VerSprite, líder mundial en modelado de amenazas basado en riesgos y creadora de la metodología PASTA (Process for Attack Simulation and Threat Analysis), anunció hoy la disponibilidad general de Fork (www.forktm.com), una plataforma de modelado continuo de amenazas para aplicaciones, junto con Knife, una plataforma de pruebas adversariales para aplicaciones web y puntos de conexión de API web impulsada por IA y supervisada por especialistas. En conjunto, ambas soluciones hacen posible un nuevo enfoque de seguridad para el desarrollo de software: las aplicaciones se diseñan de forma segura, se someten a un modelado continuo de amenazas y se validan mediante pruebas integradas en el propio ciclo de desarrollo.
Con este lanzamiento, VerSprite responde a un desafío que todos los responsables de seguridad conocen, pero que pocas herramientas han logrado resolver: el modelado de amenazas es hoy más importante que nunca, especialmente en una era impulsada por la IA. Sin embargo, sigue siendo un proceso lento y manual, basado en marcos concebidos para un panorama de amenazas muy distinto del actual.
El problema: el modelado de amenazas nunca fue tan importante, pero la mayoría de las herramientas sigue respondiendo a un paradigma de 2005
Durante las últimas dos décadas, el modelado de amenazas para aplicaciones se basó principalmente en STRIDE, un acrónimo que clasifica los principales vectores de ataque en suplantación de identidad (spoofing), manipulación (tampering), repudio (repudiation), divulgación de información (information disclosure), denegación de servicio (denial of service) y elevación de privilegios (elevation of privilege). Si bien STRIDE resulta útil para esa clasificación, nunca fue concebido como una metodología. No incorpora inteligencia de amenazas en tiempo real, no evalúa el impacto en el negocio y sus categorías estáticas no reflejan los comportamientos de los atacantes que hoy definen el riesgo, como la persistencia, la extorsión, el ransomware de doble extorsión, los ataques a la cadena de suministro o las nuevas superficies de ataque introducidas por las aplicaciones impulsadas por IA.
Como consecuencia, el modelado de amenazas suele convertirse en un cuello de botella. Con frecuencia se aborda como un ejercicio puntual, con abundante documentación, que llega demasiado tarde al ciclo de desarrollo, queda desactualizado apenas cambia el software y rara vez se vincula con las pruebas necesarias para comprobar si una amenaza representa un riesgo real. A medida que las organizaciones aceleran el desarrollo de software e incorporan IA en toda su infraestructura tecnológica, la brecha entre la velocidad con la que evoluciona el software y la lentitud con la que se identifican y evalúan los riesgos se convirtió en un riesgo cada vez mayor.
La solución: modelado de amenazas centrado en el riesgo para el desarrollo ágil
Fork lleva la metodología PASTA a la práctica. Se trata de la única metodología de modelado de amenazas centrada en el riesgo y alineada con los objetivos del negocio, desarrollada conjuntamente por Tony UcedaVelez, fundador y director ejecutivo de VerSprite. En lugar de clasificar las amenazas de forma abstracta, las siete etapas de PASTA recorren el proceso desde los objetivos del negocio hasta la superficie de ataque, la descomposición de la aplicación, el análisis de amenazas, la evaluación de debilidades y vulnerabilidades, el modelado de ataques y, por último, el análisis del riesgo y su impacto. Así, permite identificar los escenarios más probables y los de mayor impacto para la organización.
Fork adapta ese enfoque al ritmo del desarrollo ágil y permite a los equipos elaborar, en menos de dos horas, un modelo de amenazas priorizado en función del riesgo, que se mantiene actualizado desde el primer ciclo de desarrollo. Entre sus principales capacidades se destacan:
- Árboles de ataque optimizados mediante IA. La IA de Fork depura automáticamente el árbol de ataque de cada aplicación, elimina el ruido y permite a los analistas concentrarse en las rutas de ataque viables y de mayor impacto, en lugar de dedicar tiempo a escenarios meramente teóricos.
- Modelos contextualizados con inteligencia de amenazas. Cada modelo incorpora inteligencia de amenazas cibernéticas en tiempo real, la información más reciente sobre vulnerabilidades de toda la pila tecnológica del producto y vectores de ataque viables, validados mediante pruebas adversariales reales.
- Taxonomías alineadas con los estándares del sector. La plataforma correlaciona automáticamente los hallazgos con los principales marcos de referencia de MITRE y OWASP, entre ellos CWE, CVE con puntuación EPSS, CAPEC, ATT&CK, D3FEND y ASVS, para facilitar la aplicación de medidas de mitigación específicas y técnicamente fundamentadas.
- Una fórmula propietaria para calcular el riesgo residual. A medida que finalizan las pruebas o cambian las condiciones, Fork recalcula el riesgo residual para ofrecer una visión precisa y actualizada del nivel de exposición.
- Un panel unificado. Las amenazas del sector, la superficie de ataque y la inteligencia disponible convergen en un único entorno colaborativo para los equipos de seguridad, ingeniería, producto y negocio.
Del diseño a la validación: llega Knife
Un modelo de amenazas identifica las rutas de ataque más relevantes. Knife permite comprobar cuáles de ellas representan un riesgo real.
VerSprite presenta Knife, una plataforma de pruebas adversariales para aplicaciones web y puntos de conexión de API web impulsada por IA y supervisada por especialistas, desarrollada sobre la base de más de dos décadas de experiencia acreditada y reconocida del equipo BREAKERS OffSec de VerSprite en seguridad ofensiva. Mientras Fork define la hoja de ruta para las pruebas adversariales, Knife ejecuta ese plan al combinar la velocidad y la escalabilidad de la IA con la supervisión de especialistas para comprobar, en condiciones reales, si esas rutas de ataque son realmente viables.
La integración cierra un ciclo que durante años mantuvo separados el modelado de amenazas y las pruebas. A partir de un modelo elaborado en Fork, los equipos pueden solicitar pruebas específicas y bajo demanda sobre determinadas debilidades o patrones de ataque. Knife ejecuta la evaluación; luego, los resultados se incorporan al modelo y Fork recalcula automáticamente el riesgo residual. Así, el modelado de amenazas y las pruebas adversariales dejan de ser procesos independientes para convertirse en un sistema continuo que se actualiza automáticamente.
Un nuevo modelo operativo: AI SecOps
“El futuro de la seguridad de productos y del software pasa por un modelo integrado de AI SecOps, en el que los productos se diseñan y prueban de forma segura como parte del propio proceso de desarrollo, en lugar de incorporar la seguridad una vez finalizado. STRIDE le dio a la industria un lenguaje común. PASTA le aportó una metodología. Ahora, Fork y Knife le brindan la velocidad operativa necesaria: modelado continuo de amenazas y pruebas integradas impulsadas por IA que mantienen el ritmo del desarrollo del software y de la evolución de los atacantes”.
— Tony UcedaVelez, director ejecutivo y fundador de VerSprite y coautor de la metodología PASTA
Visibilidad operativa mediante integraciones profundas
Fork está diseñado para potenciar, y no reemplazar, las herramientas de seguridad que las empresas ya utilizan. Gracias a sus integraciones con el ecosistema de AppSec —que abarcan herramientas de análisis estático y dinámico de aplicaciones (SAST y DAST), análisis de composición de software, escaneo de vulnerabilidades, gestión de la postura de seguridad en la nube, gestión de la superficie de ataque cibernético (CASM), plataformas de pruebas de penetración y soluciones de gestión de servicios de TI—, Fork transforma hallazgos aislados en una visión dinámica del riesgo. Entre las integraciones disponibles y previstas en la hoja de ruta se encuentran ServiceNow, Veracode, Snyk, Semgrep, Checkmarx, OpenCTI, Qualys, Tenable, Mandiant y Archer, entre otras.
El resultado es una visibilidad operativa en tiempo real. A medida que se completan las pruebas continuas o bajo demanda y sus resultados se incorporan al sistema, el modelo de amenazas y el riesgo residual del producto se actualizan al mismo ritmo que el desarrollo. De este modo, los responsables de seguridad y de producto disponen en todo momento de una visión actualizada de los posibles riesgos, su probabilidad de ocurrencia y el impacto que podrían tener en el negocio.
Disponibilidad
Fork ya está disponible. La edición gratuita Fork Community admite un único modelo de amenazas para aplicaciones con incorporación de vulnerabilidades mediante SBOM u OVAL, mientras que Fork Enterprise amplía las capacidades de la plataforma con un número ilimitado de aplicaciones y equipos, todas las integraciones, autenticación única (SSO), controles de acceso granulares y registros de auditoría. Fork Enterprise PT incorpora además pruebas adversariales bajo demanda, impulsadas por Knife y el equipo BREAKERS de VerSprite, que pueden solicitarse directamente desde el modelo de amenazas. Asimismo, VerSprite ofrece Threat Modeling as a Service, un servicio destinado a organizaciones que buscan capacitación especializada y servicios gestionados de modelado de amenazas.
Para obtener más información, solicitar una demostración o probar Fork de forma gratuita, visite www.forktm.com.
Acerca de VerSprite
VerSprite es una empresa global de ciberseguridad especializada en modelado de amenazas basado en riesgos, seguridad ofensiva y servicios gestionados de seguridad. Fundada en 2007 y con sede en Atlanta, Georgia, VerSprite es la creadora de la metodología PASTA (Process for Attack Simulation and Threat Analysis) y colabora con empresas de la lista Fortune 500 y organizaciones dedicadas al desarrollo de productos de todo el mundo para reducir el riesgo cibernético mediante un enfoque estructurado, basado en datos y orientado al análisis del comportamiento de los atacantes. Para obtener más información, visite www.versprite.com.
Acerca de Fork
Fork es la plataforma de modelado continuo de amenazas para aplicaciones de VerSprite. Basada en la metodología PASTA, permite a los equipos de seguridad, ingeniería y producto elaborar en menos de dos horas modelos de amenazas centrados en el riesgo, respaldados por inteligencia de amenazas en tiempo real y datos de vulnerabilidades de toda la pila tecnológica, y mantenerlos alineados con la evolución de las aplicaciones. Además, integra pruebas adversariales impulsadas por IA mediante Knife.
El texto original en el idioma fuente de este comunicado es la versión oficial autorizada. Las traducciones solo se suministran como adaptación y deben cotejarse con el texto en el idioma fuente, que es la única versión del texto que tendrá un efecto legal.
Vea la versión original en businesswire.com: https://www.businesswire.com/news/home/20260626740795/es/
«El comunicado en el idioma original es la versión oficial y autorizada del mismo. Esta traducción es solamente un medio de ayuda y deberá ser comparada con el texto en idioma original, que es la única versión del texto que tendrá validez legal».
Con el respaldo de la metodología PASTA, centrada en el riesgo, y de dos décadas de experiencia reconocida en seguridad ofensiva, la plataforma integrada permite elaborar modelos de amenazas en un único ciclo de desarrollo de seguridad y confirmar los riesgos identificados mediante pruebas impulsadas por IA con supervisión de especialistas. – Business Wire
