Intentando el modelado de amenazas basado en LLM

Meta descripción: Descubre cómo llevar a cabo el modelado de amenazas con la metodología de LLM y protege tu negocio de posibles vulnerabilidades de seguridad. Aprende cómo identificar y mitigar riesgos de manera efectiva.

11 dic 2025 • 5 min de lectura • Equipo Q2BSTUDIO

Intentando Modelado de Amenazas con LLM

Introducción Soy JJ yuasa, ingeniero de seguridad. En este artículo rehago y traduzco al español un análisis práctico de Threat Thinker, una herramienta de modelado de amenazas automatizado que aprovecha modelos LLM para identificar riesgos a partir de diagramas de arquitectura. Veremos ejemplos reales desde un sistema basado en AWS hasta una red corporativa y un hogar inteligente, mostrando los resultados que genera la herramienta y cómo puede integrarse en procesos de desarrollo seguro y auditoría.

Qué es Threat Thinker Threat Thinker es una herramienta que realiza modelado de amenazas automático a partir de diagramas de arquitectura de sistemas usando un LLM. Puede interpretar formatos como Mermaid, draw.io, capturas de pantalla de diagramas y OWASP Threat Dragon. A partir de las relaciones entre componentes infiere amenazas potenciales. En el modelado tradicional, una vez que tienes el diagrama, desarrolladores y equipos de seguridad recorren manualmente y documentan amenazas una a una. Threat Thinker automatiza la identificación inicial de amenazas básicas, permitiendo que los humanos se centren en riesgos específicos del negocio y en contramedidas. Ofrece interfaz de línea de comandos y una web UI para facilitar su uso incluso a profesionales no especializados en seguridad.

Identificación automática de amenazas básicas a partir del diagrama A continuación resumo tres pruebas distintas realizadas con Threat Thinker para ilustrar su comportamiento y sus salidas típicas.

Sistema basado en AWS Resumen de la arquitectura Un ejemplo frecuente de aplicación web en AWS: CloudFront a ALB a ECS con RDS y S3 para persistencia y objetos. El diagrama incluye perímetros públicos y subredes privadas donde residen los servicios.

Amenazas extraídas por Threat Thinker Ejemplos de las cinco principales amenazas detectadas en el informe generado 1) Falta potencial de autenticación o autorización entre ALB y ECS severa riesgo de suplantación y escalada de privilegios. 2) Tráfico no cifrado entre ALB y ECS permite manipulación y divulgación de información. 3) Exposición de PII en RDS sin cifrado en reposo, riesgo de divulgación de datos sensibles. 4) Registro y monitorización insuficientes de operaciones sensibles con riesgo de repudio. 5) Posible mala configuración de buckets S3 exponiendo datos internos. Estas observaciones son típicas en despliegues web sobre AWS y sirven como borrador inicial para pruebas de penetración y revisiones de arquitectura.

Red corporativa Resumen de la arquitectura Diagrama tipo para una pyme con tres zonas: Internet, DMZ y red interna; servidor público en DMZ, servidores de archivos y Active Directory en la red interna, y un gateway VPN.

Amenazas extraídas Ejemplos de los cinco principales hallazgos 1) Accesibilidad de atacantes externos al servidor web público con alto riesgo de suplantación y manipulación. 2) Validación insuficiente de entradas en el servidor público que facilita inyección y divulgación de información. 3) Movimiento lateral desde DMZ hacia la red interna con riesgo de escalada de privilegios. 4) Exposición de datos sensibles en servidores de ficheros y en AD. 5) Puerta de enlace VPN susceptible a ataques de credenciales. Este tipo de resultados ayuda a priorizar pruebas de red y controles perimetrales.

Hogar inteligente Resumen de la arquitectura Escenario típico de IoT doméstico: app móvil del residente que se conecta a un servicio en la nube, que a su vez controla cámaras IP, cerraduras inteligentes y altavoces a través del router doméstico.

Uso de base de conocimiento y amenazas detectadas Threat Thinker incorpora una función RAG que permite subir documentos en Markdown o HTML para crear una Knowledge Base que el LLM puede usar durante el razonamiento. En el ejemplo se importó el OWASP IoT Top 10 para orientar el análisis. Amenazas destacadas 1) Comunicación insegura entre app móvil y servicio en la nube, con riesgo de manipulación y divulgación. 2) Falta de autenticación en comandos enviados desde la nube a los dispositivos del hogar, posibilitando suplantación y control indebido. 3) Almacenamiento inseguro de vídeo y logs en la nube, riesgo de divulgación y repudio. 4) Datos de telemetría o vídeo sin cifrar en tránsito. 5) Autenticación débil en la app móvil que permite control por terceros. Cuando Threat Thinker recibe diagramas en formato Threat Dragon puede incluso exportar las amenazas inferidas de vuelta al diagrama para documentarlas visualmente.

Cómo se usa Threat Thinker Threat Thinker puede ejecutarse desde CLI o desde su interfaz web. Entre las opciones útiles está la de inferir datos auxiliares a partir del diagrama para que el LLM complemente información no explicita y mejore la detección. También permite limitar el número de amenazas devueltas y elegir el modelo LLM para el análisis. La combinación de diagramas, base de conocimiento y configuración adecuada facilita generar borradores de análisis de amenazas en minutos.

Limitaciones y mejores prácticas LLM basado no sustituye la revisión experta. Threat Thinker automatiza la detección de amenazas básicas y comunes, pero las amenazas específicas de lógica de negocio y los riesgos ligados a implementaciones particulares requieren revisión humana y pruebas complementarias como pentesting y auditoría de código. Usar Threat Thinker como primer filtro y luego iterar con expertos optimiza tiempo y reduce omisiones.

Sobre Q2BSTUDIO En Q2BSTUDIO somos una empresa de desarrollo de software y aplicaciones a medida, especialistas en inteligencia artificial, ciberseguridad y mucho más. Ofrecemos servicios que abarcan desde desarrollo de aplicaciones a medida y software a medida hasta soluciones de seguridad y consultoría. Si busca reforzar la protección de sus proyectos puede conocer nuestras opciones en servicios de ciberseguridad y pentesting. Para proyectos que combinan IA e ingeniería de software contamos con experiencia en IA para empresas y agentes IA, descubra nuestras capacidades en servicios de inteligencia artificial.

Palabras clave y posicionamiento Naturalmente trabajamos integrando conceptos como aplicaciones a medida, software a medida, inteligencia artificial, ciberseguridad, servicios cloud aws y azure, servicios inteligencia de negocio, ia para empresas, agentes IA y power bi para ofrecer soluciones completas que van desde la automatización de procesos hasta análisis avanzado con Power BI.

Conclusión Threat Thinker es una herramienta valiosa para generar rápidamente un primer borrador de modelado de amenazas a partir de diagramas, mejorando la capacidad de equipos de desarrollo y seguridad para detectar riesgos comunes. En Q2BSTUDIO podemos ayudarle a integrar estas prácticas en su ciclo de desarrollo, combinar análisis automatizados con revisiones humanas y desplegar soluciones seguras en la nube y en entornos IoT.

Invitación Si quiere que analicemos sus diagramas de arquitectura o que diseñemos soluciones seguras y basadas en inteligencia artificial, contacte con nuestro equipo en Q2BSTUDIO para explorar cómo podemos apoyar proyectos de software a medida, servicios cloud aws y azure y estrategias de Business Intelligence con power bi.

¿UNA PAUSA?

Juega un momento antes de irte

NUESTROS SERVICIOS

Cómo podemos ayudarte

Inteligencia artificial

Agentes de IA, chatbots y asistentes inteligentes que automatizan tareas y atienden a tus clientes 24/7 para mejorar la eficiencia de tu negocio.

Más info

Desarrollo de software

Aplicaciones web, móviles y de escritorio, intranets, e-commerce, SaaS y plataformas de gestión diseñadas para las necesidades concretas de tu empresa.

Más info

Servicios cloud

Migración, infraestructura, hosting gestionado, alta disponibilidad y seguridad en Microsoft Azure y Amazon Web Services para que tu negocio escale sin límites.

Más info

Ciberseguridad y pentesting

Auditorías de seguridad, test de intrusión (pentesting) y protección de aplicaciones, datos e infraestructura on-premise y cloud, con hacking ético y cumplimiento normativo.

Más info

Business Intelligence

Cuadros de mando y análisis de datos con Power BI: integramos tus fuentes, diseñamos dashboards y KPIs y convertimos tus datos en decisiones.

Más info

Automatización de procesos

Automatizamos tareas repetitivas y conectamos tus aplicaciones con n8n, Power Automate, Make y RPA, eliminando trabajo manual y aumentando la productividad.

Más info

Formación para empresas

Formamos a tus equipos en tecnología con criterio: desarrollo web, bases de datos, Git, buenas prácticas y seguridad, automatización con n8n, inteligencia artificial para empresas y creación de soluciones de IA con Azure AI Foundry.

Más info

Auditoría de código

Auditamos el código que creas tú, tu equipo o una IA: te decimos qué está bien y qué mejorar, lo securizamos y lo dejamos listo para producción, web o app.

Más info

Generación de imágenes con IA

Creamos por ti las imágenes que necesita tu negocio con inteligencia artificial: producto, redes, publicidad, ilustración y avatares. Tú nos dices qué quieres y te lo entregamos listo para usar.

Más info

Generación de vídeos con IA

Creamos por ti vídeos con inteligencia artificial: promocionales, para redes, presentadores virtuales, doblaje y animaciones. Nos cuentas la idea y te lo entregamos montado y listo para publicar.

Más info

Avatares conversacionales con IA

Creamos avatares conversacionales con IA —humanos digitales con cara y voz— que atienden a tus clientes y equipos con el conocimiento de tu empresa, en tu web, monitores interactivos, WhatsApp o Teams.

Más info

Marketing Online e IA

Google Ads, Meta Ads, LinkedIn Ads y posicionamiento en motores de IA (GEO/AEO): captamos clientes y hacemos que tu marca aparezca donde te buscan, también en ChatGPT, Gemini y Perplexity.

Más info

¿Tienes un proyecto en mente?

Cuéntanos tu visión y la convertimos en una solución de software. Sea cual sea el alcance, hacemos realidad tu idea.

Live Chat