Documentos de Académico
Documentos de Profesional
Documentos de Cultura
• Introducción
• Modelado de amenazas (Threat modeling)
• ¿Por qué modelar amenazas?
• Proceso de Modelado de Amenazas
• Modelo STRIDE
• Modelo DREAD
INTRODUCCIÓN
2. Manipular datos
La manipulación de datos implica la modificación malintencionada de éstos.
Algunos ejemplos son la modificación no autorizada de datos persistentes,
como los que se mantienen en una base de datos, o la modificación de datos
durante su transferencia entre equipos en una red abierta como, por ejemplo,
Internet.
MODELO STRIDE
3. Repudio
Las amenazas de repudio son aquellas en las que los usuarios niegan la autoría de
una acción sin que otras partes puedan probar lo contrario. Por ejemplo, un
usuario realiza una operación ilegal en un sistema sin que exista la posibilidad de
realizar un seguimiento de la misma.
4. Divulgación de información
Las amenazas de divulgación de información suponen la revelación de
información a individuos que no deben tener acceso a la misma. Por ejemplo, la
posibilidad de que los usuarios lean un archivo al que no se les ha proporcionado
acceso, o la posibilidad de un intruso de leer datos que se están transfiriendo
entre dos equipos.
MODELO STRIDE
5. Denegación de servicio
Los ataques por denegación de servicio (DoS) ocasionan la pérdida de servicio
a los usuarios válidos, por ejemplo, deshabilitando temporalmente un
servidor Web. Debe protegerse contra determinados tipos de amenazas DoS
a fin de mejorar la disponibilidad y fiabilidad del sistema.
6. Elevación de privilegios
En este tipo de amenaza, un usuario sin privilegios obtiene acceso con
privilegios y, por tanto, la capacidad de poner en peligro o destruir todo el
sistema. Un tipo de amenaza de elevación de privilegios es la situación en la
que un agresor burla todas las defensas del sistema con éxito y se integra en
la parte del sistema de confianza.
MODELO STRIDE