Threat Modeling
Modelamos amenazas sobre la arquitectura real para encontrar los problemas en una pizarra, no en producción.
El problema
Encontrar una falla de diseño en una pizarra cuesta una reunión. Encontrarla en producción cuesta un incidente. La mayoría de los equipos diseña sistemas sin preguntarse explícitamente por dónde entraría un adversario, qué activos puede comprometer y qué límites de confianza están implícitos en el diseño.
Nuestro enfoque
Trabajamos sobre diagramas reales de tu arquitectura. Identificamos activos críticos, puntos de entrada de un adversario y límites de confianza. Modelamos amenazas usando metodologías probadas (STRIDE, flujos de datos) y priorizamos mitigaciones por riesgo real, costo de implementación y exposición. El resultado no es un documento que se archiva: es un modelo vivo que el equipo reutiliza al diseñar el próximo sistema.
Cómo usamos IA aquí
Usamos herramientas de IA para sugerir amenazas comunes según el tipo de arquitectura y componentes. La priorización, el análisis de contexto específico del sistema y las decisiones sobre qué mitigar primero siempre las realiza un humano con experiencia en threat modeling. La IA acelera la cobertura inicial; el criterio lo pone la persona.
Qué entregamos
- Modelo de amenazas vivo (diagramas actualizables + documentación del razonamiento)
- Backlog de mitigaciones priorizado por riesgo real, costo y exposición
- Criterios de diseño seguro reutilizables para futuros sistemas del equipo
- Registro de supuestos de confianza por componente (qué se asume y qué debería verificarse)
- Recomendaciones integradas al flujo de trabajo del equipo (issues, ADRs, PR comments)
Cómo trabajamos
- 01Relevamos la arquitectura con el equipo: diagramas de flujo de datos, componentes y límites de confianza actuales.
- 02Identificamos activos críticos y posibles vectores de entrada de un adversario.
- 03Modelamos amenazas usando STRIDE y priorizamos por riesgo real, costo de implementación y exposición.
- 04Validamos el modelo con el equipo: ¿qué supuestos de confianza son implícitos? ¿cuáles deberían ser explícitos o controlados?
- 05Entregamos modelo vivo + backlog de mitigaciones. El proceso suele realizarse en workshops cortos e iterativos, adaptados al ritmo del equipo.
Ficha técnica
- Incluye
- Modelado sobre arquitectura real (DFDs), identificación de límites de confianza y vectores, análisis con STRIDE y priorización de mitigaciones por riesgo, costo y exposición.
- Entregable
- Modelo de amenazas vivo, backlog de mitigaciones priorizado y criterios de diseño seguro reutilizables.
- Para quién
- Equipos que están construyendo o rediseñando sistemas donde hay datos, dinero o decisiones de alto impacto en juego.
Ejemplo de escenario de amenaza
Tampering en flujo de autorización de pagos
Frontend → API Gateway → Servicio de autorización
Descripción de la amenaza
El monto de la transacción se calcula en el cliente y viaja sin firma hacia el autorizador. El límite de confianza entre el frontend y el autorizador no tiene control de integridad activo: el servidor asume que el dato recibido no fue alterado.
Estado actual
No existe validación de integridad en el servidor. El servicio de autorización confía en el dato que llega del frontend. El límite de confianza está implícito en el diseño pero no documentado ni controlado.
Mitigación recomendada
Mover el cálculo del monto al servidor de autorización. Implementar firma HMAC en las solicitudes de pago para garantizar integridad en el cruce del límite. Documentar el trust boundary explícitamente en el diagrama de flujo de datos.
Límite de confianza
Frontend (zona de baja confianza) → API Gateway → Autorizador (zona de alta confianza). El cruce no tiene ningún mecanismo de verificación de integridad.
Más en Fundamentos
SOC moderno / MDR
Monitoreo y respuesta gestionada que mira lo que importa, no todo a la vez.
Ver servicio→02DevSecOps avanzado
Seguridad dentro del pipeline, no pegada al final.
Ver servicio→03GRC estratégico
Gobierno, riesgo y cumplimiento que sirven para decidir, no para llenar carpetas.
Ver servicio→¿Tus fundamentos aguantan una mirada honesta?
Una conversación técnica, sin libreto de ventas. Empezamos por lo básico bien hecho, que es justo lo que un atacante prueba primero.
