Asignatura Datos del alumno Fecha

Apellidos: Espinel Armas

Seguridad en el
13 – febrero - 2019
Software
Nombre: Stalin Fernando

Actividades

Trabajo: Metodologías de modelado de amenazas

Para seguir profundizando en el modelado de amenazas se propone realizar este trabajo

que contenga al menos el siguiente contenido:

» Introducción al modelado de amenazas.

» Estudio de metodologías existentes.
» Descripción de una metodología en profundidad.
» Ejercicio práctico de modelado de amenazas, utilizando una herramienta de
modelado como Threat Analysis and Modeling Tool 2014, del siguiente caso que se
describe a continuación (incluir los ficheros generados por la herramienta junto con
el del trabajo en un fichero a subir en la plataforma).

Caso práctico

Con objetivo de afianzar los conocimientos adquiridos sobre el modelado de amenazas,

se pide el definir, modelar y medir las posibles amenazas de una tienda de libros online,
llamada Librería On-Line SA.

Últimamente, ha sufrido un ciberataque que ha comprometido las credenciales de sus

clientes. El incidente ha trascendido en los medios de comunicación, lo que ha producido
una pérdida de cuota de mercado importante, frente a sus competidores.

Con el objetivo de mantener su actual posición en el mercado de venta electrónica de

libros y volver a recurar e incluso superar la que tenía, ha contratado a la empresa
InfoSecurity para llevar a cabo un trabajo de modelado de amenazas a sus sistemas TI
e implementar las salvaguardas que se deriven del mismo en función del nivel de riesgo
y la disponibilidad económica. Se le establece los siguientes requisitos de negocio y
técnicos:

» Habrá tres tipos de usuarios en la aplicación: clientes, administrador TI y agente de

ventas

TEMA 3 –Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Espinel Armas
Seguridad en el
13 – febrero - 2019
Software
Nombre: Stalin Fernando

» Los clientes deben poder buscar productos y gestionar sus pedidos utilizando la tienda
web o llamando a la oficina de ventas.
» Para que un cliente pueda realizar un pedido el cliente debe, con anterioridad,
registrase para crearle una cuenta.
» El cliente puede pagar con una tarjeta de crédito, débito o mediante trasferencia
bancaria.
» Los clientes deben iniciar sesión antes para poder personalizar sus preferencias.
» Los clientes deben ser capaces de revisar y modificar sus pedidos realizados.
» Los agentes de ventas pueden conceder descuentos a los clientes.
» Los administradores pueden modificar y eliminar clientes y productos e información.
» La tienda web de la librería tendrá que ser accesible desde Intranet e Internet.
» La tienda web deberá diseñarse con una arquitectura distribuida por razones de
escalabilidad.
» El cliente necesitará autenticarse en la tienda web con las credenciales de la cuenta de
usuario, que a su vez se comprobarán contra la base de datos implementada en el
backend de la compañía, a través de una interfaz de servicios web.
» La información de la cuenta del usuario y la información del producto deberán
mantenerse en una base de datos relacional.
» El procesamiento de tarjetas de crédito será subcontratado a un procesador de
terceros.
» Las interacciones de los usuarios con la tienda web se almacenan en un servidor de
log interno de la organización.
» La base de datos deberá copiarse periódicamente en una ubicación de un proveedor
de servicios TI de terceros, para propósitos de recuperación ante desastres.
» El sitio web se diseñará lógicamente como una aplicación cliente/servidor distribuida
conforme a un modelo de tres capas: presentación, proceso y datos.
» Los clientes accederán a la aplicación utilizando navegadores web de escritorio, y
dispositivos móviles.
» El sitio web se desplegará en Internet protegido por una DMZ de dos capas con acceso
tanto para usuarios internos como externos.
» Físicamente, la aplicación estará completamente alojada en un servidor de
aplicaciones (Frontend) alojado en la DMZ, con acceso a un servidor de base de datos
que estará en la red interna de la compañía (Backend).

TEMA 3 –Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Espinel Armas
Seguridad en el
13 – febrero - 2019
Software
Nombre: Stalin Fernando

» Las tecnología utilizada en el desarrollo de la aplicación web es ASP.Net utilizando C

# y la base de datos del backend de la compañía está implementada en base al
producto Microsoft SQL Server.

Los objetivos de seguridad establecidos para la tienda web de Librería On-Line SA son
los siguientes objetivos:

OB-1. Recuperar la imagen de la compañía deteriorada tras el ciberincidente ocurrido.

OB-2. Obtener la posición líder de mercado en venta de libros online.
OB-3. Mantener confidencialidad, integridad y disponibilidad de la información
almacenada y trasmitida.
OB-4. Proporcionar un servicio seguro a los clientes existentes y potenciales.
OB-5. Proporcionar un servicio ininterrumpido a los clientes existentes y potenciales.
Se aplicarán técnicas de monitorización, equilibrio de carga, replicación, recuperación
ante desastres y continuidad del negocio y copias de seguridad recuperables
OB-6. Proporcionar una experiencia de usuario mejorada a los clientes existentes y
potenciales.
OB-7. Se establecerán procesos de autenticación, autorización y auditoría.

El sistema estará basado en una típica arquitectura de una aplicación web de tres capas,
donde el cliente es un navegador que accede a los servicios proporcionados por el sitio
web de la librería, que contiene una base de datos de los clientes, cuentas y publicaciones
disponibles, alojada en un servidor de bases de datos y un servidor web que implementa
toda la lógica de negocio.

Tener en cuenta que nos encontramos en la fase análisis de requisitos del SDLC,
identificando requisitos funcionales y de seguridad.

TEMA 3 –Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Espinel Armas
Seguridad en el
13 – febrero - 2019
Software
Nombre: Stalin Fernando

DESARROLLO

Introducción al Modelado de Amenazas

El análisis de modelo de amenazas (TMA) es un análisis que ayuda a determinar los
riesgos de seguridad que pueden acaecer en un producto, aplicación, red o entorno, así
como la forma en la que se aparecen los ataques. El objetivo consiste en determinar
cuáles son las amenazas que requieren mitigación y los modos de hacerlo.
Algunas de las ventajas de un TMA son:
 Facilita la comprensión de la aplicación.
 Ayuda a detectar errores
 Puede ayudar a los miembros del nuevo equipo a entender la aplicación con mayor
profundidad.
 Contiene información importante para otros equipos que trabajan en su aplicación.
 Resulta de utilidad para los evaluadores.
Los pasos de nivel alto para llevar a cabo un TMA son los siguientes:
Paso 1. Recopilar información básica
Paso 2. Crear y analizar el modelo de amenazas
Paso 3. Analizar las amenazas
Paso 4. Identificar las tecnologías y técnicas de mitigación
Paso 5. Documentar el modelo de seguridad y las consideraciones de implementación
Paso 6. Implementar y probar las mitigaciones
Paso 7. Mantener el modelo de amenazas sincronizado con el diseño

Estudio de Metodologías Existentes

1. CORAS (Consultative Objective Risk Analysis System) and SECURIS

(Research Council of Norway-funded Model-Driven Development and
Analysis of Secure Information Systems).
Desarrollada por el grupo de investigación Noruego SINTEF (Stiftelsen for
industriell og teknisk forskning) en el año 2001.
El método CORAS proporciona:
 Una metodología de análisis de riesgos basado en la elaboración de modelos, que
consta de siete pasos, basados fundamentalmente en entrevistas con los expertos.

TEMA 3 –Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Espinel Armas
Seguridad en el
13 – febrero - 2019
Software
Nombre: Stalin Fernando

 Un lenguaje gráfico basado en UML (Unified Modelling Language) para la

definición de los modelos (activos, amenazas, riesgos y salvaguardas), y guías
para su utilización a lo largo del proceso. El lenguaje se ha definido como un
perfil UML.
 Un editor gráfico para soportar la elaboración de los modelos, basado en
Microsoft Visio.
 Una biblioteca de casos reutilizables.
 Una herramienta de gestión de casos, que permite su gestión y reutilización.
 Representación textual basada en XML (eXtensible Mark-up Language) del
lenguaje gráfico.
 Un formato estándar de informe para facilitar la comunicación de distintas partes
en el proceso de análisis de riesgos.
Se compone de 7 pasos esenciales para su aplicación, basada en la elaboración de
modelos con un lenguaje UML y biblioteca de casos para ser reutilizados.
Pasos:
1. Presentación: Se realiza una reunión inicial con las partes interesadas para
definir los objetivos y alcance del análisis.
2. Análisis de alto nivel: un segundo encuentro para comprobar la información y
realizar una identificación de vulnerabilidades y amenazas.
3. Aprobación: documentación detallada para su aprobación.
4. Identificación de riesgos: Se realiza una identificación de los incidentes no
deseados, amenazas y vulnerabilidades con el equipo de trabajo.
5. Estimación del riesgo: para cada uno de los posibles incidentes identificados en
la etapa 4, se estiman consecuencias, probabilidades e impactos.
6. Evaluación del riesgo: Preparación de un borrador del análisis de los riesgos para
ser revisado y corregido.
7. Tratamiento del riesgo: Se establecen los controles para mitigar los riesgos y se
tiene en cuenta el costo versus su beneficio de implementación.

2. OCTAVE (Operationally Critical Threat, Asset, and Vulnerability

Evaluation). SEI de la Universidad Carnegie Mellon

Es un método de evaluación y de gestión de los riesgos para garantizar la seguridad

del sistema informativo, desarrollado por el estándar internacional ISO270001.

TEMA 3 –Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Espinel Armas
Seguridad en el
13 – febrero - 2019
Software
Nombre: Stalin Fernando

El núcleo central de OCTAVE es un conjunto de criterios (principios, atributos y

resultados) a partir de los cuales se pueden desarrollar diversas metodologías.
Octave Tiene dos objetivos específicos que son:
 Desmitificar la falsa creencia: La Seguridad Informática es un asunto meramente
técnico.
 Presentar los principios básicos y la estructura de las mejores prácticas
internacionales que guían los asuntos no técnicos.
Octave divide los activos en dos tipos que son:
 Sistemas, (Hardware. Software y Datos)
 Personas
La metodología OCTAVE está compuesta en tres fases:
 Visión de organización: Donde se definen los siguientes elementos: activos,
vulnerabilidades de organización, amenazas, exigencias de seguridad y normas
existentes.
 Visión tecnológica: se clasifican en dos componentes o elementos: componentes
claves y vulnerabilidades técnicas.
 Planificación de las medidas y reducción de los riesgos: se clasifican en los
siguientes elementos: evaluación de los riesgos, estrategia de protección,
ponderación de los riesgos y plano de reducción de los riesgos.

3. PTA Technologies Calculative Threat Modeling Methodology (CTMM)

El análisis de amenazas calculadoras de la PTA y la metodología de modelado de

amenazas permiten una gestión eficaz de los riesgos operativos y de seguridad en
sistemas complejos. Proporciona una manera fácil de mantener modelos dinámicos
de amenazas capaces de reaccionar a los cambios en los activos y vulnerabilidades
del sistema. Con la PTA, un analista puede mantener una creciente base de datos de
amenazas, crear documentación para revisiones de seguridad y generar informes que
muestren la importancia de varias amenazas y las prioridades de las contramedidas
correspondientes.
La PTA calcula las prioridades de las amenazas y las contramedidas y brinda a los
tomadores de decisiones un plan actualizado de mitigación de riesgos que refleja los
cambios en las realidades de las amenazas. Las prioridades de la contramedida son
una función de los valores de los activos del sistema, el nivel de daño potencial, las

TEMA 3 –Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Espinel Armas
Seguridad en el
13 – febrero - 2019
Software
Nombre: Stalin Fernando

amenazas, las probabilidades y los grados de mitigación proporcionados por las

contramedidas. El plan de mitigación recomendado está compuesto por las
contramedidas que son las más rentables contra las amenazas identificadas.
A continuación, presentamos una descripción abreviada de los pasos de modelado de
amenazas de PTA
1. Identificación de los activos. Mapeo de los valores financieros del activo del
sistema y posibles pérdidas por daños. Los valores de los activos son la base para
calcular las prioridades de amenazas, riesgos y contramedidas.
2. Identificación de las vulnerabilidades. La identificación de las vulnerabilidades
potenciales del sistema requiere el conocimiento de la funcionalidad del sistema,
la arquitectura, los procedimientos comerciales y operativos y los tipos de
usuarios. Esta es una tarea iterativa continua junto con el paso de identificar
amenazas (paso 4).
3. Definición de contramedidas. Definir las contramedidas relevantes a las
vulnerabilidades del sistema. La eficacia en función de los costos de la
contramedida se calcula de acuerdo con su costo de implementación estimado.
4. Construyendo escenarios de amenazas y planes de mitigación. Componga los
posibles escenarios de amenazas e identifique los diversos elementos y
parámetros de la amenaza de la siguiente manera:
 Ingresando una breve descripción del escenario de amenaza.
 Identificar los activos amenazados y el nivel de daño causado a cada activo.
 Identificar las vulnerabilidades del sistema explotadas por la amenaza. La
identificación de las vulnerabilidades del sistema rellena automáticamente una
lista de contramedidas propuestas.
 Configuración de la probabilidad de la amenaza. El nivel de riesgo de la amenaza
se calcula automáticamente en función del daño total que pueda causar la
amenaza y la probabilidad de la amenaza.
 Decidir sobre el plan de mitigación real seleccionando la combinación más
efectiva de contramedidas.

4. Trike. Metodología de evaluación de amenazas.

Trike es un marco conceptual unificado para la auditoría de seguridad desde una

perspectiva de administración de riesgos a través de la generación de modelos de

TEMA 3 –Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Espinel Armas
Seguridad en el
13 – febrero - 2019
Software
Nombre: Stalin Fernando

amenazas de manera confiable y repetible. Un equipo de auditoría de seguridad

puede usarlo para describir de manera completa y precisa las características de
seguridad de un sistema desde su arquitectura de alto nivel hasta sus detalles de
implementación de bajo nivel. Trike también permite la comunicación entre los
miembros del equipo de seguridad y entre los equipos de seguridad y otras partes
interesadas al proporcionar un marco conceptual consistente. Este documento
describe la versión actual de la metodología (actualmente en desarrollo pesado) con
suficiente detalle para permitir su uso. Además, para detallar el modelo de amenaza
en sí mismo (incluyendo la generación automática de amenazas y los gráficos de
ataque), cubrimos los dos modelos utilizados en su generación, a saber, el modelo de
requisitos y el modelo de implementación, junto con notas sobre análisis de riesgos
y flujos de trabajo. La versión final de este documento incluirá un ejemplo
completamente trabajado para todo el proceso. Trike se distingue de otras
metodologías de modelado de amenazas por los altos niveles de automatización
posibles dentro del sistema, la perspectiva defensiva del sistema y el grado de
formalismo presente en la metodología. Porciones de esta metodología son
actualmente experimentales; ya que no se han probado completamente contra
sistemas reales, se debe tener cuidado al usarlos

5. MTAM (Microsoft Threat Analysis and Modeling).

La herramienta de modelado de amenazas es un elemento central del ciclo de vida

del desarrollo de la seguridad de Microsoft (SDL). Permite a los arquitectos de
software identificar y mitigar posibles problemas de seguridad en una etapa
temprana, cuando son relativamente fáciles y rentables de resolver. Como resultado,
reduce enormemente el costo total del desarrollo. Además, diseñamos la herramienta
teniendo en cuenta a expertos que no son de seguridad, facilitando el modelado de
amenazas para todos los desarrolladores al proporcionar una guía clara sobre la
creación y el análisis de modelos de amenazas.
La herramienta permite a cualquiera:
 Comunicar sobre el diseño de seguridad de sus sistemas.
 Analice esos diseños para detectar posibles problemas de seguridad utilizando
una metodología probada.
 Sugerir y gestionar mitigaciones para problemas de seguridad.

TEMA 3 –Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Espinel Armas
Seguridad en el
13 – febrero - 2019
Software
Nombre: Stalin Fernando

Aquí hay algunas capacidades e innovaciones de herramientas, solo para nombrar

algunas:
 Automatización: Orientación y retroalimentación en el dibujo de un modelo.
 STRIDE por Elemento: Análisis guiado de amenazas y mitigaciones.
 Informes: actividades de seguridad y pruebas en la fase de verificación.
 Metodología única: permite a los usuarios visualizar y comprender mejor las
amenazas.
 Diseñado para desarrolladores y centrado en el software: muchos enfoques se
centran en activos o atacantes. Estamos centrados en el software. Desarrollamos
actividades con las que todos los desarrolladores y arquitectos de software están
familiarizados, como dibujar imágenes para su arquitectura de software.
 Enfocado en el análisis de diseño: el término "modelado de amenazas" puede
referirse a una técnica de análisis de requisitos o de diseño. A veces, se refiere a
una mezcla compleja de los dos. El enfoque de Microsoft SDL para el modelado
de amenazas es una técnica de análisis de diseño enfocado

6. PASTA (Process for Attack Simulation and Threat Analysis).

Es una metodología de modelado de amenazas centrada en el riesgo orientada a

identificar patrones de amenaza viables contra una aplicación o entorno del sistema.
Basado en la idea de abordar los posibles patrones de ataque en casos de uso de alto
impacto, este enfoque se integra extremadamente bien en un proceso de gestión de
riesgos.
Como proceso, PASTA se ejecuta en un contexto específico que es el contexto de la
seguridad de la aplicación y la gestión de riesgos, pero PASTA por definición no es
una metodología de evaluación de riesgos, sino que es un proceso que puede ayudar
a las organizaciones a gestionar los diversos riesgos técnicos y no técnicos causados.
Por amenazas que buscan explotar vulnerabilidades en aplicaciones. El enfoque de
este proceso es la simulación de ataques y el análisis de amenazas.
Las etapas en las cuales se divide PASTA son:
Etapa I - Definición de los objetivos para el análisis de riesgos
• Cumplir con los requisitos del negocio.
• Definir los requisitos de protección de datos.
• Identificar las normas y las obligaciones de cumplimiento normativo.

TEMA 3 –Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Espinel Armas
Seguridad en el
13 – febrero - 2019
Software
Nombre: Stalin Fernando

• Identificar las leyes de privacidad.

• Determinar el perfil de riesgo inicial.
• Definir objetivos de gestión de riesgos.
Etapa II - Definición del alcance técnico
• Capturar los males técnicos.
• Afirmar la integridad de la documentación técnica.
Etapa III - Descomposición y análisis de la aplicación
• Descomposición de la aplicación.
• Evaluación de controles de seguridad.
• Análisis funcional
Etapa IV - Análisis de amenazas
• Escenarios de amenaza de documentos
• Actualizar la biblioteca de amenazas
• Asignar probabilidad a cada amenaza
• Mapear las amenazas a los controles de seguridad.
Etapa V - Análisis de debilidad y vulnerabilidad
• Consultar las vulnerabilidades existentes de los controles de seguridad.
• Mapear amenazas a vulnerabilidades de control de seguridad.
• Calcular la severidad del riesgo a las vulnerabilidades.
• Priorizar los controles de seguridad para pruebas de vulnerabilidad.
Etapa VI - Modelado y Simulación de Ataques
• Modelar los escenarios ataques.
• Actualizar la biblioteca ataques
• Identificar la superficie ataques y enumerar los vectores ataques
• Evaluar la probabilidad y el impacto de cada escenario de ataques.

7. STRIDE

El esquema STRIDE, Spoofing identity, Tampering with data, Repudiation,

Information disclosure, Denial of service, Elevation of privilege, es un método de
clasificación de amenazas. Según el método STRIDE el sistema se descompone en
componentes y se analiza cada componente para comprobar que amenazas le pueden
afectar. Cuando se detectan amenazas se proponen acciones para mitigarlas. El
modelo utilizado está basado en patrones, con el que se puede identificar problemas

TEMA 3 –Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Espinel Armas
Seguridad en el
13 – febrero - 2019
Software
Nombre: Stalin Fernando

repetibles y organizarlos en categorías. Estas categorías facilitan la descomposición

de la aplicación para un análisis mejor. La metodología recomienda la reutilización
de información y comunicación entre las partes.
A continuación, se detallan las partes de STRIDE. Comenzamos por la suplantación
de identidad. Se debe prestar atención a las situaciones en las que se pueda llevar a
cabo un robo de sesión, validaciones erróneas, sistemas de autenticación, etcétera.
La segunda propiedad es la manipulación de datos, la cual se debe tener en cuenta
que durante la implementación se mejora tiempos de respuesta contra seguridad en
la manipulación. El filtrado y validación de datos, tanto enviados como recibidos, de
una aplicación se deben tener muy en cuenta ya que son procesos propensos a
reclutar amenazas. Un ejemplo serían los típicos ataques web, como XSS, con el que
una no validación correcta por parte del servidor hace que la amenaza se convierta
en realidad.
La tercera propiedad es el repudio. Las aplicaciones deben intentar garantizar el no
repudio de los usuarios, por lo que un sistema de seguimiento de acciones realizadas
es útil para cumplir con esta premisa. Las aplicaciones y sus características presentan
diferentes riesgos, por lo que las medidas de registro de actividades de los usuarios
también serán diferentes. En función del contexto de la aplicación se necesitará un
sistema de seguimiento más rígido que en otras.
La cuarta propiedad es la revelación de información. Cualquier tipo de información
que ayude a un atacante indicándole el funcionamiento de la aplicación es un riesgo
de este tipo.
La quinta propiedad es denegación de servicio. Algunas funcionalidades de las
aplicaciones dificultan la optimización de los recursos, para estos casos se debe
realizar un uso racional y evitar que la aplicación pueda caer en una denegación de
servicio. Se deben estudiar estos casos para evitar estas amenazas.
La sexta propiedad es la elevación de privilegios. La aplicación puede tener diferentes
niveles de privilegios, en función de distintos roles o tipos de usuarios. Hay que
vigilar todas las acciones que conlleven el uso de privilegios y deben ser filtradas a
través de una capa de autorización. La validación de privilegios debe ser robusta e
impedir la escalada de privilegios.

TEMA 3 –Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Espinel Armas
Seguridad en el
13 – febrero - 2019
Software
Nombre: Stalin Fernando

Descripción de la Metodología Microsoft Threat Modeling Tool

Threat Modeling Tool es un elemento básico del Ciclo de vida de desarrollo de seguridad
(SDL) de Microsoft. Permite a los arquitectos de software identificar y mitigar los
posibles problemas de seguridad en una fase temprana, cuando son relativamente
sencillos y poco costosos de resolver. En consecuencia, reduce en gran medida el costo
total de desarrollo.
La herramienta permite:
 Comunicar el diseño de seguridad de sus sistemas
 Analizar los diseños de posibles problemas de seguridad con una metodología
probada
 Sugerir y administrar mitigaciones para problemas de seguridad

Lo más importante es que Threat Modeling Tool sirve básicamente para elaborar el
análisis de riesgos básico que todo desarrollo debe contemplar. Es esencial que un
programador entienda que su aplicación puede ser atacada y cuáles son los puntos
posibles de ataque.

La herramienta SDL Threat Modeling Tool proporciona las siguientes características:

Integración: Un sistema de seguimiento de los problemas detectados durante el
análisis.
Automatización: orientación e información en la elaboración de un modelo de
seguridad para la aplicación en desarrollo.
Análisis STRIDE: por elemento del sistema: guía de análisis de amenazas y mitigación
de los vectores de ataque STRIDE.

STRIDE es un acrónimo que resume 6 categorías de amenazas: Spoofing, Tampering,

Repudiation, Information Disclosure, Denial of Service, and Elevation of Privilege. Dado
que cada categoría tiene un conjunto específico de medidas de seguridad que las puede
evitar, una vez que se analizan las amenazas y las clasificamos, ya podemos saber que
será necesario para mitigarlas.

TEMA 3 –Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Espinel Armas
Seguridad en el
13 – febrero - 2019
Software
Nombre: Stalin Fernando

Suplantación (Spoofing)
S Un ataque de suplantación se produce cuando un atacante se hace pasar por
alguien que no es.
Manipulación (Tampering)
T La manipulación ataques se producen cuando el atacante modifica los datos en
tránsito.
Repudio (Repudiation)
R
Negar la autoría de una acción o evento en los sistemas de información.
Revelación de información (Information Disclosure)
Cuando la aplicación revela información sensible de forma no controlada debido
I
a un error en la programación o un fallo en la configuración del servicio o
aplicación.
Denegación de servicio (Denial of Service)
Introducción de información maliciosa que logre la saturación o el bloqueo de la
D
aplicación y de los servicios que esta proporciona generando como consecuencia
la caída de la aplicación o el sistema informático.
Elevación de privilegios (Elevation of Privilege)
Una elevación de privilegios se produce cuando un atacante tiene la capacidad
para obtener privilegios que normalmente no tendrían. Esto se logra mediante la
E
alteración o ataque a la aplicación obteniendo unos niveles de acceso mayores de
los inicialmente otorgados, saltándose así la política de control de acceso
predefinida.

Informes: Actividades sobre el diseño de la seguridad y ensayos en la fase de análisis y

verificación.
Metodología única: permite a los usuarios visualizar y comprender mejor las
amenazas.
Diseñadas para desarrolladores y centradas en el software: muchos enfoques
están centrados en recursos o atacantes. Estamos centrados en el software. Nos basamos
en actividades con las que todos los arquitectos y desarrolladores de software están
familiarizados, como dibujar imágenes para la arquitectura de su software.
Centradas en el análisis de diseño: el término "modelado de amenazas" puede
hacer referencia a un requisito o a una técnica de análisis de diseño. A veces, hace

TEMA 3 –Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Espinel Armas
Seguridad en el
13 – febrero - 2019
Software
Nombre: Stalin Fernando

referencia a una compleja combinación de ambas. El enfoque de SDL de Microsoft para

el modelado de amenazas es una técnica de análisis de diseño prioritaria.

DIAGRAMA DFD DE LA ARQUITECTURA DE LA APLICACIÓN

VALORACIÓN DE AMENAZAS

Para la valoración de amenazas se utilizó la siguiente fórmula

(R + E + DI) x (D + A) = P x I, en donde la sumatoria de (R + E + DI) representa la
Probabilidad de Ocurrencia (P), multiplicada por (D + A) que representa el Impacto
Potencial (I), de estos conceptos se desprende la siguiente tabla.

Impacto
Probabilidad de
Potencial P I Riesgo
Ocurrencia (P)
Amenaza (I)

R E DI D A (R+E+DI) (D+A) PxI

Falsificación del
almacén de datos de
origen 3 2 3 3 2 8 5 40
BDD_SQL_Credenciales
& Productos

TEMA 3 –Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Espinel Armas
Seguridad en el
13 – febrero - 2019
Software
Nombre: Stalin Fernando

Suplantación de
almacenamiento de
datos de destino en la 3 2 3 2 2 8 4 32
nube de
almacenamiento
El almacén de datos
niega que el
almacenamiento en la 3 1 2 3 2 6 5 30
nube pueda escribir
datos
El flujo de datos a
BackUPDatos_OUT es
3 2 3 3 2 8 5 40
potencialmente
interrumpido
Almacén de Datos
3 3 3 3 2 9 5 45
Inaccesible
Suplantación de
Almacenamiento de
3 2 2 3 2 7 5 35
Datos de Origen en la
Nube
Falsificación del
Almacén de Datos de
destino 3 2 2 3 1 7 4 28
BDD_SQL_Credenciales
& Productos
El Almacén de Datos
niega que
BDD_SQL_Credenciales 3 3 2 3 1 8 4 32
y Productos puedan
escribir datos
El Flujo de Datos
BackUPDatos_IN es
3 2 1 2 3 6 5 30
Potencialmente
Interrumpido
Almacén de Datos
3 2 2 2 3 7 5 35
Inaccesible
Falsificación del Proceso
3 2 1 3 2 6 5 30
del Servidor Web
Memoria del Proceso del
Servidor Web 3 1 1 3 2 5 5 25
Manipulada
Posible Repudio de
Datos por el Navegador 2 2 3 2 1 7 3 21
del Cliente
Proceso Potencial de
Ruptura o Parada para 3 2 2 1 1 7 2 14
el Navegador del Cliente
Acceso al Flujo de Datos
2 2 2 2 1 6 3 18
Web_OUT es

TEMA 3 –Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Espinel Armas
Seguridad en el
13 – febrero - 2019
Software
Nombre: Stalin Fernando

Potencialmente
Interrumpido
Elevación Mediante
3 2 1 2 2 6 4 24
Suplantación
El Navegador del Cliente
puede estar sujeto a la
Elevación de Privilegios 3 2 2 1 3 7 4 28
mediante la ejecución
remota de código
Elevación por el Cambio
del flujo de Ejecución en 3 2 3 2 2 8 4 32
el Navegador del Cliente
Falsificando los
Procesos del Navegador 3 3 2 2 2 8 4 32
del Cliente
Scripts de Sitios
3 3 2 1 2 8 3 24
Cruzados

Para la asignación de la calificación del DREAD se consideró la siguiente tabla.

TEMA 3 –Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Espinel Armas
Seguridad en el
13 – febrero - 2019
Software
Nombre: Stalin Fernando

Para la aplicación de salvaguardas se utilizó la siguiente tabla

Amenazas Propiedad Salvaguardas

Spoofing identity Autenticación  Procesos de Autenticación, Autorización
(Suplantación de y Auditoría (AAA): hash, firma digital.
Identidad)  Protección de secretos
 No almacenamiento de secretos
 Inicio de sesión único
 IPSEC
Tampering with Data Integridad  Procesos de AAA: hash, firma digital.
(Manipulación de  Códigos de autenticación de mensajes.
datos)  Firmas digitales.
 Protocolos resistentes a la
manipulación.
 Listas control de acceso ACL
Repudiation (Repudio) No Repudio  Procesos de Autenticación: hash, firma
digital.
 Procesos de Auditoría.
 Sellado de tiempo.
Information Confidencialidad  Procesos de AAA: hash, firma digital.
Disclosure (Revelación  Protección de secretos
de información)  No almacenamiento de secretos.
 Protocolos seguros.
 Encriptado.
Denial of Service Disponibilidad  Procesos de AAA: hash, firma digital.
(Denegación de  Listas control de acceso ACL.
servicio)  Calidad de servicio.
Elevation of Privilege Autorización  Listas control de acceso ACL.
(Elevación de  Control de acceso basado en roles.
privilegios)  Trabajar con el mínimo privilegio.
 Validación de entradas

TEMA 3 –Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Espinel Armas
Seguridad en el
13 – febrero - 2019
Software
Nombre: Stalin Fernando

TEMA 3 –Actividades © Universidad Internacional de La Rioja (UNIR)