Ingeniero de Seguridad DevOps

Descripción

Resumen: Este puesto es para un ingeniero centrado en la seguridad, responsable de la seguridad y la garantía de calidad de una plataforma que rastrea cientos de millones en activos digitales, gestionando pruebas de penetración, modelado de amenazas y marcos automatizados de pruebas. Aspectos destacados: 1. Asumir la postura de seguridad en todos los productos, evitando violaciones. 2. Liderar la respuesta a incidentes, las revisiones posteriores y las correcciones. 3. Contribuir con código de producción con una mentalidad centrada primero en la seguridad. Sobre Legacy Legacy es una billetera Web3 no custodial, fácil de usar, diseñada para proteger activos digitales mediante protección de beneficiarios y acceso fluido a DeFi. Los usuarios pueden intercambiar entre cadenas, generar rendimientos con un solo clic y salvaguardar su patrimonio para la próxima generación. Legacy es desarrollada por el equipo detrás de Decentralized Masters: un ecosistema rentable de educación e inversión de más de 50 millones de dólares estadounidenses, con más de 4.000 inversores de alto patrimonio neto. Ya hemos lanzado nuestro producto. La demanda es fuerte. Ahora necesitamos a alguien que se haga cargo del recorrido del cliente tras la adquisición y convierta a los usuarios en suscriptores a largo plazo con un alto valor vitalicio (LTV). Sobre la División de Software Estamos construyendo un portafolio de productos de software dentro del ecosistema Decentralized Masters, incluidos: * Billetera Legacy: una billetera Web3 no custodial con protección de beneficiarios y acceso fluido a DeFi * Bot de trading: herramientas automatizadas de ejecución criptográfica para inversores serios * Futuras herramientas de infraestructura financiera e inversionista Actualmente estamos construyendo el motor de retención y ciclo de vida que impulsará los ingresos recurrentes a largo plazo en todos los productos. Sobre el puesto Serás la única persona responsable de la seguridad de una plataforma que rastrea cientos de millones en activos digitales. Ese es el trabajo. Todo lo demás es secundario. Necesitamos a alguien cuya profesión sea romper cosas. Alguien que al ver una página de inicio de sesión identifique seis vectores de ataque. Alguien que al leer una solicitud de extracción detecte la vulnerabilidad de inyección que pasaron por alto dos desarrolladores senior. Alguien que pase noches despierto pensando en la campaña de phishing que aún no ha sido inventada. Si eso suena agotador, este no es tu puesto. Si eso suena como un martes cualquiera, sigue leyendo. Tus responsabilidades principales son la seguridad y la garantía de calidad. Tú gestionas las pruebas de penetración, las evaluaciones de vulnerabilidades, el modelado de amenazas, los marcos automatizados de pruebas y las puertas de control de calidad en CI para cada producto que lanzamos. También gestionas la infraestructura: AWS, pipelines de CI/CD, monitoreo y respuesta a incidentes. Y, dado que somos un equipo pequeño y experimentado, escribirás código de producción cuando las responsabilidades de seguridad y QA estén cubiertas. No eres un consultor ni un auditor que simplemente marca casillas. Eres un ingeniero que entrega productos, cuyo código hace que todo lo demás sea más difícil de vulnerar. El candidato ideal ha trabajado en importantes empresas fintech y cripto orientadas a productos, donde un único fallo de seguridad puede destruir la confianza de los usuarios de la noche a la mañana. Lo que asumirás Seguridad (principal) * Asumir la postura de seguridad en todos los productos: Legacy, Bot de trading y futuras plataformas. Si algo es vulnerado, es tu responsabilidad. Si nada es vulnerado, es gracias a tu trabajo. * Realizar pruebas de penetración regulares, evaluaciones de vulnerabilidades y modelado de amenazas alineados con los estándares y metodologías de OWASP * Garantizar cobertura completa de la lista OWASP Top 10 en pruebas de seguridad de aplicaciones, revisiones de código y verificaciones de despliegue * Realizar revisiones de código enfocadas en seguridad en código frontend, backend e infraestructura, detectando lo que las revisiones estándar pasan por alto * Implementar y gestionar la gestión de secretos (Vault, AWS Secrets Manager o KMS), controles de acceso y políticas de privilegio mínimo * Crear y mantener manuales de respuesta a incidentes. Cuando algo falla, tú lideras la respuesta, realizas la revisión posterior y entregas la corrección * Mantenerte a la vanguardia de los vectores de ataque específicos de Web3 y criptomonedas: campañas de phishing, explotaciones de billeteras, compromisos de claves API, ataques a la cadena de suministro e ingeniería social * Gestionar y coordinar auditorías de seguridad externas y pruebas de penetración realizadas por firmas externas Garantía de calidad y pruebas (principal) * Diseñar e implementar estrategias de prueba en todos los productos: pruebas unitarias, de integración, de extremo a extremo, de API y de regresión * Construir y mantener marcos automatizados de pruebas y puertas de control de calidad en CI que eviten que el código defectuoso llegue a producción * Definir y supervisar métricas de calidad: cobertura de pruebas, tasa de inestabilidad (flakiness), latencia en la detección de regresiones y tasa de errores que escapan a las pruebas * Escribir y ejecutar casos de prueba de seguridad: flujos de autenticación, controles de autorización, validación de entradas, escenarios de abuso de API y casos límite relacionados con datos financieros * Realizar tanto pruebas de caja blanca como de caja negra, aprovechando el acceso completo al código base para detectar problemas que pasarían desapercibidos para una QA superficial * Probar en toda la pila: interfaz de usuario frontend, APIs backend, consultas a bases de datos, integraciones con terceros e interacciones en cadena Infraestructura y DevOps (fundamental) * Mantener y mejorar la infraestructura en la nube en AWS utilizando Infraestructura como Código (Terraform o CloudFormation) * Gestionar pipelines de CI/CD (preferentemente GitHub Actions): pruebas automatizadas, análisis de seguridad, verificación sintáctica (linting) y despliegue * Reforzar la infraestructura: seguridad de red, políticas IAM, seguridad de contenedores y aislamiento de entornos * Implementar registro, monitoreo y alertas en todos los servicios (CloudWatch, Prometheus, Grafana u equivalentes) * Garantizar registros de auditoría para acciones de usuario, cambios en el sistema y eventos de acceso * Gestionar la fiabilidad en producción, la respuesta a incidentes y la optimización de costos Desarrollo fullstack (cuando la fortaleza esté asegurada) * Contribuir con código de producción en frontend y backend, incorporando siempre una mentalidad centrada primero en la seguridad en cada característica que desarrolles * Construir características, corregir errores y entregar mejoras junto con el equipo de ingeniería * Cada línea que escribas debe mejorar el producto y hacerlo más difícil de vulnerar: validación de entradas, manejo de errores, autenticación y protección de datos por defecto * Participar en discusiones arquitectónicas y revisiones de código, abogando por la capacidad de prueba, la fiabilidad y la seguridad en cada decisión **Requisitos** Lo que aportas Obligatorios * 5 años o más en puestos de ingeniería de software con experiencia práctica significativa en seguridad y garantía de calidad. Verificaremos esto. Si tu experiencia en seguridad es teórica, este no es el puesto adecuado. * Experiencia en desarrollo fullstack: puedes construir y entregar características tanto en frontend (React o equivalente) como en backend (Node.js, Python, Go o equivalente) * Experiencia práctica en pruebas de penetración y evaluaciones de vulnerabilidades en aplicaciones web, APIs e infraestructura en la nube * Conocimientos sólidos prácticos de los estándares OWASP, incluida la lista OWASP Top 10, la Guía de Pruebas OWASP y las prácticas seguras de codificación OWASP * Experiencia construyendo marcos automatizados de pruebas e integrándolos en pipelines de CI/CD * Experiencia con AWS (EC2, ECS/EKS, Lambda, VPC, IAM, S3, RDS, CloudFront, WAF) * Experiencia con Infraestructura como Código (Terraform, CloudFormation o Pulumi) * Tecnologías de contenedores: Docker y Kubernetes en entornos productivos * Competencia en scripting y automatización con Bash y Python * Experiencia con herramientas de gestión de secretos (HashiCorp Vault, AWS Secrets Manager o similares) * Familiaridad con herramientas de seguridad y pruebas (Burp Suite, OWASP ZAP, Selenium, Cypress, Jest, Postman o equivalentes) * Excelentes habilidades comunicativas: puedes explicar claramente los riesgos de seguridad y los compromisos de calidad a partes interesadas no técnicas Deseables * Certificaciones de seguridad: OSCP, CISSP, CompTIA Security+, Especialidad en Seguridad de AWS o equivalente * Experiencia en una empresa de productos cripto, DeFi, Web3 o fintech (Coinbase, Phantom, Stripe, Casa, MetaMask, Zerion, Ramp o similares) * Familiaridad con preocupaciones específicas de seguridad en Web3: seguridad de billeteras, gestión de claves, monitoreo en cadena y mitigación de phishing * Antecedentes como ingeniero de pruebas de software (SDET) o experiencia en un rol híbrido de desarrollo y pruebas * Experiencia probando sistemas financieros: flujos de pagos, integridad de libros contables, prevención de doble gasto o monitoreo de transacciones * Experiencia implementando arquitecturas de confianza cero * Participación en programas de recompensas por errores (bug bounty), publicaciones de CVE o contribuciones a herramientas de seguridad de código abierto **Beneficios** Lo que ofrecemos* Salario competitivo + incentivos basados en el desempeño vinculados a la retención y la mejora del valor vitalicio (LTV) * Exposición directa a los fundadores * Reuniones fuera de las oficinas con el equipo * Trabajo remoto * Rol con alta autonomía y alto impacto