Introducción Soy JJ yuasa, ingeniero de seguridad. En este artículo rehago y traduzco al español un análisis práctico de Threat Thinker, una herramienta de modelado de amenazas automatizado que aprovecha modelos LLM para identificar riesgos a partir de diagramas de arquitectura. Veremos ejemplos reales desde un sistema basado en AWS hasta una red corporativa y un hogar inteligente, mostrando los resultados que genera la herramienta y cómo puede integrarse en procesos de desarrollo seguro y auditoría.
Qué es Threat Thinker Threat Thinker es una herramienta que realiza modelado de amenazas automático a partir de diagramas de arquitectura de sistemas usando un LLM. Puede interpretar formatos como Mermaid, draw.io, capturas de pantalla de diagramas y OWASP Threat Dragon. A partir de las relaciones entre componentes infiere amenazas potenciales. En el modelado tradicional, una vez que tienes el diagrama, desarrolladores y equipos de seguridad recorren manualmente y documentan amenazas una a una. Threat Thinker automatiza la identificación inicial de amenazas básicas, permitiendo que los humanos se centren en riesgos específicos del negocio y en contramedidas. Ofrece interfaz de línea de comandos y una web UI para facilitar su uso incluso a profesionales no especializados en seguridad.
Identificación automática de amenazas básicas a partir del diagrama A continuación resumo tres pruebas distintas realizadas con Threat Thinker para ilustrar su comportamiento y sus salidas típicas.
Sistema basado en AWS Resumen de la arquitectura Un ejemplo frecuente de aplicación web en AWS: CloudFront a ALB a ECS con RDS y S3 para persistencia y objetos. El diagrama incluye perímetros públicos y subredes privadas donde residen los servicios.
Amenazas extraídas por Threat Thinker Ejemplos de las cinco principales amenazas detectadas en el informe generado 1) Falta potencial de autenticación o autorización entre ALB y ECS severa riesgo de suplantación y escalada de privilegios. 2) Tráfico no cifrado entre ALB y ECS permite manipulación y divulgación de información. 3) Exposición de PII en RDS sin cifrado en reposo, riesgo de divulgación de datos sensibles. 4) Registro y monitorización insuficientes de operaciones sensibles con riesgo de repudio. 5) Posible mala configuración de buckets S3 exponiendo datos internos. Estas observaciones son típicas en despliegues web sobre AWS y sirven como borrador inicial para pruebas de penetración y revisiones de arquitectura.
Red corporativa Resumen de la arquitectura Diagrama tipo para una pyme con tres zonas: Internet, DMZ y red interna; servidor público en DMZ, servidores de archivos y Active Directory en la red interna, y un gateway VPN.
Amenazas extraídas Ejemplos de los cinco principales hallazgos 1) Accesibilidad de atacantes externos al servidor web público con alto riesgo de suplantación y manipulación. 2) Validación insuficiente de entradas en el servidor público que facilita inyección y divulgación de información. 3) Movimiento lateral desde DMZ hacia la red interna con riesgo de escalada de privilegios. 4) Exposición de datos sensibles en servidores de ficheros y en AD. 5) Puerta de enlace VPN susceptible a ataques de credenciales. Este tipo de resultados ayuda a priorizar pruebas de red y controles perimetrales.
Hogar inteligente Resumen de la arquitectura Escenario típico de IoT doméstico: app móvil del residente que se conecta a un servicio en la nube, que a su vez controla cámaras IP, cerraduras inteligentes y altavoces a través del router doméstico.
Uso de base de conocimiento y amenazas detectadas Threat Thinker incorpora una función RAG que permite subir documentos en Markdown o HTML para crear una Knowledge Base que el LLM puede usar durante el razonamiento. En el ejemplo se importó el OWASP IoT Top 10 para orientar el análisis. Amenazas destacadas 1) Comunicación insegura entre app móvil y servicio en la nube, con riesgo de manipulación y divulgación. 2) Falta de autenticación en comandos enviados desde la nube a los dispositivos del hogar, posibilitando suplantación y control indebido. 3) Almacenamiento inseguro de vídeo y logs en la nube, riesgo de divulgación y repudio. 4) Datos de telemetría o vídeo sin cifrar en tránsito. 5) Autenticación débil en la app móvil que permite control por terceros. Cuando Threat Thinker recibe diagramas en formato Threat Dragon puede incluso exportar las amenazas inferidas de vuelta al diagrama para documentarlas visualmente.
Cómo se usa Threat Thinker Threat Thinker puede ejecutarse desde CLI o desde su interfaz web. Entre las opciones útiles está la de inferir datos auxiliares a partir del diagrama para que el LLM complemente información no explicita y mejore la detección. También permite limitar el número de amenazas devueltas y elegir el modelo LLM para el análisis. La combinación de diagramas, base de conocimiento y configuración adecuada facilita generar borradores de análisis de amenazas en minutos.
Limitaciones y mejores prácticas LLM basado no sustituye la revisión experta. Threat Thinker automatiza la detección de amenazas básicas y comunes, pero las amenazas específicas de lógica de negocio y los riesgos ligados a implementaciones particulares requieren revisión humana y pruebas complementarias como pentesting y auditoría de código. Usar Threat Thinker como primer filtro y luego iterar con expertos optimiza tiempo y reduce omisiones.
Sobre Q2BSTUDIO En Q2BSTUDIO somos una empresa de desarrollo de software y aplicaciones a medida, especialistas en inteligencia artificial, ciberseguridad y mucho más. Ofrecemos servicios que abarcan desde desarrollo de aplicaciones a medida y software a medida hasta soluciones de seguridad y consultoría. Si busca reforzar la protección de sus proyectos puede conocer nuestras opciones en servicios de ciberseguridad y pentesting. Para proyectos que combinan IA e ingeniería de software contamos con experiencia en IA para empresas y agentes IA, descubra nuestras capacidades en servicios de inteligencia artificial.
Palabras clave y posicionamiento Naturalmente trabajamos integrando conceptos como aplicaciones a medida, software a medida, inteligencia artificial, ciberseguridad, servicios cloud aws y azure, servicios inteligencia de negocio, ia para empresas, agentes IA y power bi para ofrecer soluciones completas que van desde la automatización de procesos hasta análisis avanzado con Power BI.
Conclusión Threat Thinker es una herramienta valiosa para generar rápidamente un primer borrador de modelado de amenazas a partir de diagramas, mejorando la capacidad de equipos de desarrollo y seguridad para detectar riesgos comunes. En Q2BSTUDIO podemos ayudarle a integrar estas prácticas en su ciclo de desarrollo, combinar análisis automatizados con revisiones humanas y desplegar soluciones seguras en la nube y en entornos IoT.
Invitación Si quiere que analicemos sus diagramas de arquitectura o que diseñemos soluciones seguras y basadas en inteligencia artificial, contacte con nuestro equipo en Q2BSTUDIO para explorar cómo podemos apoyar proyectos de software a medida, servicios cloud aws y azure y estrategias de Business Intelligence con power bi.

