Online Nombre: Elena
las partes.
Listas control de acceso ACL. Control de acceso basado en roles. Trabajar con
Medida de mitigación
el mínimo privilegio. Validación de entradas.
Actividades 12
Asignatura Datos del alumno Fecha
Seguridad en Apellidos: Ortiz Hernandez
05/06/2023
Aplicaciones Online Nombre: Elena
Una vez que identificada y documentada la lista de amenazas, el siguiente paso consiste
en puntuarlas de acuerdo con el riesgo que suponen. Esto permitirá priorizar las actuaciones a
potencialmente interrumpido
para BD_Libreria
Cliente
Administrador
© Universidad Internacional de La Rioja (UNIR)
Actividades 13
Asignatura Datos del alumno Fecha
Seguridad en Apellidos: Ortiz Hernandez
05/06/2023
Aplicaciones Online Nombre: Elena
Conclusión
El modelado de amenaza es un proceso abierto, lo cual se traduce en que cada persona
puede llegar a tener diferentes interpretaciones del mismo, sin embargo, el seguimiento de una
debido a que puede servir posteriormente en otros proyectos que tengan cierta similitud,
aplicaciones diferentes.
Actividades 14
Asignatura Datos del alumno Fecha
Seguridad en Apellidos: Ortiz Hernandez
05/06/2023
Aplicaciones Online Nombre: Elena
Referencias
Bermejo, J. R., & Díaz, G. (2015). Estudio de Técnicas Automáticas de Análisis de
Vulnerabilidades de Seguridad en Aplicaciones Web. UNED.
Howell, J. (25 de agosto de 2022). Threat Modeling Tool feature overview. Obtenido de
Microsoft Learn: https://learn.microsoft.com/es-es/azure/security/develop/threat-
modeling-tool-feature-overview
Retena, P. (Junio de 2023). Análisis y Modelado de Amenazas . Obtenido de
https://prezi.com/uky4fywbiexu/analisis-y-modelado-de amenazas/
© Universidad Internacional de La Rioja (UNIR)
Actividades 15