El software está detrás de las soluciones tecnológicas que brindan muchos servicios a nuestra sociedad, lo que significa que la seguridad del software ya no debería considerarse una característica deseable, sino más bien una necesidad. La protección del software es un trabajo interminable que incluye la mejora de los controles de seguridad, pero también la comprensión de las fuentes que inducen incidentes, que en muchos casos se deben a una mala implementación o suposiciones de controles. Dado que los métodos tradicionales pueden no ser eficientes en la detección de esas suposiciones de seguridad, deben intentarse alternativas novedosas. En este sentido, la Ingeniería de Caos de Seguridad (SCE) se convierte en una metodología innovadora basada en la definición de un estado estable, una hipótesis, experimentos y métricas, que permiten identificar componentes fallidos y, en última instancia, proteger activos en escenarios de riesgo cibernético. Como una extensión de un trabajo anterior, este documento presenta ChaosXploit, un marco impulsado por SCE que emplea una base de conocimientos, compuesta por árboles de ataque, para exponer vulnerabilidades que existen en una solución de software que ha sido previamente definida como un objetivo. El uso de ChaosXploit puede ser parte de una estrategia de seguridad defensiva para detectar y corregir las malas configuraciones de software en una etapa temprana. Finalmente, se describen y ejecutan diferentes experimentos para validar la viabilidad de ChaosXploit en términos de auditoría de la seguridad de servicios administrados en la nube, es decir, los buckets de Amazon, que pueden ser propensos a malas configuraciones y, en consecuencia, ser objeto de posibles ciberataques.