Intentando el modelado de amenazas basado en LLM

Meta descripción: Descubre cómo llevar a cabo el modelado de amenazas con la metodología de LLM y protege tu negocio de posibles vulnerabilidades de seguridad. Aprende cómo identificar y mitigar riesgos de manera efectiva.

11 dic 2025 • 5 min read • Q2BSTUDIO Team

Intentando Modelado de Amenazas con LLM

Introducción Soy JJ yuasa, ingeniero de seguridad. En este artículo rehago y traduzco al español un análisis práctico de Threat Thinker, una herramienta de modelado de amenazas automatizado que aprovecha modelos LLM para identificar riesgos a partir de diagramas de arquitectura. Veremos ejemplos reales desde un sistema basado en AWS hasta una red corporativa y un hogar inteligente, mostrando los resultados que genera la herramienta y cómo puede integrarse en procesos de desarrollo seguro y auditoría.

Qué es Threat Thinker Threat Thinker es una herramienta que realiza modelado de amenazas automático a partir de diagramas de arquitectura de sistemas usando un LLM. Puede interpretar formatos como Mermaid, draw.io, capturas de pantalla de diagramas y OWASP Threat Dragon. A partir de las relaciones entre componentes infiere amenazas potenciales. En el modelado tradicional, una vez que tienes el diagrama, desarrolladores y equipos de seguridad recorren manualmente y documentan amenazas una a una. Threat Thinker automatiza la identificación inicial de amenazas básicas, permitiendo que los humanos se centren en riesgos específicos del negocio y en contramedidas. Ofrece interfaz de línea de comandos y una web UI para facilitar su uso incluso a profesionales no especializados en seguridad.

Identificación automática de amenazas básicas a partir del diagrama A continuación resumo tres pruebas distintas realizadas con Threat Thinker para ilustrar su comportamiento y sus salidas típicas.

Sistema basado en AWS Resumen de la arquitectura Un ejemplo frecuente de aplicación web en AWS: CloudFront a ALB a ECS con RDS y S3 para persistencia y objetos. El diagrama incluye perímetros públicos y subredes privadas donde residen los servicios.

Amenazas extraídas por Threat Thinker Ejemplos de las cinco principales amenazas detectadas en el informe generado 1) Falta potencial de autenticación o autorización entre ALB y ECS severa riesgo de suplantación y escalada de privilegios. 2) Tráfico no cifrado entre ALB y ECS permite manipulación y divulgación de información. 3) Exposición de PII en RDS sin cifrado en reposo, riesgo de divulgación de datos sensibles. 4) Registro y monitorización insuficientes de operaciones sensibles con riesgo de repudio. 5) Posible mala configuración de buckets S3 exponiendo datos internos. Estas observaciones son típicas en despliegues web sobre AWS y sirven como borrador inicial para pruebas de penetración y revisiones de arquitectura.

Red corporativa Resumen de la arquitectura Diagrama tipo para una pyme con tres zonas: Internet, DMZ y red interna; servidor público en DMZ, servidores de archivos y Active Directory en la red interna, y un gateway VPN.

Amenazas extraídas Ejemplos de los cinco principales hallazgos 1) Accesibilidad de atacantes externos al servidor web público con alto riesgo de suplantación y manipulación. 2) Validación insuficiente de entradas en el servidor público que facilita inyección y divulgación de información. 3) Movimiento lateral desde DMZ hacia la red interna con riesgo de escalada de privilegios. 4) Exposición de datos sensibles en servidores de ficheros y en AD. 5) Puerta de enlace VPN susceptible a ataques de credenciales. Este tipo de resultados ayuda a priorizar pruebas de red y controles perimetrales.

Hogar inteligente Resumen de la arquitectura Escenario típico de IoT doméstico: app móvil del residente que se conecta a un servicio en la nube, que a su vez controla cámaras IP, cerraduras inteligentes y altavoces a través del router doméstico.

Uso de base de conocimiento y amenazas detectadas Threat Thinker incorpora una función RAG que permite subir documentos en Markdown o HTML para crear una Knowledge Base que el LLM puede usar durante el razonamiento. En el ejemplo se importó el OWASP IoT Top 10 para orientar el análisis. Amenazas destacadas 1) Comunicación insegura entre app móvil y servicio en la nube, con riesgo de manipulación y divulgación. 2) Falta de autenticación en comandos enviados desde la nube a los dispositivos del hogar, posibilitando suplantación y control indebido. 3) Almacenamiento inseguro de vídeo y logs en la nube, riesgo de divulgación y repudio. 4) Datos de telemetría o vídeo sin cifrar en tránsito. 5) Autenticación débil en la app móvil que permite control por terceros. Cuando Threat Thinker recibe diagramas en formato Threat Dragon puede incluso exportar las amenazas inferidas de vuelta al diagrama para documentarlas visualmente.

Cómo se usa Threat Thinker Threat Thinker puede ejecutarse desde CLI o desde su interfaz web. Entre las opciones útiles está la de inferir datos auxiliares a partir del diagrama para que el LLM complemente información no explicita y mejore la detección. También permite limitar el número de amenazas devueltas y elegir el modelo LLM para el análisis. La combinación de diagramas, base de conocimiento y configuración adecuada facilita generar borradores de análisis de amenazas en minutos.

Limitaciones y mejores prácticas LLM basado no sustituye la revisión experta. Threat Thinker automatiza la detección de amenazas básicas y comunes, pero las amenazas específicas de lógica de negocio y los riesgos ligados a implementaciones particulares requieren revisión humana y pruebas complementarias como pentesting y auditoría de código. Usar Threat Thinker como primer filtro y luego iterar con expertos optimiza tiempo y reduce omisiones.

Sobre Q2BSTUDIO En Q2BSTUDIO somos una empresa de desarrollo de software y aplicaciones a medida, especialistas en inteligencia artificial, ciberseguridad y mucho más. Ofrecemos servicios que abarcan desde desarrollo de aplicaciones a medida y software a medida hasta soluciones de seguridad y consultoría. Si busca reforzar la protección de sus proyectos puede conocer nuestras opciones en servicios de ciberseguridad y pentesting. Para proyectos que combinan IA e ingeniería de software contamos con experiencia en IA para empresas y agentes IA, descubra nuestras capacidades en servicios de inteligencia artificial.

Palabras clave y posicionamiento Naturalmente trabajamos integrando conceptos como aplicaciones a medida, software a medida, inteligencia artificial, ciberseguridad, servicios cloud aws y azure, servicios inteligencia de negocio, ia para empresas, agentes IA y power bi para ofrecer soluciones completas que van desde la automatización de procesos hasta análisis avanzado con Power BI.

Conclusión Threat Thinker es una herramienta valiosa para generar rápidamente un primer borrador de modelado de amenazas a partir de diagramas, mejorando la capacidad de equipos de desarrollo y seguridad para detectar riesgos comunes. En Q2BSTUDIO podemos ayudarle a integrar estas prácticas en su ciclo de desarrollo, combinar análisis automatizados con revisiones humanas y desplegar soluciones seguras en la nube y en entornos IoT.

Invitación Si quiere que analicemos sus diagramas de arquitectura o que diseñemos soluciones seguras y basadas en inteligencia artificial, contacte con nuestro equipo en Q2BSTUDIO para explorar cómo podemos apoyar proyectos de software a medida, servicios cloud aws y azure y estrategias de Business Intelligence con power bi.

A BREAK?

Play for a moment before you go

OUR SERVICES

How we can help you

Artificial intelligence

AI agents, chatbots, and intelligent assistants that automate tasks and serve your customers 24/7 to improve the efficiency of your business.

More info

Software Development

Web, mobile, and desktop applications, intranets, e-commerce, SaaS, and management platforms designed for your company's specific needs.

More info

Cloud services

Migration, infrastructure, managed hosting, high availability, and security on Microsoft Azure and Amazon Web Services to help your business scale without limits.

More info

Cybersecurity and pentesting

Security audits, penetration testing and protection of applications, data and infrastructure on-premise and cloud, with ethical hacking and regulatory compliance.

More info

Business Intelligence

Dashboards and data analysis with Power BI: we integrate your sources, design dashboards and KPIs and turn your data into decisions.

More info

Process automation

We automate repetitive tasks and connect your applications with n8n, Power Automate, Make, and RPA, eliminating manual work and increasing productivity.

More info

Training for Companies

We train your teams in technology with criteria: web development, databases, Git, best practices and security, automation with n8n, artificial intelligence for companies and creation of AI solutions with Azure AI Foundry.

More info

Code Auditing

We audit the code that you, your team or an AI create: we tell you what is good and what to improve, we secure it and make it ready for production, web or app.

More info

AI Image Generation

We create for you the images that your business needs with artificial intelligence: product, networks, advertising, illustration and avatars. You tell us what you want and we deliver it ready to use.

More info

AI Video Generation

We create videos with artificial intelligence for you: promotional, networking, virtual presenters, dubbing and animations. You tell us the idea and we will deliver it assembled and ready to publish.

More info

AI Conversational Avatars

We create conversational avatars with AI – digital humans with a face and voice – that serve your customers and teams with the knowledge of your company, on your website, interactive monitors, WhatsApp or Teams.

More info

Online Marketing and AI

Google Ads, Meta Ads, LinkedIn Ads and AI Engine Positioning (GEO/AEO): we attract customers and make your brand appear where they search for you, also on ChatGPT, Gemini and Perplexity.

More info

Do you have a project in mind?

Tell us your vision and we'll turn it into a software solution. Whatever the scope, we make your idea real.