
Breve introducción respecto de la relación de la Contrucción de Software Seguro y la Triada CID: Confidencialidad, Integridad y Disponibilidad.
Definición del concepto fundamental de la Confidencialidad y su importancia para la construcción del Sotfware
Presentación de clasificaicón de datos según su estado en el tiempo
Definición del concepto fundamental de la Integridad y su importancia para la construcción del Sotfware
Definición del concepto fundamental de la Disponibilidad y su importancia para la construcción del Sotfware
Para cerrar la sección introductoria, se presentan las etapas y momentos en el Ciclo de Vida del Software desde una perspectiva pragmática
Primer acercamiento al Modelado de Amenazas
Se presentan los términos y nomenclatura base para el modelado de amenazas, además de un breve listado de las principales metodologías
E1. Definir requerimientos
E2. Precisar información
E4. Identificar amenazas con STRIDE
E5. Decidir acciones apoyados en DREAD
Introducción general a Microsoft Threat Modeling Tool
Ejemplo de la creación de varios niveles DFD en un mismo modelo diseñado con Microsoft Threat Modeling
Ejemplo de la creación de varios niveles DFD en un mismo modelo diseñado con Microsoft Threat Modeling
Edición de plantillas (templates) de Microsoft Threat Modeling Tool
Creación de una plantilla básica con Microsoft Threat Modeling Tool
Creación de un stencil para la representación de elementos personalizados con Microsoft Threat Modeling Tool
Creación de una amenaza personalizada con Microsoft Threat Modeling Tool
Modifcación de propiedad en amenazas existentes en una plantilla de Microsoft Threat Modeling Tool
Utilización de Threat Dragon versión desktop 1.6
Utilizar Threat Dragon para documentar multiples niveles DFD y diagramas en demanda
Presentación del curso: sección modelado de amenazas apoyado con Claude AI
En esta clase conocemos el sistema PImage, el caso de estudio que usaremos a lo largo de toda la sección para aplicar las metodologías STRIDE y DREAD con ayuda de Claude AI. Aprenderás a leer un Diagrama de Flujo de Datos (DFD), identificarás los componentes de PImage y conocerás la hoja de ruta de las cinco etapas del proceso de modelado de amenazas.
Al finalizar esta clase el estudiante será capaz de:
Instalar Claude Code.
Autenticar Claude Code con su cuenta de Anthropic.
Crear la estructura de proyecto para el análisis de PImage.
Configurar el archivo `CLAUDE.md` de proyecto con el contexto del sistema a analizar.
Verificar que Claude responde con conocimiento del sistema PImage.
Cargar el contexto completo de PImage en Claude Code
Obtener confirmación de que Claude entiende el DFD, los flujos y los supuestos
Interpretar las observaciones de Claude y decidir si ajustar el DFD
Identificar todos los actores del sistema y sus niveles de confianza
Comprender qué es una superficie de ataque y cómo priorizarla
Usar Claude para mapear actores a flujos de datos y superficies
Preparar el análisis STRIDE con visión de riesgo real
Entender la anatomía de un prompt STRIDE efectivo
Conocer las 6 categorías y qué amenazas genera cada una en sistemas web
Aprender a estructurar la salida de Claude para construir la tabla STRIDE
Aplicar Spoofing, Tampering y Repudiation al componente Sistema WEB
Obtener amenazas específicas de Claude con el patrón de prompts aprendido
Construir la primera mitad de la tabla STRIDE del Sistema WEB
Aplicar Information Disclosure, DoS y Elevation of Privilege al Sistema WEB
Completar la tabla STRIDE del componente central de PImage
Aprender a pedir a Claude que resuma y agrupe las amenazas de un componente
Aplicar las 6 categorías STRIDE al módulo de Autenticación de PImage
Identificar amenazas de sesión, fuerza bruta y bypass de autenticación
Documentar las amenazas T18–T27 en la tabla STRIDE maestra
Aplicar las 6 categorías STRIDE al módulo de Verificación/Aprobación
Identificar amenazas de evasión de moderación, archivos maliciosos y manipulación de estado
Documentar las amenazas T28–T35 en la tabla STRIDE maestra
Aplicar las 6 categorías STRIDE al Almacén de Imágenes
Entender por qué la superficie "baja" sigue teniendo amenazas relevantes
Documentar las amenazas T36–T41 en la tabla STRIDE maestra
Comprender que los flujos de datos también son superficie de ataque
Aplicar STRIDE a los flujos F1 y F2 que cruzan el límite de confianza
Documentar las amenazas T42–T47 en la tabla STRIDE maestra
Consolidar las 47 amenazas identificadas en una tabla maestra sin duplicados
Usar Claude para detectar amenazas redundantes y organizarlas por componente
Obtener el artefacto final de la Sección 3 listo para el análisis DREAD
Comprender las 5 dimensiones DREAD y la escala 1–3
Entender cómo estructurar el prompt DREAD para obtener puntuaciones justificadas
Aprender cuándo y cómo cuestionar las puntuaciones que Claude propone
Preparar el patrón de trabajo para las clases 14 y 15
Aplicar DREAD a las 10 amenazas de mayor impacto potencial de PImage
Usar la técnica del "prompt por lotes" para mayor eficiencia
Identificar las primeras amenazas candidatas al rango crítico (14–15)
Documentar puntuaciones con sus justificaciones
Completar la puntuación DREAD para las amenazas T03–T50 restantes
Usar prompts por lotes grandes para procesar rápidamente
Identificar amenazas de prioridad media y baja
Tener la tabla DREAD completa lista para construir el ranking
Construir el ranking ordenado de todas las amenazas de PImage
Agrupar por nivel de prioridad (crítica, alta, media, baja)
Identificar los patrones: qué supuestos de diseño concentran las amenazas críticas
Producir el artefacto final de la Sección 4 listo para las mitigaciones
Aprender la estructura del prompt de mitigación
Entender los tres tipos de control: preventivo, detectivo, correctivo
Ver un ejemplo completo con T39 (la amenaza #1 del ranking)
Aprender cuándo una mitigación resuelve el supuesto raíz y cuándo solo mitiga el síntoma
Aplicar la técnica de mitigación por supuesto raíz (más eficiente que amenaza por amenaza)
Obtener controles concretos para los 4 supuestos que concentran las amenazas críticas
Ver cómo una sola corrección (HTTPS) elimina el 28% del backlog completo
Documentar las mitigaciones con el formato listo para el plan de remediación
Convertir la tabla de mitigaciones en un plan de remediación ordenado y accionable
Agrupar los controles en tres fases: quick wins, controles estructurales, auditoría
Calcular el impacto por fase (porcentaje del backlog resuelto)
Construir el argumento ejecutivo para presentar el plan al equipo
Conocer la estructura de un informe de threat modeling completo
Usar Claude para generar el informe a partir de los artefactos del módulo
Aprender a revisar el informe generado para detectar inconsistencias antes de entregarlo
Producir el documento final presentable de PImage
Ver el proceso completo del módulo en una sola imagen
Aprender cómo adaptar los prompts del curso a cualquier sistema propio
Conocer la biblioteca de prompts reutilizables del módulo
Entender los próximos pasos y recursos para seguir aprendiendo
En esta clase presento un primer experimento utilizando el agente Claude para realizar el análisis de Threat Modeling. Durante el ejercicio trabajamos con dos modelos distintos de Claude y documentamos cada una de las interacciones realizadas.
El objetivo es que, como estudiante, puedas analizar y contrastar el trabajo generado por un agente de IA, evaluando su razonamiento, sus propuestas y sus limitaciones. De esta manera, podrás identificar cómo integrar este tipo de herramientas en tus propios procesos de modelado de amenazas y mejorar tus prácticas de análisis de seguridad.
Es muy importante que revises en detalle los archivos adjuntos de la clase, ya que allí se encuentra la documentación completa de las interacciones, decisiones y resultados obtenidos durante el experimento.
Video completo sin cortes del caso de estudio PImage publicado en la sección 3 del curso.
La detección temprana de amenazas es una de las prácticas más importantes para construir software seguro, reducir riesgos y tomar mejores decisiones de arquitectura desde las primeras etapas del desarrollo.
En este curso aprenderás a aplicar Threat Modeling de forma práctica y profesional para analizar sistemas, descubrir amenazas, priorizar riesgos y definir mitigaciones efectivas antes de que los problemas de seguridad lleguen a producción.
A lo largo del curso trabajarás con enfoques ampliamente utilizados en la industria como STRIDE y DREAD, y aprenderás a utilizar herramientas de apoyo como Microsoft Threat Modeling Tool y OWASP Threat Dragon para documentar diagramas, flujos, límites de confianza y posibles vulnerabilidades en aplicaciones y sistemas reales.
Además, el curso incorpora contenido actualizado sobre Threat Modeling asistido con IA, donde aprenderás a usar Claude AI como copiloto analítico para acelerar y enriquecer el proceso. Verás cómo apoyarte en IA para validar diagramas de flujo de datos, identificar superficies de ataque, aplicar STRIDE componente por componente, puntuar amenazas con DREAD, proponer mitigaciones y consolidar informes de seguridad más completos en menos tiempo, sin reemplazar el criterio humano.
Este enfoque te permitirá pasar de la teoría a la práctica con un proceso claro, estructurado y reutilizable en proyectos reales. No se trata solo de conocer conceptos, sino de aprender a ejecutar el trabajo real de modelado de amenazas con mayor velocidad, profundidad y consistencia.
El curso está dirigido a desarrolladores de software, arquitectos de software, profesionales de ciberseguridad, ingenieros DevSecOps y líderes técnicos que deseen fortalecer sus habilidades en análisis de amenazas y documentación de riesgos de seguridad. También es ideal para quienes ya conocen los fundamentos de STRIDE y DREAD y quieren dar el siguiente paso incorporando herramientas modernas basadas en inteligencia artificial a su flujo de trabajo.
Al finalizar el curso, tendrás la capacidad de:
modelar amenazas sobre sistemas reales de forma estructurada;
construir y validar diagramas de flujo de datos;
identificar amenazas usando STRIDE;
priorizar riesgos con DREAD;
proponer mitigaciones accionables;
documentar hallazgos de forma profesional;
y aplicar IA de manera responsable para acelerar el análisis sin perder rigurosidad técnica.
Si quieres aprender a diseñar software más seguro, incorporar una práctica de seguridad de alto valor en tu proceso de desarrollo y aprovechar la IA de forma útil y aplicada, este curso te dará un método claro, actual y directamente utilizable en el mundo profesional.