El threat modeling es una pr\u00e1ctica bien establecida en la seguridad de aplicaciones. Los equipos modelan amenazas de forma rutinaria contra APIs, servicios backend y entornos de producci\u00f3n.<\/p>\n
Sin embargo, los pipelines de CI\/CD a menudo se excluyen de los ejercicios formales de threat modeling, a pesar de ser uno de los componentes m\u00e1s cr\u00edticos de los sistemas de software modernos.<\/p>\n
Esta es una brecha peligrosa.<\/p>\n
Los pipelines de CI\/CD se encuentran en la intersecci\u00f3n de entradas no confiables, privilegios elevados y salidas confiables. Son precisamente el tipo de sistema donde el threat modeling proporciona el mayor valor, y sin embargo, con frecuencia se tratan como \u00absimple automatizaci\u00f3n\u00bb.<\/p>\n
Este art\u00edculo explica c\u00f3mo realizar threat modeling de pipelines de CI\/CD de manera efectiva, con un enfoque en la identificaci\u00f3n de trust boundaries, la comprensi\u00f3n de attack paths y la priorizaci\u00f3n de controles que realmente reducen el riesgo.<\/p>\n
Los enfoques tradicionales de threat modeling a menudo asumen un l\u00edmite de sistema relativamente estable: una aplicaci\u00f3n ejecut\u00e1ndose en producci\u00f3n, con usuarios, flujos de datos y activos definidos.<\/p>\n
Los pipelines de CI\/CD rompen muchas de estas suposiciones.<\/p>\n
Un pipeline no es un sistema \u00fanico. Es una cadena din\u00e1mica de sistemas que:<\/p>\n
En otras palabras, los pipelines no son solo parte del proceso de entrega \u2014 son un mecanismo de transformaci\u00f3n de confianza.<\/p>\n
El threat modeling de pipelines de CI\/CD, por lo tanto, requiere un cambio de mentalidad:<\/p>\n
\nEl objetivo no es solo prevenir compromisos, sino comprender d\u00f3nde se crea, amplifica o viola la confianza.<\/p>\n<\/blockquote>\n
\nLo que realmente estamos protegiendo<\/h2>\n
Antes de identificar amenazas, es esencial clarificar qu\u00e9 activos es responsable de proteger un pipeline de CI\/CD.<\/p>\n
Los activos comunes del pipeline incluyen:<\/p>\n
\n
- Integridad del c\u00f3digo fuente<\/strong> \u2014 asegurar que el c\u00f3digo no sea modificado inesperadamente<\/li>\n
- Integridad del build<\/strong> \u2014 asegurar que los builds se ejecuten seg\u00fan lo previsto<\/li>\n
- Integridad de los artefactos<\/strong> \u2014 asegurar que las salidas coincidan con las entradas<\/li>\n
- Secrets y credenciales<\/strong> \u2014 tokens, claves e identidades utilizadas por la automatizaci\u00f3n<\/li>\n
- Autenticidad de los releases<\/strong> \u2014 asegurar que los releases sean leg\u00edtimos y atribuibles<\/li>\n<\/ul>\n
Un ataque exitoso a un pipeline no siempre implica robar datos o colapsar sistemas. A menudo, el objetivo del atacante es mucho m\u00e1s sutil:<\/p>\n
\nIntroducir comportamiento malicioso preservando la apariencia de legitimidad.<\/p>\n<\/blockquote>\n
\nComprender los trust boundaries en CI\/CD<\/h2>\n
Un trust boundary existe cuando datos o control cruzan de un contexto menos confiable a uno m\u00e1s confiable.<\/p>\n
En los pipelines de CI\/CD, los trust boundaries est\u00e1n en todas partes, pero rara vez son expl\u00edcitos.<\/p>\n
El threat modeling comienza identificando estos l\u00edmites y haciendo una pregunta simple:<\/p>\n
\n\u00bfQu\u00e9 suposiciones estamos haciendo sobre la confianza en este punto?<\/p>\n<\/blockquote>\n
\n1. Entradas de c\u00f3digo fuente<\/h3>\n
Los pipelines consumen c\u00f3digo fuente de repositorios, ramas, tags y pull requests. No todas estas entradas tienen el mismo nivel de confianza.<\/p>\n
\n
- Las ramas principales pueden estar restringidas y revisadas<\/li>\n
- Las ramas de features pueden estar controladas de forma laxa<\/li>\n
- Los pull requests pueden incluir contribuciones no confiables<\/li>\n<\/ul>\n
Sin embargo, muchos pipelines tratan todas las entradas de c\u00f3digo como igualmente confiables.<\/p>\n
Esto crea una superficie de ataque donde c\u00f3digo no confiable puede influir en procesos de build y deployment confiables.<\/p>\n
\n2. Resoluci\u00f3n de dependencias<\/h3>\n
Los builds modernos resuelven dependencias din\u00e1micamente desde ecosistemas externos: registros de paquetes, registros de contenedores y repositorios de artefactos.<\/p>\n
Cada paso de resoluci\u00f3n de dependencias cruza un trust boundary:<\/p>\n
\n
- Del control interno a la infraestructura externa<\/li>\n
- De entradas verificadas a c\u00f3digo de terceros<\/li>\n<\/ul>\n
El threat modeling debe considerar:<\/p>\n
\n
- Dependency confusion<\/li>\n
- Typosquatting<\/li>\n
- Paquetes upstream comprometidos<\/li>\n<\/ul>\n
Ignorar las dependencias en el threat modeling deja un attack path importante sin explorar.<\/p>\n
\n3. Runners de CI\/CD y entornos de ejecuci\u00f3n<\/h3>\n
Los runners son donde la l\u00f3gica del pipeline realmente se ejecuta. Son uno de los trust boundaries m\u00e1s cr\u00edticos \u2014 y m\u00e1s incomprendidos.<\/p>\n
Los runners ejecutan:<\/p>\n
\n
- C\u00f3digo fuente<\/li>\n
- Scripts de build<\/li>\n
- Acciones o plugins de terceros<\/li>\n<\/ul>\n
Si los runners se tratan como infraestructura confiable, pero ejecutan entradas no confiables, el trust boundary colapsa.<\/p>\n
El threat modeling debe considerar expl\u00edcitamente:<\/p>\n
\n
- Aislamiento de runners<\/li>\n
- Persistencia entre jobs<\/li>\n
- Acceso a red y sistema de archivos<\/li>\n
- Acceso a secrets<\/li>\n<\/ul>\n
\n4. Configuraci\u00f3n y orquestaci\u00f3n del pipeline<\/h3>\n
Los archivos de configuraci\u00f3n de CI\/CD definen qu\u00e9 se ejecuta, cu\u00e1ndo se ejecuta y con qu\u00e9 permisos.<\/p>\n
Son efectivamente planos de control<\/em> para el proceso de entrega.<\/p>\n
Cualquier cambio en la configuraci\u00f3n del pipeline puede:<\/p>\n
\n
- Alterar el flujo de ejecuci\u00f3n<\/li>\n
- Expandir privilegios<\/li>\n
- Introducir nuevos attack paths<\/li>\n<\/ul>\n
El threat modeling debe tratar los cambios de configuraci\u00f3n con el mismo rigor que los cambios de c\u00f3digo de producci\u00f3n.<\/p>\n
\n5. Artefactos y traspaso al deployment<\/h3>\n
El trust boundary final es el traspaso del pipeline a producci\u00f3n.<\/p>\n
En este punto, los entornos de producci\u00f3n a menudo asumen:<\/p>\n
\nSi vino del CI\/CD, es seguro.<\/p>\n<\/blockquote>\n
Esta suposici\u00f3n es precisamente lo que los atacantes explotan.<\/p>\n
Sin verificaci\u00f3n de integridad y comprobaciones de procedencia, producci\u00f3n no puede distinguir artefactos leg\u00edtimos de los envenenados.<\/p>\n
\nIdentificaci\u00f3n de attack paths comunes en CI\/CD<\/h2>\n
Una vez identificados los trust boundaries, el siguiente paso es mapear attack paths realistas.<\/p>\n
El objetivo no es enumerar cada amenaza te\u00f3rica, sino comprender c\u00f3mo los atacantes se mueven a trav\u00e9s del sistema.<\/p>\n
\nAttack path 1: Pull request a exfiltraci\u00f3n de secrets<\/h3>\n
Un attack path com\u00fan involucra:<\/p>\n
\n
- Un atacante env\u00eda un pull request<\/li>\n
- El pipeline ejecuta el c\u00f3digo del PR<\/li>\n
- Los secrets se exponen al entorno de build<\/li>\n
- El atacante exfiltra credenciales<\/li>\n<\/ol>\n
Este ataque no requiere explotar una vulnerabilidad \u2014 explota una suposici\u00f3n impl\u00edcita de confianza.<\/p>\n
\nAttack path 2: Compromiso de dependencia a envenenamiento de build<\/h3>\n
Otro path com\u00fan:<\/p>\n
\n
- Una dependencia se compromete upstream<\/li>\n
- El pipeline resuelve la dependencia<\/li>\n
- C\u00f3digo malicioso se ejecuta durante el build<\/li>\n
- Los artefactos se modifican antes de la publicaci\u00f3n<\/li>\n<\/ol>\n
Sin comprobaciones de integridad o procedencia, el artefacto envenenado puede parecer completamente leg\u00edtimo.<\/p>\n
\nAttack path 3: Manipulaci\u00f3n de la configuraci\u00f3n del pipeline<\/h3>\n
Los archivos de configuraci\u00f3n del pipeline a menudo reciben menos escrutinio que el c\u00f3digo de la aplicaci\u00f3n.<\/p>\n
Un atacante que puede modificar la configuraci\u00f3n puede:<\/p>\n
\n
- A\u00f1adir pasos de ejecuci\u00f3n ocultos<\/li>\n
- Expandir permisos silenciosamente<\/li>\n
- Redirigir las salidas de artefactos<\/li>\n<\/ul>\n
Este attack path es especialmente peligroso porque puede persistir a trav\u00e9s de m\u00faltiples builds.<\/p>\n
\nAttack path 4: Compromiso de runner y movimiento lateral<\/h3>\n
Si los runners son compartidos, persistentes o est\u00e1n mal aislados, un atacante puede:<\/p>\n
\n
- Persistir entre jobs<\/li>\n
- Robar secrets de otros pipelines<\/li>\n
- Modificar builds futuros<\/li>\n<\/ul>\n
En algunos casos, el compromiso del runner proporciona acceso a redes internas o entornos cloud.<\/p>\n
\nMapeo visual de trust boundaries<\/h2>\n
El threat modeling efectivo se beneficia de representaciones visuales.<\/p>\n
Para pipelines de CI\/CD, los diagramas deben enfocarse en:<\/p>\n
\n
- D\u00f3nde entran las entradas no confiables<\/li>\n
- D\u00f3nde aumentan los privilegios<\/li>\n
- D\u00f3nde se producen y consumen los artefactos<\/li>\n<\/ul>\n
Cada flecha en el diagrama representa una transici\u00f3n de confianza. Cada transici\u00f3n es candidata para la aplicaci\u00f3n de controles.<\/p>\n
La pregunta clave en cada l\u00edmite es:<\/p>\n
\n\u00bfQu\u00e9 garant\u00edas tenemos en este punto y c\u00f3mo se aplican?<\/p>\n<\/blockquote>\n
\nPriorizaci\u00f3n de controles basada en threat modeling<\/h2>\n
El threat modeling solo es valioso si informa la acci\u00f3n.<\/p>\n
Para pipelines de CI\/CD, los controles de mayor impacto generalmente incluyen:<\/p>\n
1. Reducir la confianza impl\u00edcita<\/h3>\n
Distinguir expl\u00edcitamente entre entradas confiables y no confiables. No exponer secrets o acciones privilegiadas a contextos no confiables.<\/p>\n
2. Aplicar el principio de m\u00ednimo privilegio<\/h3>\n
Las identidades del pipeline deben estar limitadas por job, por stage y por entorno. Evitar tokens de larga duraci\u00f3n y amplio alcance.<\/p>\n
3. Aislar los entornos de ejecuci\u00f3n<\/h3>\n
Los runners deben ser ef\u00edmeros o estar fuertemente aislados. Las cargas de trabajo no confiables nunca deben compartir contexto de ejecuci\u00f3n con las confiables.<\/p>\n
4. Verificar la integridad de los artefactos<\/h3>\n
Los artefactos deben estar firmados, atestados y verificados antes del deployment. Producci\u00f3n debe confiar en la verificaci\u00f3n \u2014 no en suposiciones.<\/p>\n
5. Tratar la configuraci\u00f3n del pipeline como c\u00f3digo de alto riesgo<\/h3>\n
Aplicar revisiones, pol\u00edticas y validaci\u00f3n a los cambios de configuraci\u00f3n de CI\/CD. Prevenir la expansi\u00f3n silenciosa de ejecuci\u00f3n o privilegios.<\/p>\n
\nErrores comunes en el threat modeling de CI\/CD<\/h2>\n
Incluso cuando las organizaciones intentan realizar threat modeling de pipelines, a menudo caen en trampas predecibles.<\/p>\n
\n
- Enfocarse solo en herramientas, no en relaciones de confianza<\/li>\n
- Asumir que \u00abinterno\u00bb significa \u00abconfiable\u00bb<\/li>\n
- Ignorar componentes de terceros<\/li>\n
- Modelar arquitecturas idealizadas en lugar de pipelines reales<\/li>\n<\/ul>\n
El threat modeling efectivo debe reflejar c\u00f3mo operan realmente los pipelines, no c\u00f3mo deseamos que operen.<\/p>\n
\nConclusi\u00f3n<\/h2>\n
Los pipelines de CI\/CD no son sistemas perif\u00e9ricos. Son centrales para la integridad, seguridad y confianza del software.<\/p>\n
El threat modeling de pipelines revela attack paths que los modelos de amenazas de aplicaciones tradicionales no detectan, porque el objetivo del atacante no es explotar el comportamiento en tiempo de ejecuci\u00f3n, sino controlar lo que se entrega en primer lugar.<\/p>\n
Al identificar trust boundaries, mapear attack paths realistas y priorizar controles aplicables, las organizaciones pueden reducir significativamente el riesgo de ataques a la cadena de suministro de software.<\/p>\n
El cambio m\u00e1s importante es conceptual:<\/p>\n
\nSi no modelas expl\u00edcitamente la confianza en tu pipeline, est\u00e1s confiando en suposiciones \u2014 y los atacantes explotan las suposiciones.<\/p>\n<\/blockquote>\n
\n