Contenido

• Introducción
• Modelado de amenazas (Threat modeling)
• ¿Por qué modelar amenazas?
• Proceso de Modelado de Amenazas
• Modelo STRIDE
• Modelo DREAD
 INTRODUCCIÓN

• El modelado de amenazas es una técnica de

ingeniería cuyo objetivo es ayudar a identificar y
planificar de forma correcta la mejor manera de
mitigar las amenazas de una aplicación o
sistema informático.

• Para aprovechar mejor los beneficios que

proporciona su uso, en un escenario ideal
debería iniciarse desde las primeras etapas del
desarrollo y planificación de cualquier sistema.

• Su mayor ventaja radica en el hecho de que al

aplicarse como un proceso durante todo el ciclo
de vida de desarrollo del software, supone un
enfoque diferente al tradicional análisis de
riesgos y la posterior aplicación de medidas que
contribuyan a mejorar la seguridad.
 MODELADO DE AMENAZAS
• Un modelo de amenazas es en esencia una
representación estructurada de toda la
información que afecta a la seguridad de
una aplicación. En sí, es una vista de la
aplicación y su entorno a través de los
"anteojos" de la seguridad.

• Implica realizar procesos para capturar,

organizar y analizar toda esta información.
Permite tomar decisiones informadas sobre
los riesgos de seguridad en las aplicaciones.

• Además de producir un modelo, los

esfuerzos para un modelado de amenazas
típico también producen una lista priorizada
de mejoras de seguridad en los requisitos,
diseño e implementación de las
aplicaciones.
¿POR QUÉ MODELAR AMENAZAS?
• Uno de los principios básicos de gestión de riesgos es que no todas las
vulnerabilidades presentan una amenaza. Solo una vulnerabilidad que puede ser
explotada es una amenaza para los activos de información y las operaciones del
negocio.

• El modelado de amenazas ayuda a identificar aquellas vulnerabilidades que son

realmente críticas en su entorno único como la red en la que opera.

• El proceso de modelado de amenazas debería:

 Identificar las amenazas potenciales y las condiciones que deben existir para
que un ataque sea exitoso.
 Proveer información acerca de qué condición de ataque y que actividad de
remediación de vulnerabilidades
 Ayudar a comprender qué condiciones o vulnerabilidades, cuando son
eliminadas o mitigadas, afectan a múltiples amenazas. Esto optimiza la
inversión en seguridad.
PROCESO DE MODELADO DE AMENAZAS
• Para saber cuales son las amenazas es
preciso conocer cuales son los puntos de
entrada, los niveles de confianza y los
activos de mayor interés.

• Durante el desarrollo del modelado, se

utilizan diferentes métodos, como los
árboles de ataques y los diagramas de
flujo de datos.

• Una vez efectuados los pasos iniciales

del proceso, se procede a realizar una
clasificación y puntuación de las
amenazas , de modo que el equipo de
trabajo pueda determinar las distintas
prioridades.
MODELO STRIDE
MODELO STRIDE
• STRIDE es un sistema de clasificación de amenazas, el cual consiste en un
acrónimo que representa el espectro de amenazas de seguridad que
pueden afectar a un sistema.

• Las seis categorías de amenazas detalladas a continuación pueden ayudar

a identificar los vectores de vulnerabilidades y posibles ataques a una
aplicación:
MODELO STRIDE
1. Suplantación de identidad
Suplantar quiere decir adoptar la personalidad de otra persona en un equipo.
Un ejemplo de suplantación de identidad es el acceso ilegal a la información
de autenticación de otro usuario y el posterior uso de la misma, como el
nombre de usuario y la contraseña.

2. Manipular datos
La manipulación de datos implica la modificación malintencionada de éstos.
Algunos ejemplos son la modificación no autorizada de datos persistentes,
como los que se mantienen en una base de datos, o la modificación de datos
durante su transferencia entre equipos en una red abierta como, por ejemplo,
Internet.
MODELO STRIDE
3. Repudio
Las amenazas de repudio son aquellas en las que los usuarios niegan la autoría de
una acción sin que otras partes puedan probar lo contrario. Por ejemplo, un
usuario realiza una operación ilegal en un sistema sin que exista la posibilidad de
realizar un seguimiento de la misma.

De igual forma, el no rechazo se refiere a la posibilidad de un sistema de

contrarrestar las amenazas de repudio. Por ejemplo, un usuario que adquiere un
artículo tiene que firmar un recibo al entregarse dicho artículo. De esta forma, el
proveedor puede utilizar el recibo firmado como prueba de la entrega del
paquete.

4. Divulgación de información
Las amenazas de divulgación de información suponen la revelación de
información a individuos que no deben tener acceso a la misma. Por ejemplo, la
posibilidad de que los usuarios lean un archivo al que no se les ha proporcionado
acceso, o la posibilidad de un intruso de leer datos que se están transfiriendo
entre dos equipos.
MODELO STRIDE
5. Denegación de servicio
Los ataques por denegación de servicio (DoS) ocasionan la pérdida de servicio
a los usuarios válidos, por ejemplo, deshabilitando temporalmente un
servidor Web. Debe protegerse contra determinados tipos de amenazas DoS
a fin de mejorar la disponibilidad y fiabilidad del sistema.

6. Elevación de privilegios
En este tipo de amenaza, un usuario sin privilegios obtiene acceso con
privilegios y, por tanto, la capacidad de poner en peligro o destruir todo el
sistema. Un tipo de amenaza de elevación de privilegios es la situación en la
que un agresor burla todas las defensas del sistema con éxito y se integra en
la parte del sistema de confianza.
MODELO STRIDE

• Para aplicar el modelo STRIDE, se descompone el sistema en componentes

significativos, luego se analiza cada componente para comprobar si es
susceptible de sufrir amenazas y finalmente se proponen acciones para
mitigarlas. Este proceso se repite hasta cubrir las posibles amenazas
restantes.

• Como se utiliza un modelo de información basado en patrones, se podrán

identificar los patrones de soluciones y problemas repetibles, y
organizarlos en categorías.

• Esto permite efectuar un mayor análisis que a su vez promueve la

reutilización de la información y una comunicación más eficaz.
MODELO STRIDE
DEMOSTRACIÓN
Descripción de la Amenaza Inyección de comandos SQL

Objetivo de la Amenaza Modificación de saldos en cuentas

bancarias
Clasificación de Riesgo Tampering with Data
Elevation of Privilege
Técnicas de ataque SQL Inyection
Contramedidas
Cifrar datos
Adecuar ACL’s

Descripción de la Amenaza Atacante obtiene credenciales de

usuario por medio de monitoreo de red
Objetivo de la Amenaza Proceso de autenticación de usuario en
Aplicación Web
Clasificación de Riesgo Tampering with Data
Técnicas de ataque Uso de monitor de red
Contramedidas Usar SSL para proveer un canal cifrado
MODELO DREAD
MODELO DREAD
• DREAD es un esquema de clasificación para cuantificar,
comparar y dar prioridad a la cantidad de riesgo que presenta
una amenaza específica.
• El algoritmo de cálculo de riesgo DREAD se fija en base a un
promedio de las cinco categorías contempladas:
MODELO DREAD

Tabla de Calificación de Amenazas

MODELO DREAD
Ejemplo de Calificación de Amenazas
Descripción de Amenaza D R E A D TOTAL CALIFICACIÓN
Atacante obtiene 3 3 2 2 2 12 Alta
credenciales de usuario por
medio de monitoreo de red
Comandos SQL inyectados 3 3 3 3 2 14 Alta
en la aplicación

Descripción de la Amenaza Atacante obtiene credenciales de

Objetivo de la Amenaza
Clasificación de Amenaza
Calificación del Riesgo
Técnicas de ataque
Contramedidas
usuario por medio de monitoreo de red
Proceso de autenticación de usuario en
Aplicación Web
Information Disclosure
Alto
Uso de monitor de red
Usar SSL para proveer un canal cifrado