Resumen: Este puesto está destinado a un ingeniero centrado en la seguridad, responsable de proteger los activos digitales y garantizar la calidad de los productos Web3 mediante pruebas exhaustivas y gestión de infraestructura. Aspectos destacados: 1. Ser responsable de la postura de seguridad en todos los productos, previniendo violaciones. 2. Impulsar la garantía de calidad mediante pruebas automatizadas y puertas de control de calidad en CI. 3. Construir y mantener infraestructura crítica en la nube y respuesta ante incidentes. Acerca de Legacy Legacy es una billetera Web3 no custodial, fácil de usar, diseñada para proteger activos digitales mediante protección de beneficiarios y acceso fluido a DeFi. Los usuarios pueden intercambiar entre cadenas, generar rendimientos con un solo clic y salvaguardar la riqueza para la próxima generación. Legacy fue desarrollada por el equipo detrás de Decentralized Masters \- un ecosistema rentable de educación e inversión de más de 50 millones de dólares estadounidenses, con más de 4.000 inversores de alto patrimonio neto. Ya hemos lanzado nuestro producto. La demanda es fuerte. Ahora necesitamos a alguien que se haga cargo del recorrido del cliente tras la adquisición y convierta a los usuarios en suscriptores de largo plazo con un alto valor vitalicio (LTV). Acerca de la División de Software Estamos construyendo un portafolio de productos de software dentro del ecosistema Decentralized Masters, incluidos: * Legacy Wallet \- una billetera Web3 no custodial con protección de beneficiarios y acceso fluido a DeFi * Trading Bot \- herramientas automatizadas de ejecución criptográfica para inversores serios * Futuras herramientas financieras y de infraestructura para inversores Actualmente estamos construyendo el motor de retención y ciclo de vida que impulsará ingresos recurrentes a largo plazo en todos los productos. Acerca del puesto Usted será la única persona responsable de la seguridad de una plataforma que rastrea cientos de millones en activos digitales. Ese es el trabajo. Todo lo demás es secundario. Necesitamos a alguien cuya profesión sea romper cosas. Alguien que al ver una página de inicio de sesión identifique seis vectores de ataque. Alguien que al leer una solicitud de extracción detecte la vulnerabilidad de inyección que pasaron por alto dos desarrolladores senior. Alguien que permanezca despierto pensando en la campaña de phishing que aún no ha sido inventada. Si eso suena agotador, este no es su puesto. Si eso suena como un martes cualquiera, siga leyendo. Sus responsabilidades principales son la seguridad y la garantía de calidad. Usted se encarga de las pruebas de penetración, evaluaciones de vulnerabilidades, modelado de amenazas, marcos de pruebas automatizados y puertas de control de calidad en CI en todos los productos que lanzamos. También se encarga de la infraestructura: AWS, canalizaciones CI/CD, monitoreo y respuesta ante incidentes. Y como somos un equipo pequeño y experimentado, escribirá código de producción cuando las responsabilidades de seguridad y garantía de calidad estén cubiertas. Usted no es un consultor ni un auditor que simplemente marca casillas. Usted es un ingeniero que entrega productos, y cuyo código hace que todo lo demás sea más difícil de comprometer. El candidato ideal ha trabajado en importantes empresas fintech y de criptomonedas orientadas a productos, donde un único fallo de seguridad puede destruir la confianza de los usuarios de la noche a la mañana. Lo que usted gestionará Seguridad (principal) * Ser responsable de la postura de seguridad en todos los productos: Legacy, Trading Bot y plataformas futuras. Si algo sufre una violación, es su responsabilidad. Si nada se ve comprometido, es gracias a su trabajo. * Realizar pruebas de penetración, evaluaciones de vulnerabilidades y modelado de amenazas periódicas, alineadas con los estándares y metodologías de OWASP * Asegurar una cobertura completa de los diez principales riesgos de OWASP en pruebas de seguridad de aplicaciones, revisiones de código y verificaciones de despliegue * Realizar revisiones de código enfocadas en seguridad en código de frontend, backend e infraestructura, detectando lo que las revisiones de código estándar pasan por alto * Implementar y gestionar la administración de secretos (Vault, AWS Secrets Manager o KMS), controles de acceso y políticas de privilegio mínimo * Elaborar y mantener manuales de respuesta ante incidentes. Cuando algo falla, usted lidera la respuesta, dirige la revisión posterior y lanza la solución * Mantenerse a la vanguardia de vectores de ataque específicos de Web3 y criptomonedas: campañas de phishing, explotaciones de billeteras, compromisos de claves API, ataques a la cadena de suministro y engaño social * Gestionar y coordinar auditorías de seguridad externas y pruebas de penetración realizadas por firmas externas Garantía de Calidad y Pruebas (principal) * Diseñar e implementar estrategias de pruebas en todos los productos: pruebas unitarias, de integración, de extremo a extremo, de API y de regresión * Construir y mantener marcos de pruebas automatizadas y puertas de control de calidad en CI que impidan que el código defectuoso llegue a producción * Definir y supervisar métricas de calidad: cobertura de pruebas, tasa de inestabilidad, latencia en la detección de regresiones y tasa de escapes de errores * Escribir y ejecutar casos de prueba de seguridad: flujos de autenticación, controles de autorización, validación de entradas, escenarios de abuso de API y casos límite relacionados con datos financieros * Realizar pruebas tanto de caja blanca como de caja negra, aprovechando el acceso completo al código fuente para detectar problemas que una QA superficial pasaría por alto * Probar en toda la pila: interfaz de usuario de frontend, APIs de backend, consultas de bases de datos, integraciones con terceros e interacciones en cadena Infraestructura y DevOps (fundamental) * Mantener y mejorar la infraestructura en la nube en AWS mediante Infraestructura como Código (Terraform o CloudFormation) * Gestionar canalizaciones CI/CD (preferentemente GitHub Actions): pruebas automatizadas, análisis de seguridad, verificación de estilo y despliegue * Reforzar la infraestructura: seguridad de red, políticas IAM, seguridad de contenedores y aislamiento de entornos * Implementar registro, monitoreo y alertas en todos los servicios (CloudWatch, Prometheus, Grafana u equivalente) * Asegurar registros de auditoría para acciones de usuario, cambios en el sistema y eventos de acceso * Gestionar la fiabilidad en producción, la respuesta ante incidentes y la optimización de costos Desarrollo Fullstack (cuando la fortaleza esté asegurada) * Contribuir con código de producción en frontend y backend, incorporando siempre una mentalidad centrada en la seguridad en cada función que desarrolle * Desarrollar funciones, corregir errores y lanzar mejoras junto con el equipo de ingeniería * Cada línea que escriba debe mejorar el producto y hacerlo más resistente: validación de entradas, manejo de errores, autenticación y protección de datos por defecto * Participar en discusiones arquitectónicas y revisiones de código, abogando por la capacidad de prueba, la confiabilidad y la seguridad en cada decisión **Requisitos** Lo que usted aporta Obligatorios * 5 años o más en puestos de ingeniería de software con experiencia práctica significativa en seguridad y garantía de calidad. Verificaremos esto. Si su experiencia en seguridad es teórica, este no es el puesto adecuado. * Experiencia en desarrollo fullstack: puede construir y lanzar funciones tanto en frontend (React o equivalente) como en backend (Node.js, Python, Go o equivalente) * Experiencia práctica en pruebas de penetración y evaluaciones de vulnerabilidades en aplicaciones web, APIs e infraestructura en la nube * Conocimiento sólido de los estándares de OWASP, incluidos los diez principales riesgos de OWASP, la Guía de Pruebas de OWASP y las prácticas seguras de codificación de OWASP * Experiencia construyendo marcos de pruebas automatizadas e integrando pruebas en canalizaciones CI/CD * Experiencia con AWS (EC2, ECS/EKS, Lambda, VPC, IAM, S3, RDS, CloudFront, WAF) * Experiencia con Infraestructura como Código (Terraform, CloudFormation o Pulumi) * Tecnologías de contenedores: Docker y Kubernetes en entornos productivos * Competencia en scripting y automatización con Bash y Python * Experiencia con herramientas de administración de secretos (HashiCorp Vault, AWS Secrets Manager o similares) * Familiaridad con herramientas de seguridad y pruebas (Burp Suite, OWASP ZAP, Selenium, Cypress, Jest, Postman o equivalentes) * Excelentes habilidades comunicativas: puede explicar claramente los riesgos de seguridad y los compromisos de calidad a partes interesadas no técnicas Deseables * Certificaciones de seguridad: OSCP, CISSP, CompTIA Security\+, especialidad en seguridad de AWS o equivalente * Experiencia en una empresa de productos cripto, DeFi, Web3 o fintech (Coinbase, Phantom, Stripe, Casa, MetaMask, Zerion, Ramp o similares) * Familiaridad con preocupaciones específicas de seguridad Web3: seguridad de billeteras, gestión de claves, monitoreo en cadena y mitigación de phishing * Antecedentes como ingeniero de pruebas de software (SDET) o experiencia en un rol híbrido de desarrollo y pruebas * Experiencia probando sistemas financieros: flujos de pagos, integridad de libros contables, prevención de doble gasto o monitoreo de transacciones * Experiencia implementando arquitecturas de confianza cero * Participación en programas de recompensas por errores, publicaciones de CVE o contribuciones a herramientas de seguridad de código abierto **Beneficios** Lo que ofrecemos* Salario competitivo \+ incentivos basados en el desempeño vinculados a la retención y la mejora del valor vitalicio (LTV) * Exposición directa a los fundadores * Eventos presenciales del equipo * Trabajo remoto * Rol con alta responsabilidad y alto impacto