Machine Translated by Google

MODELADO DE AMENAZAS: UN RESUMEN DE DISPONIBLE

MÉTODOS
Nataliya Shevchenko, Timothy A. Chick, Paige O'Riordan, Thomas Patrick Scanlon, PhD y Carol Woody, PhD
julio 2018

Introducción

“El modelado de amenazas es la clave para una defensa enfocada. Sin el modelado de amenazas, nunca se
puede dejar de jugar al whack-a-mole”.— Adam Shostack [14]

Casi todos los sistemas de software de hoy enfrentan una variedad de amenazas, y se agregan más constantemente a
medida que cambia la tecnología. Estas amenazas pueden provenir del exterior o del interior de las organizaciones, y su
impacto tiene el potencial de ser devastador. Se podría evitar que los sistemas funcionen por completo o se podría filtrar
información confidencial, lo que afectaría la confianza del consumidor en el proveedor del sistema. Para evitar que las
amenazas se aprovechen de las fallas del sistema, se pueden usar métodos de modelado de amenazas para pensar a la
defensiva.

Los métodos de modelado de amenazas se utilizan para crear una abstracción del sistema; perfiles de posibles atacantes,
incluidos sus objetivos y métodos; y un catálogo de amenazas potenciales que pueden surgir. Se han desarrollado muchos
métodos de modelado de amenazas. No todos son completos; algunos se centran en la abstracción y fomentan la
granularidad, mientras que otros se centran más en las personas. Algunos métodos se centran específicamente en el
riesgo o la privacidad. Los métodos de modelado de amenazas se pueden combinar para crear una visión más sólida y
completa de las amenazas potenciales.

Los sistemas de software se integran cada vez más en las infraestructuras físicas, como los automóviles inteligentes.
Estos híbridos a menudo se denominan sistemas ciberfísicos; este término da cuenta de sus múltiples componentes. Si
bien los sistemas ciberfísicos innovadores son vulnerables a amenazas que los fabricantes de infraestructuras físicas
tradicionales pueden no considerar. Realizar el modelado de amenazas en sistemas ciberfísicos con una variedad de partes
interesadas puede ayudar a detectar amenazas en un amplio espectro de tipos de amenazas.

Para utilizar mejor el modelado de amenazas, debe realizarse al principio del ciclo de desarrollo. Esto significa que los
posibles problemas se pueden detectar y solucionar a tiempo, lo que evita una solución mucho más costosa en el futuro.
Pensar en los requisitos de seguridad con el modelado de amenazas puede conducir a decisiones arquitectónicas
proactivas que permitan reducir las amenazas desde el principio.

Los doce métodos de modelado de amenazas discutidos en este documento provienen de una variedad de fuentes y apuntan
a diferentes partes del proceso. No se recomienda ningún método de modelado de amenazas sobre otro; la decisión de qué
método(s) usar debe basarse en las necesidades del proyecto y sus preocupaciones específicas.

INSTITUTO DE INGENIERÍA DE SOFTWARE | UNIVERSIDAD DE CARNEGIE MELLON REV-03.18.2016.0

Declaración de distribución A: Aprobado para publicación pública; La distribución es ilimitada

Machine Translated by Google

Tabla de contenido
STRIDE y Derivaciones Asociadas 1

PASTA 3

LINDDUN 5

CVSS 7

árboles de ataque 8

Persona non grata 9

Tarjetas de seguridad 11

HTM 12

Método de modelado de amenazas cuantitativas 13

triciclo 15

Modelado VAST dieciséis

OCTAVA 17

Conclusión 18

Bibliografía 20

Lista de Figuras
Figura 1: Diagrama de flujo de datos con límites del sistema 1

Figura 2: Etapas de PASTA 3

Figura 3: Pasos de la metodología LINDDUN [34] 5

Figura 4: Paso de mapeo de LINDDUN [12] 6

Figura 5: Grupos de métricas de CVSS v3.0 [37] 7

Figura 6: Ejemplos de árboles de ataque [2] 8

Figura 7: Ejemplos de personas no deseadas [15] 9

Figura 8: Ejemplo de tarjeta de seguridad [15] 11

Figura 9: Árbol de ataque de componentes [3] 13

Figura 10: Puntuación CVSS para el árbol de ataques de manipulación [3] 13

Figura 11: Fases de la OCTAVA [36] 17

Lista de tablas
Tabla 1: Categorías de amenazas de STRIDE 2

Tabla 2: Dimensiones de las tarjetas de seguridad 11

Tabla 3: Características de los métodos de modelado de amenazas 18

INSTITUTO DE INGENIERÍA DE SOFTWARE | UNIVERSIDAD DE CARNEGIE MELLON yo

Declaración de distribución A: Aprobado para publicación pública; La distribución es ilimitada

Machine Translated by Google

STRIDE y Derivaciones Asociadas

STRIDE es actualmente el método de modelado de amenazas más maduro. Inventado por Loren Kohnfelder y Praerit
Garg en 1999 y adoptado por Microsoft en 2002, STRIDE ha evolucionado con el tiempo para incluir nuevas tablas
específicas de amenazas y las variantes STRIDE-per-Element y STRIDE-per-Interaction [14, 20, 40].

STRIDE evalúa el diseño detallado del sistema. (Vea el ejemplo en la Figura 1). El objetivo del paso uno es modelar el
sistema en el lugar. Al construir diagramas de flujo de datos (DFD), identifica entidades del sistema, eventos y límites del
sistema [26]. Los DFD precisos dictan qué tan exitoso será su STRIDE [15]. Sin embargo, el uso de DFD como la única
entrada para el modelado de amenazas es limitante porque no proporciona un medio para representar decisiones
arquitectónicas relacionadas con la seguridad [13].

Figura 1: Diagrama de flujo de datos con límites del sistema

El objetivo del paso dos es encontrar amenazas. STRIDE utiliza un conjunto general de amenazas conocidas basadas en
su nombre, STRIDE, que significa suplantación de identidad, manipulación de datos, repudio, divulgación de información,
denegación de servicio y elevación de privilegios. (Consulte la Tabla 1 para ver las definiciones de los tipos de amenazas).
Este acrónimo se puede usar como un mnemotécnico para descubrir amenazas mientras navega por el modelo del
sistema creado en la fase uno [14, 20]. Para ayudar en este paso, algunas fuentes ofrecen listas de verificación y tablas
[14, 28] que ayudan a describir amenazas, violaciones de propiedad, víctimas típicas y lo que hace un atacante. Después
de recopilar las amenazas descubiertas y las estrategias de mitigación, esta información debe documentarse y priorizarse
[13, 15].

INSTITUTO DE INGENIERÍA DE SOFTWARE | UNIVERSIDAD DE CARNEGIE MELLON 1

Declaración de distribución A: Aprobado para publicación pública; La distribución es ilimitada

Machine Translated by Google

Tabla 1: Categorías de amenazas de STRIDE

Amenaza Definición de amenaza de propiedad violada
S Autenticación
Identificación de suplantación de identidad Pretender ser algo o alguien que no sea usted mismo

T
Manipulación de datos Integridad Modificar algo en el disco, la red, la memoria o en cualquier otro lugar

R Repudio no repudio Afirmar que no hizo algo o que no fue responsable; puede ser honesto o falso

yo

Revelación de información Confidencialidad Proporcionar información a alguien no autorizado para acceder a ella

D Denegación de servicio Disponibilidad Agotamiento de los recursos necesarios para proporcionar el servicio.

Y Autorización
Elevación de privilegio Permitir que alguien haga algo para lo que no está autorizado

Este método es fácil de adoptar pero puede llevar mucho tiempo [15, 14]. El problema principal de STRIDE es
que la cantidad de amenazas puede crecer rápidamente a medida que aumenta la complejidad de un sistema.
Scandariato et al., en su estudio descriptivo de la técnica de modelado de amenazas de Microsoft, muestran que el
método STRIDE tiene una tasa moderadamente baja de falsos positivos y una tasa moderadamente alta de falsos
negativos [28]. STRIDE se ha aplicado con éxito a sistemas cibernéticos y ciberfísicos [14, 15, 20, 28, 40].

Aunque Microsoft ya no mantiene STRIDE, se implementa como parte del ciclo de vida de desarrollo seguro (SDL)
de Microsoft con la herramienta de modelado de amenazas, que todavía está disponible [29].

Varios autores representan métodos STRIDE modificados. Martins et al., en su presentación Towards a Systematic
Threat Modeling Approach for Cyber-Physical Systems, utilizan el método STRIDE con las directrices del NIST en
lugar de las estrategias de mediación de seguridad de Microsoft [30]. Microsoft desarrolló otro método similar llamado
DREAD, que también es un mnemónico (Potencial de daño, Reproducibilidad, Explotación, Usuarios afectados,
Descubrimiento) con un enfoque diferente para evaluar las amenazas. Asigna uno de tres valores (0, 5, 10) a las
primeras cuatro categorías y uno de cuatro valores (0, 5, 9, 10) a la última categoría, lo que “permite calcular un valor
promedio para representar la riesgo de todo el sistema” [3, 33].

INSTITUTO DE INGENIERÍA DE SOFTWARE | UNIVERSIDAD DE CARNEGIE MELLON 2

Declaración de distribución A: Aprobado para publicación pública; La distribución es ilimitada

Machine Translated by Google

PASTA

El Proceso de Simulación de Ataques y Análisis de Amenazas (PASTA) es un marco de modelado de amenazas

centrado en el riesgo desarrollado en 2012 por Tony UcedaVélez. Contiene siete etapas, cada una con múltiples
actividades, que se ilustran en la Figura 2 [31, 32, 16].

• Identificar objetivos comerciales

1. Definir
• Identificar los requisitos de seguridad y cumplimiento
Objetivos • Análisis de Impacto del Negocio

2. Definir técnica • Capture los límites del entorno técnico

• Infraestructura de captura | Aplicación | Dependencias de software
Alcance

• Identificar casos de uso | Definir aplicación. Puntos de entrada y niveles de confianza

3. Descomposición
• Identificar Actores | Activos | Servicios | Funciones | Fuentes de datos
de aplicaciones • Diagramación de flujo de datos (DFD) | Límites de confianza

• Análisis probabilístico de escenarios de ataque

4. Amenaza
• Análisis de regresión sobre eventos de seguridad
Análisis • Análisis y correlación de inteligencia de amenazas

• Consultas de informes de vulnerabilidades existentes y seguimiento de problemas

5. Análisis de • Mapeo de amenazas a vulnerabilidades existentes usando árboles de amenazas
vulnerabilidades y debilidades • Análisis de fallas de diseño usando casos de uso y abuso
• Puntuaciones (CVSS/CWSS) | Enumeraciones (CWE/CVE)

• Análisis de superficie de ataque

6. Modelado
• Desarrollo del árbol de ataques | Gestión de bibliotecas de ataque.
de ataques
• Análisis de ataques a vulnerabilidades y exploits utilizando árboles de ataque

• Calificar y cuantificar el impacto empresarial

7. Análisis de riesgo
• Identificación de contramedidas y análisis de riesgos residuales
e impacto
• Estrategias de Mitigación de Riesgos de Identificación

Figura adaptada de Threat Modeling w/ PASTA: Risk Centric Threat Modeling Case Studies [19].

Figura 2: Etapas de PASTA

PASTA tiene como objetivo reunir los objetivos comerciales y los requisitos técnicos [22]. Utiliza una variedad de
herramientas de diseño y elicitación en diferentes etapas. Por ejemplo, se utilizan diagramas arquitectónicos de alto nivel

INSTITUTO DE INGENIERÍA DE SOFTWARE | UNIVERSIDAD DE CARNEGIE MELLON 3

Declaración de distribución A: Aprobado para publicación pública; La distribución es ilimitada

Machine Translated by Google

durante la etapa dos para identificar el alcance técnico. Los DFD se utilizan en la etapa tres. Durante la etapa seis, se
crean árboles de ataque y casos de uso y abuso para el análisis y el modelado de ataques [31, 16].

Este método eleva el proceso de modelado de amenazas a un nivel estratégico al involucrar a los tomadores de decisiones
clave y al requerir aportes de seguridad de las operaciones, el gobierno, la arquitectura y el desarrollo [21]. Ampliamente
considerado como un marco centrado en el riesgo, PASTA tiene una perspectiva centrada en el atacante. Al final, el
proceso produce un resultado centrado en los activos en forma de enumeración y puntuación de amenazas [31, 21].

UcedaVélez y Marco Morana desarrollaron una documentación muy rica para el método para ayudar con este proceso
laborioso y extenso [32].

INSTITUTO DE INGENIERÍA DE SOFTWARE | UNIVERSIDAD DE CARNEGIE MELLON 4

Declaración de distribución A: Aprobado para publicación pública; La distribución es ilimitada

Machine Translated by Google

LINDDUN

LINDDUN (Vinculabilidad, Identificabilidad, No repudio, Detectabilidad, Divulgación de información, Desconocimiento,

Incumplimiento) es un método de modelado de amenazas que se centra en las preocupaciones de privacidad y puede usarse
para la seguridad de los datos [12]. Similar a STRIDE, este método es un mnemotécnico, lo que significa que las categorías de
amenazas en cuestión están codificadas en el nombre del método. Consta de seis pasos (consulte la Figura 3), LINDDUN
proporciona un enfoque sistemático para la evaluación de la privacidad [34, 35].

Figura 3: Pasos de la metodología LINDDUN [34]

LINDDUN comienza con un DFD del sistema que define los flujos de datos, los almacenes de datos, los procesos y las
entidades externas del sistema. Al iterar sistemáticamente sobre todos los elementos del modelo y analizarlos desde el punto de
vista de las categorías de amenazas, los usuarios de LINDDUN identifican la aplicabilidad de una amenaza al sistema y
construyen árboles de amenazas [12, 34, 35].

Los pasos 2 y 3 son esencialmente cuestionarios que guían al usuario a través del proceso de análisis inicial para identificar
las amenazas en el sistema. El paso 2 consiste en asignar categorías de amenazas a las partes del sistema donde pueden
aparecer. (Consulte la Figura 4 para ver un ejemplo). El paso 3 implica la identificación de escenarios en los que podrían
ocurrir estas amenazas. El resto del proceso encuentra soluciones y estrategias de mitigación [12].

INSTITUTO DE INGENIERÍA DE SOFTWARE | UNIVERSIDAD DE CARNEGIE MELLON 5

Declaración de distribución A: Aprobado para publicación pública; La distribución es ilimitada

Machine Translated by Google

Figura 4: Paso de mapeo de LINDDUN [12]

Una de las características fuertes del método LINDDUN es su extensa documentación y base de conocimientos
sobre privacidad [34]. El método LINDDUN requiere mucho trabajo y tiempo. Sufre de los mismos problemas que
STRIDE: la cantidad de amenazas puede crecer rápidamente a medida que aumenta la complejidad de un sistema.
Wuyts et al., en su presentación Modelado de amenazas de privacidad efectivo y eficiente a través de
refinamientos de dominio, también notaron que la eficiencia y la efectividad del método se ven afectadas
negativamente por amenazas de aplicación genérica [12].

INSTITUTO DE INGENIERÍA DE SOFTWARE | UNIVERSIDAD DE CARNEGIE MELLON 6

Declaración de distribución A: Aprobado para publicación pública; La distribución es ilimitada

Machine Translated by Google

CVSS

El Common Vulnerability Scoring System (CVSS) es un método que “captura las principales características de una vulnerabilidad
y produce una puntuación numérica que refleja su gravedad” [37].

Fue desarrollado por NIST [38] y es mantenido por el Foro de Respuesta a Incidentes y Equipo de Seguridad (FIRST) [37]
con el apoyo y contribuciones del Grupo de Interés Especial CVSS [44]. El CVSS proporciona a los usuarios del método un
sistema de puntuación común y estandarizado dentro de diferentes plataformas cibernéticas y ciberfísicas [37, 3]. Una
puntuación CVSS se puede calcular con una calculadora que está disponible en línea [38].

Como se ilustra en la Figura 5, el CVSS consta de tres grupos de métricas (base, temporal y ambiental) con un conjunto de
métricas en cada uno [37].

Figura 5: Grupos de métricas de CVSS v3.0 [37]

Se calcula una puntuación CVSS en función de los valores asignados por un analista para cada métrica. Las ecuaciones
utilizadas para este proceso no están claras, pero todas las métricas se explican en la documentación de manera bastante
extensa.

El método se usa ampliamente, a pesar de algunas preocupaciones relacionadas con los cálculos de puntaje no transparentes
y las posibles inconsistencias producidas por diferentes "expertos" de evaluación [3]. El método CVSS se usa a menudo en
combinación con otros métodos de modelado de amenazas.

INSTITUTO DE INGENIERÍA DE SOFTWARE | UNIVERSIDAD DE CARNEGIE MELLON 7

Declaración de distribución A: Aprobado para publicación pública; La distribución es ilimitada

Machine Translated by Google

árboles de ataque

El uso de árboles de ataque para modelar amenazas es una de las técnicas más antiguas y más ampliamente aplicadas en
sistemas solo cibernéticos, así como en sistemas físicos y ciberfísicos [3]. Desarrollado por Bruce Schneider en 1999, se aplicó
inicialmente como un método propio y desde entonces se ha combinado con otros métodos y marcos [17, 3].

Los árboles de ataque son esencialmente diagramas que representan ataques a un sistema en forma de árbol. La raíz del árbol
es el objetivo del ataque, y las hojas son formas de lograr ese objetivo [17]. Cada objetivo se representa como un árbol separado.
Por lo tanto, el análisis de amenazas del sistema produce un conjunto de árboles de ataque.

Figura 6: Ejemplos de árboles de ataque [2]

Por lo general, se necesitan algunas iteraciones para descomponer el objetivo para construir el árbol. Una vez que se
identifican todos los nodos hoja, se pueden asignar marcadores de posibilidad. Estos valores deben asignarse solo después de
que se haya realizado la investigación pertinente sobre el paso [17]. Al examinar diferentes métodos para lograr el objetivo, puede
resultar obvio que esto se puede lograr de múltiples maneras.

Para incorporar estas diferentes opciones en el árbol, se deben usar los nodos AND y OR. (Consulte la Figura 6; los nodos AND
están conectados por una nota que dice "y", lo que indica que ambos nodos deben ejecutarse para pasar al siguiente paso. Los
nodos OR son todos los demás nodos). En el caso de un sistema complejo, los árboles de ataque se puede construir para cada
componente en lugar de para todo el sistema [2]. Cuando se construyen árboles de ataque, se pueden usar para tomar decisiones
de seguridad, ver si los sistemas son vulnerables a un ataque y evaluar un tipo específico de ataque [17].

Los árboles de ataque son fáciles de entender y adoptar, pero solo son útiles cuando el sistema y las preocupaciones de
seguridad se entienden bien. El método asume que los analistas tienen una gran experiencia en ciberseguridad y, por lo tanto,
no proporciona pautas para evaluar subobjetivos, ataques o riesgos [2].

En los últimos años, este método se ha utilizado a menudo en combinación con otras técnicas y dentro de marcos como
STRIDE, CVSS y PASTA [3, 2, 31].

INSTITUTO DE INGENIERÍA DE SOFTWARE | UNIVERSIDAD DE CARNEGIE MELLON 8

Declaración de distribución A: Aprobado para publicación pública; La distribución es ilimitada

Machine Translated by Google

Persona non grata

Como método de modelado de amenazas, Persona non Grata (PnG) se centra en las motivaciones y habilidades de los
atacantes humanos. Caracteriza a los usuarios como arquetipos que pueden hacer un mal uso del sistema y obliga a los
analistas a ver el sistema desde un punto de vista de uso no intencionado [23].

Cuando se usa, PnG puede ayudar a visualizar amenazas desde el lado de la contraparte, lo que puede ser útil en las primeras
etapas del modelado de amenazas [15]. La idea es “presentar” a un experto técnico a un atacante potencial del sistema y sus
habilidades, motivaciones y objetivos que ayuden al experto a ver las vulnerabilidades del sistema y los puntos de compromiso
desde el otro lado [15].

Figura 7: Ejemplos de personas no deseadas [15]

INSTITUTO DE INGENIERÍA DE SOFTWARE | UNIVERSIDAD DE CARNEGIE MELLON 9

Declaración de distribución A: Aprobado para publicación pública; La distribución es ilimitada

Machine Translated by Google

PnG es fácil de adoptar, pero rara vez se usa o se investiga. Produce pocos falsos positivos y tiene una alta
consistencia, pero tiende a detectar solo un determinado subconjunto de tipos de amenazas [15]. Esta técnica
encaja bien en el enfoque ágil, que incorpora personas.1

____________________________________________________________________________

1 http://www.agilemodeling.com/artifacts/personas.htm

INSTITUTO DE INGENIERÍA DE SOFTWARE | UNIVERSIDAD DE CARNEGIE MELLON 10

Declaración de distribución A: Aprobado para publicación pública; La distribución es ilimitada

Machine Translated by Google

Tarjetas de seguridad

Security Cards es una técnica que se centra en identificar ataques inusuales y complejos. No es un método formal sino más
bien una técnica de lluvia de ideas [41]. Con la ayuda de una baraja de cartas (ver un ejemplo en la Figura 8), los analistas
pueden responder preguntas sobre un ataque, como "¿por quién?" “¿Por qué podría ser atacado el sistema?” “¿Qué activos
son de interés?” y “¿cómo se pueden implementar estos ataques?” [15].

Figura 8: Ejemplo de tarjeta de seguridad [15]

Este método utiliza una baraja de 42 cartas para facilitar las actividades de detección de amenazas: impacto humano (9
cartas), motivaciones del adversario (13 cartas), recursos del adversario (11 cartas) y métodos del adversario (9 cartas). Las
diferentes categorías dentro de cada dimensión se muestran en la Tabla 2.

Tabla 2: Dimensiones de las tarjetas de seguridad

Impacto humano Motivaciones del adversario Recursos del adversario • Métodos del adversario •
• la biosfera • • acceso o conveniencia experiencia • un mundo futuro encubrimiento del ataque •
bienestar emocional • • curiosidad o aburrimiento ataque indirecto
bienestar financiero • datos • deseo u obsesión • impunidad • manipulación o coerción •
personales • bienestar • diplomacia o guerra • • capacidades internas ataque en varias fases • ataque
físico • relaciones • bienestar malicia o venganza • dinero • conocimiento interno • físico • procesos • ataque
social • impactos inusuales • política • protección • dinero • poder e tecnológico • métodos inusuales
religión • autopromoción • influencia • tiempo
visión del mundo
• instrumentos

• recursos inusuales

• motivaciones inusuales

Las actividades de las tarjetas de seguridad ayudan a identificar casi todos los tipos de amenazas, pero producen una gran
cantidad de falsos positivos y se utilizan mejor para abordar situaciones no estándar [15]. Además, este método rara vez se usa
en la industria.

INSTITUTO DE INGENIERÍA DE SOFTWARE | UNIVERSIDAD DE CARNEGIE MELLON 11

Declaración de distribución A: Aprobado para publicación pública; La distribución es ilimitada

Machine Translated by Google

HTM

El Método de modelado de amenazas híbridas (hTMM) fue desarrollado por el Software Engineering Institute en 2018. Consiste en una

combinación de SQUARE (Método de ingeniería de requisitos de calidad de seguridad) [45], Tarjetas de seguridad y actividades PnG. Las

características específicas del método incluyen ausencia de falsos positivos, ausencia de amenazas pasadas por alto, un resultado

coherente independientemente de quién realice el modelado de amenazas y rentabilidad [15].

Los siguientes son los pasos principales del método:

1. Identifique el sistema que va a modelar amenazas.

2. Aplique tarjetas de seguridad según las sugerencias de los desarrolladores.

3. Elimina los PnG poco probables (es decir, no hay vectores de ataque realistas).

4. Resuma los resultados utilizando el soporte de herramientas.

5. Continuar con un método formal de evaluación de riesgos.

El hTMM se aplicó en un escenario de un sistema ciberfísico [15].

INSTITUTO DE INGENIERÍA DE SOFTWARE | UNIVERSIDAD DE CARNEGIE MELLON 12

Declaración de distribución A: Aprobado para publicación pública; La distribución es ilimitada

Machine Translated by Google

Método de modelado de amenazas cuantitativas

Este método híbrido consiste en métodos de árboles de ataque, STRIDE y CVSS aplicados en sinergia. Fue presentado
durante la conferencia HotSoS2 en Pittsburgh, PA en abril de 2016 por Bradley Potteiger, Gon calo Martins y Xenofon
Koutsoukos. Los autores intentaron abordar algunos problemas apremiantes con el modelado de amenazas para sistemas
ciberfísicos que tenían interdependencias complejas entre sus componentes [3].

El primer paso del método de modelado de amenazas cuantitativas (TMM cuantitativo) es construir árboles de ataque de
componentes para las cinco categorías de amenazas de STRIDE. Esta actividad muestra las dependencias entre
categorías de ataques y atributos de componentes de bajo nivel. (Consulte la Figura 9 para ver un ejemplo). Después de
eso, se aplica el método CVSS y se calculan las puntuaciones para los componentes del árbol. (Consulte la Figura 10.)

Figura 9: Árbol de ataque de componentes [3]

Figura 10: Puntuación CVSS para el árbol de ataques de manipulación [3]

____________________________________________________________________________

2 Temas candentes en la ciencia de la seguridad

INSTITUTO DE INGENIERÍA DE SOFTWARE | UNIVERSIDAD DE CARNEGIE MELLON 13

Declaración de distribución A: Aprobado para publicación pública; La distribución es ilimitada

Machine Translated by Google

Un objetivo adicional del método es generar puertos de ataque para componentes individuales. Estos puertos de ataque
(en realidad, nodos raíz para los árboles de ataque de componentes) ilustran actividades que pueden transmitir riesgos a
los componentes conectados. La puntuación ayuda en el proceso de realizar una evaluación de riesgos del sistema. Si un
puerto de ataque depende de un nodo raíz de componente con una puntuación de alto riesgo, ese puerto de ataque
también tiene una puntuación de alto riesgo y tiene una alta probabilidad de ser ejecutado. Lo contrario también es cierto [3].

Este método se utilizó en un estudio de caso para una red de comunicaciones ferroviarias. El artículo resultante,
Modelado integrado de amenazas centrado en software y ataques para la evaluación cuantitativa de riesgos, proporciona
un recorrido detallado del método [3].

INSTITUTO DE INGENIERÍA DE SOFTWARE | UNIVERSIDAD DE CARNEGIE MELLON 14

Declaración de distribución A: Aprobado para publicación pública; La distribución es ilimitada

Machine Translated by Google

triciclo

Trike se creó como un marco de auditoría de seguridad en 2005 que utiliza el modelado de amenazas como técnica [15].
Examina el modelado de amenazas desde una perspectiva defensiva y de gestión de riesgos [42].

Trike, como con muchos otros métodos, comienza con la definición de un sistema. El analista debe construir un modelo
de requisitos enumerando y comprendiendo los actores, los activos, las acciones previstas y las reglas del sistema.
Como resultado de este paso, se puede crear una matriz actor-activo-acción, donde las columnas representan conjuntos
y las filas representan actores.

Cada celda de la matriz debe dividirse en cuatro partes, una para cada acción de CRUD (crear, leer, actualizar y eliminar).
En estas celdas, el analista debe asignar uno de tres valores: acción permitida, acción no permitida o acción con reglas.
Se debe adjuntar un árbol de reglas a cada celda [42, 43].

Después de definir los requisitos, se construye un DFD. Cada elemento se asigna a una selección de actores y como
escenarios. Al iterar a través del DFD, el analista identifica amenazas, que caen en una de dos categorías: elevaciones
de privilegios o denegaciones de servicio [42, 43]. Cada amenaza descubierta se convierte en un nodo raíz en un árbol de
ataque [42].

Para evaluar el riesgo de ataques que puedan afectar los activos a través de CRUD, Trike utiliza una escala de cinco
puntos para cada acción, en función de su probabilidad. Los actores se clasifican en escalas de cinco puntos según los
riesgos que se supone que presentan (menor número = mayor riesgo) para el activo. Además, los actores son evaluados
en una escala tridimensional (siempre, a veces, nunca) por cada acción que puedan realizar sobre cada activo.

El sistema de escala Trike parece demasiado vago para representar un método formal. Desafortunadamente, la versión
2.0 de Trike no está bien mantenida y no hay documentación, a pesar de que su sitio está en funcionamiento.

INSTITUTO DE INGENIERÍA DE SOFTWARE | UNIVERSIDAD DE CARNEGIE MELLON 15

Declaración de distribución A: Aprobado para publicación pública; La distribución es ilimitada

Machine Translated by Google

Modelado VAST

El método de modelado de amenazas visuales, ágiles y simples (VAST) fue creado por Anurag Agarwal y se basa en ThreatModeler,
una plataforma automatizada de modelado de amenazas [15]. El valor fundamental del método es la escalabilidad y la usabilidad que
permiten que se adopte en grandes organizaciones a lo largo de toda la infraestructura para producir resultados procesables y confiables
para diferentes partes interesadas [22].

Al reconocer las diferencias en las operaciones y las preocupaciones entre los equipos de desarrollo e infraestructura, VAST
requiere la creación de dos tipos de modelos: modelos de amenazas de aplicaciones y modelos de amenazas operativas.
Los modelos de amenazas de aplicaciones utilizan diagramas de flujo de procesos, que representan el punto de vista de la arquitectura.
Los modelos de amenazas operativas se crean teniendo en cuenta el punto de vista del atacante en función de los DFD [15, 22].
Este enfoque permite la integración de VAST en los ciclos de vida de desarrollo y DevOps de la organización [22].

INSTITUTO DE INGENIERÍA DE SOFTWARE | UNIVERSIDAD DE CARNEGIE MELLON dieciséis

Declaración de distribución A: Aprobado para publicación pública; La distribución es ilimitada

Machine Translated by Google

OCTAVA

El método Operationally Critical Threat, Asset, and Vulnerability Evaluation (OCTAVE) es un método de planificación y
evaluación estratégica basado en el riesgo para la ciberseguridad [36]. Fue creado por la División CERT del Instituto de
Ingeniería de Software en 2003 y refinado en 2005. OCTAVE se enfoca en evaluar los riesgos organizacionales y no
aborda los riesgos tecnológicos. Sus principales aspectos son el riesgo operacional, las prácticas de seguridad y la
tecnología [22, 43].

OCTAVA tiene tres fases, que se pueden ver en la Figura 11 [36]:

1. Cree perfiles de amenazas basados en activos. (Esta es una evaluación organizacional).

2. Identificar la vulnerabilidad de la infraestructura. (Esta es una evaluación de la infraestructura de la información).

3. Desarrollar una estrategia y planes de seguridad. (Esta es una identificación de riesgos para la crítica de la organización)
activos cal y toma de decisiones.)

Figura 11: Fases de la OCTAVA [36]

OCTAVE evalúa actividades, no procesos continuos. Está diseñado principalmente para organizaciones grandes, pero
el método OCTAVE-S se creó específicamente para organizaciones pequeñas (20 a 80 personas) [36]. El método es
profundo pero flexible. Las desventajas de OCTAVE son que el proceso requiere un compromiso de tiempo significativo y
la documentación es grande y vaga [43]. Hay actualizaciones planificadas para OCTAVE que pueden afectar sus
desventajas, pero actualmente se desconocen los efectos exactos.

INSTITUTO DE INGENIERÍA DE SOFTWARE | UNIVERSIDAD DE CARNEGIE MELLON 17

Declaración de distribución A: Aprobado para publicación pública; La distribución es ilimitada

Machine Translated by Google

Conclusión

El modelado de amenazas puede ayudar a que su producto sea más seguro y confiable. Este documento
presentó doce métodos diferentes de modelado de amenazas. Algunos se usan normalmente solos, otros se
usan junto con otros y algunos son ejemplos de cómo se pueden combinar diferentes métodos.

Elegir qué método es mejor para un proyecto requiere pensar si hay áreas específicas a las que desea apuntar
(riesgo, seguridad, privacidad), cuánto tiempo tiene para realizar el modelado de amenazas, cuánta experiencia
tiene con el modelado de amenazas, qué tan involucrado las partes interesadas quieren ser, y más. Algunas
características de cada método de modelado de amenazas se resumen en la Tabla 3. Todos estos métodos se
pueden usar dentro de un entorno ágil, según el marco de tiempo del sprint y la frecuencia con la que se repite el
modelado.

Tabla 3: Características de los métodos de modelado de amenazas

Método de modelado de amenazas Características

PASO • Ayuda a identificar técnicas de mitigación relevantes

• Es el más maduro

• Es fácil de usar pero requiere mucho tiempo

PASTA • Ayuda a identificar técnicas de mitigación relevantes

• Contribuye directamente a la gestión de riesgos •

Fomenta la colaboración entre las partes interesadas

• Contiene priorización integrada de mitigación de amenazas

• Es laborioso pero tiene una rica documentación

LINDDUN • Ayuda a identificar técnicas de mitigación relevantes

• Contiene una priorización integrada de la mitigación de amenazas

• Puede requerir mucho trabajo y mucho tiempo

CVSS • Contiene priorización integrada de mitigación de amenazas

• Tiene resultados consistentes cuando se repite

• Componentes automatizados

• Tiene cálculos de puntuación que no son transparentes

árboles de ataque • Ayuda a identificar técnicas de mitigación relevantes

• Tiene resultados consistentes cuando se repite

• Es fácil de usar si ya tiene un conocimiento profundo del sistema

Persona non grata • Ayuda a identificar técnicas de mitigación relevantes

• Contribuye directamente a la gestión de riesgos

• Tiene resultados consistentes cuando se repite

• Tiende a detectar solo algunos subconjuntos de amenazas

Tarjetas de seguridad • Fomenta la colaboración entre las partes interesadas

• Apunta a amenazas fuera de lo común

• Conduce a muchos falsos positivos

INSTITUTO DE INGENIERÍA DE SOFTWARE | UNIVERSIDAD DE CARNEGIE MELLON 18

Declaración de distribución A: Aprobado para publicación pública; La distribución es ilimitada

Machine Translated by Google

Método de modelado de amenazas Características

HTM • Contiene una priorización integrada de la mitigación de amenazas

• Fomenta la colaboración entre las partes interesadas

• Tiene resultados consistentes cuando se repite

TMM cuantitativo • Contiene priorización integrada de mitigación de amenazas • Tiene

componentes automatizados

• Tiene resultados consistentes cuando se repite

triciclo • Ayuda a identificar técnicas de mitigación relevantes

• Contribuye directamente a la gestión de riesgos •

Contiene priorización integrada de mitigación de amenazas

• Fomenta la colaboración entre las partes interesadas

• Tiene componentes automatizados

• Tiene documentación vaga e insuficiente

Modelado VAST • Ayuda a identificar técnicas de mitigación relevantes

• Contribuye directamente a la gestión de riesgos

• Contiene priorización integrada de mitigación de amenazas

• Fomenta la colaboración entre las partes interesadas

• Tiene resultados consistentes cuando se repite

• Tiene componentes automatizados

• Está explícitamente diseñado para ser escalable

• Tiene poca documentación disponible públicamente

OCTAVA • Ayuda a identificar técnicas de mitigación relevantes

• Contribuye directamente a la gestión de riesgos

• Contiene priorización integrada de mitigación de amenazas

• Fomenta la colaboración entre las partes interesadas

• Tiene resultados consistentes cuando se repite

• Está explícitamente diseñado para ser escalable

• Consume mucho tiempo y tiene documentación vaga

INSTITUTO DE INGENIERÍA DE SOFTWARE | UNIVERSIDAD DE CARNEGIE MELLON 19

Declaración de distribución A: Aprobado para publicación pública; La distribución es ilimitada

Machine Translated by Google

Bibliografía

Las URL son válidas a partir de la fecha de publicación de este documento.

[1] David, N.; David, A.; Hansen, RR; Larsen, KG; Legay, A.; Olesen, MC; y Probst, CW
Modelado de ataques técnico-sociales con autómatas cronometrados. Páginas 21-28. En Actas del 7.º
Taller internacional de ACM CCS sobre la gestión de amenazas internas a la seguridad. Jornada sobre
Seguridad Informática y de las Comunicaciones. Octubre de 2015. DOI 10.1145/2808783.2808787.

[2] Cheung, CY Técnicas de modelado de amenazas [Tesis de maestría]. Universidad Tecnológica de Delft.
Noviembre de 2016. http://www.safety-and-security.nl/uploads/cfsas/attachments/
SPM5440%20%26%20WM0804TU%20-%20Threat%20modeling%20techniques%20-
%20CY%20Cheung.pdf

[3] Potteiger, B.; Martins, G.; & Koutsoukos, X. Software y modelado de amenazas integrado centrado en
ataques para la evaluación cuantitativa de riesgos. Páginas 99-108. En Actas del Simposio y Bootcamp
sobre la ciencia de la seguridad. Abril de 2016. DOI 10.1145/2898375.2898390.

[4] Agrawal, A.; Ahmed, CM; & Chang, E. Afiche: Detección de ataques basada en la física para una entrada
sider Modelo de amenazas en un sistema ciberfísico. Páginas 821-823. En Actas de la Conferencia de
Asia sobre Seguridad Informática y de las Comunicaciones de 2018. Junio de 2018. DOI
10.1145/3196494.3201587.

[5] Datta, A. & Rahman, MA Marco de análisis de amenazas cibernéticas para el sistema de energía
basado en energía eólica. Páginas 81-92. En actas del taller de 2017 sobre seguridad y privacidad de
sistemas cibernéticos y físicos. Jornada sobre Seguridad Informática y de las Comunicaciones. Noviembre
de 2017. DOI 10.1145/3140241.3140247.

[6] Humayed, A. & Luo, B. Seguridad cibernética física para autos inteligentes: taxonomía de vulnerabilidades,
amenazas y ataques. Páginas 252-253. En Actas de la Sexta Conferencia Internacional ACM/ IEEE
sobre Sistemas Ciberfísicos. Abril de 2015. DOI 10.1145/2735960.2735992.

[7] Hasan, K.; Shetty, S.; Sokolowski, J.; & Tosh, DK Security Game for Cyber Physical Systems. Artículo 12.
En Actas del Simposio de Comunicaciones y Redes. Abril de 2018. https://dl.acm.org/citation.cfm?
id=3213212

[8] Allodi, L. & Etalle, S. Hacia un modelo realista de amenazas: mercantilización de ataques, vulnerabilidades
irrelevantes y suposiciones poco realistas. Páginas 23-26. En las actas del taller de 2017 sobre la toma
de decisiones automatizada para la ciberdefensa activa. Jornada sobre Seguridad Informática y de las
Comunicaciones. Noviembre de 2017. DOI 10.1145/3140368.3140372.

INSTITUTO DE INGENIERÍA DE SOFTWARE | UNIVERSIDAD DE CARNEGIE MELLON 20

Declaración de distribución A: Aprobado para publicación pública; La distribución es ilimitada

Machine Translated by Google

[9] Kreimel, P.; Eigner, O.; & Tavolato, P. Detección basada en anomalías y clasificación de ataques en sistemas ciberfísicos.
Artículo 40. En Actas de la XII Conferencia Internacional sobre Disponibilidad, Confiabilidad y Seguridad. Septiembre
de 2017. DOI 10.1145/3098954.3103155.

[10] Agadakos, I.; Chen, C.; Campanelli, M.; Anantharaman, P.; Hasan, M.; Copos, B.; Lepoint, T.; Locasto, M.; Ciocarlie, GF;
& Lindqvist, U. Jumping the Air Gap: modelado de rutas de ataque cibernético físico en Internet de las cosas. Páginas
37-48. En actas del taller de 2017 sobre seguridad y privacidad de sistemas cibernéticos y físicos. Jornada sobre
Seguridad Informática y de las Comunicaciones. Noviembre de 2017. DOI 10.1145/3140241.3140252.

[11] Ding, J.; Atif, Y.; Andler, SF; Lindström, B.; & Jesufeld, M. Modelado de amenazas basado en CPS para la protección de
infraestructura crítica. Revisión de evaluación de desempeño de ACM SIGMETRICS. Tomo 45. Número 2. Septiembre
2017. Páginas 129-132. DOI 10.1145/3152042.3152080

[12] Wuyts, K.; Van Landuyt, D.; Hovsepyan, A.; & Joosen, W. Privacidad eficaz y eficiente
modelado de amenazas a través de refinamientos de dominio. Páginas 1175-1178. En Actas del 33° Simposio Anual
de ACM sobre Informática Aplicada. Abril de 2018. DOI 10.1145/3167132.3167414.

[13] Sión, L.; Yskout, K.; Van Landuyt, D.; & Joosen, W. Diagramas de flujo de datos conscientes de la solución para el
modelado de amenazas de seguridad. Páginas 1425-1432. En Actas del 33° Simposio Anual de ACM sobre
Informática Aplicada. Abril de 2018. DOI 10.1145/3167132.3167285.

[14] Shostack, A. Modelado de amenazas: diseño para la seguridad. Wiley, 2014. ISBN 978-1118809990.

[15] Aguamiel, N.; Shull, F.; Vemuru, K.; & Villadsen, O. Un método híbrido de modelado de amenazas.
CMU/SEI-2018-TN-002. Instituto de Ingeniería de Software, Universidad Carnegie Mellon. 2018. http://
resources.sei.cmu.edu/library/asset-view.cfm?AssetID=516617

[16] Shull, F. Evaluación de metodologías de modelado de amenazas. Instituto de Ingeniería de Software, Carne
Universidad gie Mellon. 2016. http://resources.sei.cmu.edu/library/asset-view.cfm?as setID=474197

[17] Schneier, B. Árboles de ataque. dr. Diario de Dobb. 22 de julio de 2001. http://web.cs.du.edu/~ramki/pa pers/
attackGraphs/SchneierAttackTrees.pdf

[18] Shostack, A. Jueves de modelado de amenazas. 23 de julio de 2018 [consultado]. https://adam.shos tack.org/
blog/category/threat-modeling/threat-model-thursdays/

[19] UcedaVélez, T. Modelado de amenazas con PASTA: estudios de casos de modelado de amenazas centrado en el
riesgo. Reporte técnico. Proyecto de seguridad de aplicaciones web abiertas (OWASP). 2017.

[20] Karahasanovic, A.; Kleberger, P.; & Almgren, M. Adaptación de métodos de modelado de amenazas para la industria
automotriz. En Actas de la 15ª Conferencia ESCAR. 2017. https://research.chalmers.se/en/publication/502671

INSTITUTO DE INGENIERÍA DE SOFTWARE | UNIVERSIDAD DE CARNEGIE MELLON 21

Declaración de distribución A: Aprobado para publicación pública; La distribución es ilimitada

Machine Translated by Google

[21] Simeonova, S. Modelado de amenazas en la empresa, Parte 2: comprensión del proceso. Inteligencia de seguridad. 15 de
agosto de 2016. https://securityintelligence.com/threat-modeling-in-the-enter prise-part-2-understanding-the-process/

[22] Beyst, B. Qué método de modelado de amenazas. Modelador de amenazas. 15 de abril de 2016.
https://threatmodeler.com/2016/04/15/threat-modeling-method/

[23] Cleland-Huang, J. ¿Qué tan bien conoces a tu Personae Non Gratae? Software IEEE. Volumen 31. Número 4. Julio de 2014.
Páginas 28–31. http://ieeexplore.ieee.org/stamp/stamp.jsp?ar número=6834694

[24] Mead, N. y Shull, F. El método de modelado de amenazas híbridas [entrada de blog]. Blog SEI. 23 de abril,
2018. https://insights.sei.cmu.edu/sei_blog/2018/04/the-hybrid-threat-modeling-method.html

[25] Lawson, C. & Pratap, K. Market Guide for Security Threat Intelligence Products and Services. 2017. https://www.gartner.com/
doc/3765965/market-guide-security-threat-intelligence

[26] Hernán, S.; Lambert, S.; Shostack, A.; & Ostwald, T. Descubra fallas de diseño de seguridad usando
el enfoque STRIDE. Revista MSDN. noviembre de 2006.

[27] Howard, M. y Lipner, S. El ciclo de vida del desarrollo de la seguridad. Prensa de Microsoft. 2006.

[28] Scandariato, R.; Wuyts, K.; & Joosen, W. Un estudio descriptivo del modelado de amenazas de Microsoft
técnica. Ingeniería de requisitos. Volumen 20. Número 2. Junio de 2015. Páginas 163–180. DOI 10.1007/s00766-013-0195-2

[29] Corporación Microsoft. Herramienta de modelado de amenazas de SDL. Ciclo de vida de desarrollo de seguridad. 20 de julio,
2018 [consultado]. https://www.microsoft.com/en-us/sdl/adopt/threatmodeling.aspx

[30] Martins, G.; Bhatia, S.; Koutsoukos, X.; Stouffer, K.; Tang, C.; & Candell, R. Hacia un sistema
enfoque temático de modelado de amenazas para sistemas ciberfísicos. Páginas 1-6. En Actas de la Semana de la
Resiliencia 2015. Agosto de 2015. DOI 10.1109/RWEEK.2015.7287428.

[31] UcedaVélez, T. Real World Threat Modeling Using the PASTA Methodology. Reporte técnico.
Proyecto de seguridad de aplicaciones web abiertas (OWASP). 2012. https://www.owasp.org/images/a/aa/
AppSecEU2012_PASTA.pdf

[32] UcedaVélez, T. & Morana, MM Risk Centric Threat Modeling: Process for Attack Simula
ción y análisis de amenazas. Wiley. 2015. ISBN 978-0-470-50096-5.

[33] Leblanc, D. DREADful [entrada de blog]. Registro web de David LeBlanc. 14 de agosto de 2007.
https://blogs.msdn.microsoft.com/david_leblanc/2007/08/14/terrible/

[34] Descargas. LINDDUN: Modelado de amenazas a la privacidad. 23 de julio de 2018 [consultado]. https://dis
trinet.cs.kuleuven.be/software/linddun/download.php#

INSTITUTO DE INGENIERÍA DE SOFTWARE | UNIVERSIDAD DE CARNEGIE MELLON 22

Declaración de distribución A: Aprobado para publicación pública; La distribución es ilimitada

Machine Translated by Google

[35] Deng, M.; Wuyts, K.; Scandariato, R.; Preneel, B.; & Joosen, W. Un análisis de amenazas a la privacidad
marco: apoyando la obtención y el cumplimiento de los requisitos de privacidad. Ingeniería de requisitos. Volumen
16. Número 1. Marzo 2011. Páginas 3-32. https://link.springer.com/arti cle/10.1007/s00766-010-0115-7

[36] Alberts, C.; Dorofee, A.; Stevens, J; & Woody, C. Introducción al enfoque OCTAVE.
Instituto de Ingeniería de Software, Universidad Carnegie Mellon. Agosto de 2003. https://
resources.sei.cmu.edu/library/Asset-view.cfm?assetid=51546

[37] Common Vulnerability Scoring System v3.0: Documento de especificación. Foro de Equipos de Seguridad y Respuesta
a Incidentes. 23 de julio de 2018 [consultado]. https://www.first.org/cvss/documento de especificación

[38] Base de datos de vulnerabilidad nacional. Instituto Nacional de Normas y Tecnología. 23 de julio de 2018
[accedido]. https://nvd.nist.gov/vuln-metrics/cvss#

[39] Hanic, D. & Surkovic, A. Un modelo de ataque de sistemas autónomos de sistemas [Master's The sis]. Universidad de
Mälardalen. 2018. http://www.diva-portal.org/smash/rec ord.jsf?pid=diva2%3A1218262&dswid=-7458

[40] Kan, R.; McLaughlin, K.; Laverty, D.; y Sezer, Sakir. Modelado de amenazas basado en STRIDE para sistemas
ciberfísicos. En Actas de la Conferencia europea de tecnologías innovadoras de redes inteligentes IEEE PES de
2017. Septiembre de 2017. DOI 10.1109/ISGTEurope.2017.8260283.

[41] Denning, TA; Friedman, B.; y Kohno, T. Hogar. Tarjetas de seguridad: un conjunto de herramientas de lluvia de
ideas sobre amenazas de seguridad. 2013. http://securitycards.cs.washington.edu/index.html

[42] Saitta, P.; Larcom, B.; & Eddington M. Trike v.1 Documento de Metodología [Borrador]. OctoTriciclo.
13 de julio de 2005. http://www.octotrike.org/papers/Trike_v1_Methodology_Document-draft.pdf

[43] Stanganelli, J. Selección de un modelo de riesgo de amenazas para su organización, segunda parte. eSeguridad
Planeta. 27 de septiembre de 2016. https://www.esecurityplanet.com/network-security/selecting-a-threat-risk-
model-for-your-organization-part-two.html

[44] Sistema Común de Puntuación de Vulnerabilidad SIG. Foro de Equipos de Seguridad y Respuesta a Incidentes.
30 de julio de 2018 [consultado]. https://www.first.org/cvss/

[45] Aguamiel, N.; Hough, E.; y Stehney, T., II. Informe Técnico de Ingeniería de Requisitos de Calidad de Seguridad. CMU/
SEI-2005-TR-009. Instituto de Ingeniería de Software, Universidad Carnegie Mellon. 2005. https://
resources.sei.cmu.edu/library/asset-view.cfm?assetID=7657

INSTITUTO DE INGENIERÍA DE SOFTWARE | UNIVERSIDAD DE CARNEGIE MELLON 23

Declaración de distribución A: Aprobado para publicación pública; La distribución es ilimitada

Machine Translated by Google

Contáctenos
Instituto de Ingeniería de Software
4500 Quinta Avenida, Pittsburgh, PA 15213-2612

Teléfono: 412/268.5800 | 888.201.4479

Web: www.sei.cmu.edu
Correo electrónico: [email protected]

Derechos de autor 2018 Universidad Carnegie Mellon. Reservados todos los derechos.

Este material se basa en el trabajo financiado y apoyado por el Departamento de Defensa bajo el Contrato No.
FA8702-15-D-0002 con Carnegie Mellon University para el funcionamiento del Software Engineering Institute, un centro de investigación y desarrollo
financiado por el gobierno federal.

Los puntos de vista, las opiniones y/o los hallazgos contenidos en este material pertenecen al autor(es) y no deben interpretarse como una posición,
política o decisión oficial del gobierno, a menos que así lo indique otra documentación.

SIN GARANTÍA. ESTA UNIVERSIDAD CARNEGIE MELLON E INSTITUTO DE INGENIERÍA DE SOFTWARE

EL MATERIAL SE PROPORCIONA "TAL CUAL". LA UNIVERSIDAD CARNEGIE MELLON NO HACE
GARANTÍAS DE CUALQUIER TIPO, YA SEA EXPLÍCITA O IMPLÍCITA, SOBRE CUALQUIER ASUNTO, INCLUYENDO, ENTRE OTRAS, GARANTÍA
DE IDONEIDAD PARA EL PROPÓSITO O COMERCIABILIDAD, EXCLUSIVIDAD O RESULTADOS OBTENIDOS DEL USO DEL MATERIAL. LA
UNIVERSIDAD CARNEGIE MELLON NO HACE
CUALQUIER GARANTÍA DE CUALQUIER TIPO CON RESPECTO A LA LIBERTAD DE VIOLACIÓN DE PATENTES, MARCAS
COMERCIALES O DERECHOS DE AUTOR.

[DECLARACIÓN DE DISTRIBUCIÓN A] Este material ha sido aprobado para publicación y distribución ilimitada.
Consulte el aviso de derechos de autor para uso y distribución fuera del gobierno de EE. UU.

Uso interno:* Se otorga permiso para reproducir este material y preparar obras derivadas de este material para uso interno, siempre que se incluyan las
declaraciones de derechos de autor y “Sin garantía” con todas las reproducciones y obras derivadas.

Uso externo:* Este material puede reproducirse en su totalidad, sin modificaciones, y distribuirse libremente por escrito o en formato electrónico sin solicitar
permiso formal. Se requiere permiso para cualquier otro uso externo y/o comercial. Las solicitudes de permiso deben dirigirse al Instituto de Ingeniería de
Software a permis [email protected].

*
Estas restricciones no se aplican a las entidades gubernamentales de EE. UU.

Carnegie Mellon®, CERT®, CERT Coordination Center® y OCTAVE® están registrados en la Oficina de Marcas y Patentes de EE. UU. de la
Universidad Carnegie Mellon.

DM18-0894

INSTITUTO DE INGENIERÍA DE SOFTWARE | UNIVERSIDAD DE CARNEGIE MELLON 24

Declaración de distribución A: Aprobado para publicación pública; La distribución es ilimitada