Ejecutar pruebas de penetración sobre los aplicativos de Monato (Pagos, Finch, Conciliación y APIs internas y externas), cubriendo lógica de negocio, autenticación y OWASP Top 10, y coordinando pentests con proveedores externos.
Operar el programa de bug bounty, definiendo scope y reglas de engagement, haciendo triage de reportes y coordinando la remediación con los equipos de producto.
Construir el track Secure SDLC, integrando SAST, SCA, secret scanning, SBOM y firma de imágenes (Cosign + SLSA) en los pipelines de CI/CD para bloquear problemas antes del merge.
Evaluar la seguridad de los sistemas de IA y agentes, probando prompt injection, tool poisoning, RAG poisoning y abuso de workflows agénticos con base en OWASP LLM Top 10 y MITRE ATLAS.
Validar las detecciones del Blue Team, ejecutando simulaciones de TTPs del sector financiero (framework ATT&CK, BAS continuo) y ejercicios Purple Team con informe mensual de cobertura.
Producir threat models de los componentes críticos (pipeline de pagos, APIs externas, sistemas de IA), participando en revisiones de arquitectura y reportando al CISO el cumplimiento del Secure SDLC.
Requirements
4+ años de experiencia en Application Security, Penetration Testing o Red Team, con enfoque en aplicaciones web, APIs y entornos cloud.
Experiencia ejecutando pruebas de penetración en aplicaciones financieras o de pagos: lógica de negocio, autorización y flujos de transacción.
Experiencia práctica atacando o evaluando sistemas que usan LLMs y agentes (prompt injection, jailbreaking, tool poisoning, data leakage), con OWASP LLM Top 10 y MITRE ATLAS como marcos de referencia.
Experiencia integrando SAST/SCA (Semgrep, CodeQL, Snyk o equivalente) y secret scanning (GitGuardian, TruffleHog) en pipelines de CI/CD con GitHub Actions o equivalente.
Dominio de Burp Suite Pro y scripting en Python para automatización de pruebas y análisis de resultados.
Conocimiento práctico de OWASP Top 10, OWASP API Security Top 10 y arquitecturas cloud (AWS) desde la perspectiva de un atacante.
Experiencia con herramientas de simulación adversarial: Atomic Red Team, Caldera, AttackIQ o SafeBreach.
Haber operado o participado activamente en un programa de bug bounty, desde el triage o el hunting.
Hallazgos críticos en sistemas de IA en producción (CVE, writeup o CTF), historial en HackerOne/Bugcrowd en fintech, o certificaciones OSCP, OSWE, BSCP, GWAPT o GPEN (nice to have).
Tech Stack
AWS
Cloud
Python
SDLC
Benefits
Un rol con ownership real sobre el track Secure SDLC y la validación ofensiva del programa de seguridad.
Exposición directa a la infraestructura de pagos B2B en México y a la seguridad de sistemas de IA en producción.
Espacio para experimentar, proponer y construir.
Crecimiento profesional acelerado dentro de una fintech en etapa de construcción y escala.
Cultura de trabajo flexible y enfocada en ejecución.