Buscamos un/a ingeniero/a de nivel intermedio para identificar, gestionar y remediar vulnerabilidades de aplicaciones a lo largo del ciclo de vida del desarrollo de software (CVDS). Esta posición desempeña un papel clave en el mantenimiento de nuestra postura de seguridad en aplicaciones web, móviles y basadas en la nube. Los candidatos idóneos contarán con una profunda curiosidad técnica y experiencia práctica en análisis de vulnerabilidades, evaluaciones de seguridad, priorización y coordinación de las acciones de remediación.
Ejecutar y apoyar evaluaciones de vulnerabilidades de aplicaciones (SAST, DAST, SCA y revisión manual de código), garantizando que los hallazgos sean precisos, aplicables y pertinentes para el riesgo de la aplicación.
Validar los resultados de los escáneres automáticos, realizar análisis de falsos positivos y hacer seguimiento de los hallazgos hasta su remediación, incluyendo la reverificación para confirmar la efectividad de las correcciones.
Gestionar múltiples iniciativas de seguridad de aplicaciones de forma simultánea, cumpliendo plazos estrictos en un entorno de ritmo elevado.
Priorizar vulnerabilidades en función del impacto en el negocio, la explotabilidad, la exposición y la probabilidad, aplicando las mejores prácticas del sector (p. ej., puntuación CVSS).
Desarrollar y mantener paneles de control e informes que hagan seguimiento de métricas de vulnerabilidades, tales como distribución por severidad, SLA de remediación y Tiempo Medio de Remediación (MTTR).
Apoyar la integración de flujos de trabajo de análisis de seguridad y gestión de vulnerabilidades en las canalizaciones CI/CD, aprovechando las herramientas y la automatización existentes.
Facilitar la planificación de la remediación proporcionando recomendaciones aplicables y coordinando el análisis de causa raíz.
Apoyar el modelado de amenazas y las evaluaciones de riesgo de aplicaciones, con foco en la detección de patrones de diseño inseguros.
Participar, cuando sea necesario, en actividades de respuesta ante vulnerabilidades de alta gravedad o de día cero (zero-day), incluyendo el análisis de impacto y las acciones de remediación coordinadas.
Contribuir al desarrollo de políticas y normativas relacionadas con los controles de seguridad de aplicaciones y en la nube.
Titulación universitaria (Grado) en Tecnologías de la Información, Ciberseguridad, Ingeniería Informática o disciplina afin, o experiencia profesional equivalente demostrable.
Entre 5 y 7 años de experiencia relevante en seguridad de aplicaciones y/o gestión de vulnerabilidades.
Sólidos conocimientos de las clases de vulnerabilidades más comunes (p. ej., OWASP Top 10) y de los principios de arquitectura segura.
Dominio de Burp Suite para pruebas de seguridad manuales de aplicaciones web y APIs, incluyendo la validación de hallazgos automatizados e identificación de vulnerabilidades complejas de autenticación, autorización y lógica de negocio.
Experiencia práctica con herramientas como Burp Suite, Fortify, Checkmarx, SonarQube, Black Duck, Tenable y herramientas comunes de descubrimiento de redes (p. ej., Nmap).
Conocimiento de los marcos NIST, MITRE ATT&CK y los benchmarks CIS.
Competencia en programación y scripting en lenguajes como Python, Java, .NET o similares.
Excelentes habilidades de documentación, comunicación y gestión de partes interesadas.
