Habilidades threat-modeling-expert
🛡️

threat-modeling-expert

Seguro

Realizar modelado de amenazas experto para diseño de sistemas seguros

Los equipos de seguridad luchan por identificar amenazas de manera sistemática durante el diseño del sistema. Esta habilidad aplica metodologías estructuradas como STRIDE y árboles de ataque para encontrar vulnerabilidades antes del despliegue.

Soporta: Claude Codex Code(CC)
📊 71 Adecuado
1

Descargar el ZIP de la skill

2

Subir en Claude

Ve a Configuración → Capacidades → Skills → Subir skill

3

Activa y empieza a usar

Pruébalo

Usando "threat-modeling-expert". Analiza un endpoint de API de login que acepta usuario/contraseña y devuelve tokens JWT

Resultado esperado:

Resultados del Análisis STRIDE:
- Spoofing: Fuerza bruta de credenciales, secuestro de sesión mediante tokens robados
- Tampering: Manipulación de tokens, interceptación y modificación de solicitudes
- Repudiation: Registros de auditoría faltantes para eventos de autenticación
- Information Disclosure: Credenciales en tránsito, mensajes de error revelando nombres de usuario válidos
- Denial of Service: Brechas de limitación de velocidad, bypass de bloqueo de cuenta
- Elevation of Privilege: Escalada de privilegios de token, manipulación de roles

Prioridad Máxima: Implementar limitación de velocidad, almacenamiento seguro de tokens y registro integral de autenticación.

Usando "threat-modeling-expert". Construir árbol de ataque para 'Robar datos de pago de clientes de plataforma de comercio electrónico'

Resultado esperado:

Raíz del Árbol de Ataque: Robar Datos de Pago
├─ Comprometer Capa de Aplicación
│ ├─ Inyección SQL en formulario de pago
│ ├─ XSS para capturar entrada de tarjeta
│ └─ Abuso de API para enumerar transacciones
├─ Comprometer Infraestructura
│ ├─ Interceptar tráfico de red
│ ├─ Acceder a copias de seguridad de base de datos
│ └─ Explotar sistemas de registro
└─ Ingeniería Social
├─ Phishing al personal de soporte
└─ Suplantar usuarios legítimos

Controles Recomendados: Validación de entrada, reglas WAF, cifrado en reposo, segmentación de red, capacitación del personal

Auditoría de seguridad

Seguro
v1 • 2/25/2026

This skill contains documentation-only content (SKILL.md) describing threat modeling methodologies. All 7 static analysis findings for 'Weak cryptographic algorithm' and 'System reconnaissance' are false positives caused by security terminology in documentation text matching pattern detectors. No executable code, cryptographic operations, or actual reconnaissance capabilities exist. Safe for publication.

1
Archivos escaneados
63
Líneas analizadas
0
hallazgos
1
Auditorías totales
No se encontraron problemas de seguridad

Patrones detectados

False Positive: Weak Cryptographic Algorithm PatternFalse Positive: System Reconnaissance Pattern
Auditado por: claude

Puntuación de calidad

38
Arquitectura
100
Mantenibilidad
87
Contenido
31
Comunidad
100
Seguridad
91
Cumplimiento de la especificación

Lo que puedes crear

Revisión de Arquitectura de Seguridad

Realizar modelado de amenazas integral durante la fase de diseño del sistema para identificar vulnerabilidades antes de que comience el desarrollo.

Análisis de Superficie de Ataque

Construir árboles de ataque para características críticas para entender rutas de explotación potenciales y priorizar defensas.

Documentación de Seguridad

Generar modelos de amenazas estructurados y requisitos de seguridad para auditorías de cumplimiento y entrega a equipos de operaciones.

Prueba estos prompts

Lluvia de Ideas Básica de Amenazas 
Analiza esta descripción del sistema usando la metodología STRIDE: [describe tu sistema]. Enumera amenazas potenciales para cada categoría STRIDE con descripciones de una oración.
Análisis de Amenazas de Flujo de Datos 
Aquí está mi diagrama de flujo de datos: [describe flujos de datos, límites de confianza y componentes]. Aplica STRIDE a cada flujo de datos y componente. Para cada amenaza identificada, proporciona una puntuación de riesgo (1-5) y mitigación recomendada.
Construcción de Árbol de Ataque 
Construye un árbol de ataque para este escenario: [describe el objetivo del ataque, p.ej., 'Acceso no autorizado a la base de datos de usuarios']. Comienza con el objetivo raíz, identifica rutas principales de ataque como nodos de primer nivel, luego expande cada ruta con técnicas específicas. Incluye estimaciones de probabilidad para nodos hoja.
Extracción de Requisitos de Seguridad 
Basado en este modelo de amenazas: [pega amenazas], extrae requisitos de seguridad específicos para cada riesgo identificado. Formatea cada requisito como: 'El sistema DEBERÁ [acción] para prevenir/mitigar [amenaza]'. Organiza los requisitos por área funcional y prioriza por puntuación de riesgo.

Mejores prácticas

  • Involucrar a desarrolladores y arquitectos en sesiones de modelado de amenazas para comprensión precisa del sistema
  • Enfocar el análisis en flujos de datos y límites de confianza en lugar de solo listas de componentes
  • Actualizar modelos de amenazas después de cada cambio significativo en la arquitectura o adición de nuevas características

Evitar

  • Realizar modelado de amenazas solo una vez al inicio del proyecto sin revisiones de seguimiento
  • Crear árboles de ataque excesivamente detallados que se convierten en documentación inmanejable
  • Identificar amenazas sin vincularlas a mitigaciones y responsables específicos

Preguntas frecuentes

¿Cuál es la diferencia entre las metodologías STRIDE y PASTA?
STRIDE categoriza amenazas (Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege) para cobertura sistemática. PASTA es un proceso centrado en riesgos de siete etapas que alinea amenazas con objetivos comerciales. Usa STRIDE para análisis a nivel de componente y PASTA para evaluaciones de riesgos alineadas con el negocio.
¿Cómo priorizo qué amenazas abordar primero?
Puntúa cada amenaza usando DREAD o similar: considera potencial de Daño, Reproducibilidad, Explotabilidad, Usuarios afectados y Descubribilidad. Aborda primero amenazas de alto daño y alta probabilidad. Factoriza el contexto comercial y requisitos regulatorios al priorizar.
¿Puede esta habilidad reemplazar una auditoría de seguridad profesional?
No. Esta habilidad proporciona guía estructurada de modelado de amenazas pero no puede reemplazar auditorías de seguridad certificadas, pruebas de penetración o evaluaciones de cumplimiento. Úsala como una herramienta de diseño proactiva junto con procesos de seguridad formales.
¿Qué tan detallados deben ser los árboles de ataque para uso práctico?
Enfócate en 2-3 niveles de profundidad para insights accionables. Muy poco profundo pierde rutas de ataque; muy profundo se vuelve inmanejable. Deja de expandir cuando los nodos hoja representen técnicas de ataque específicas y probables con mitigaciones claras.
¿Qué entradas necesito proporcionar para un modelado de amenazas efectivo?
Proporciona diagramas de arquitectura del sistema, descripciones de flujo de datos, límites de confianza, listas de activos y restricciones conocidas. Cuanto más contexto sobre el diseño del sistema y requisitos comerciales, más precisa y relevante será el análisis de amenazas.
¿Con qué frecuencia deben revisarse y actualizarse los modelos de amenazas?
Revisa los modelos de amenazas después de cada cambio significativo en la arquitectura, adición de nuevas características o incidente de seguridad. Programa revisiones trimestrales para sistemas estables. Trata los modelos de amenazas como documentos vivos que evolucionan con tu sistema.

Detalles del desarrollador

Autor

sickn33

Licencia

MIT

Repositorio

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/threat-modeling-expert

Ref.

main

Estructura de archivos

📄 SKILL.md