Misión del rol
Buscamos un/a Application Security Engineer que encuentre vulnerabilidades en los sistemas de Monato antes de que lo haga un atacante, para que la plataforma financiera opere con el nivel de seguridad que exigen los productos regulados y los clientes B2B.
¿Por qué este rol importa?
Buscamos un/a AppSec Engineer — Red Team para ser el owner del Secure SDLC y de la validación ofensiva del programa de seguridad, asegurando que ningún aplicativo crítico llegue a producción sin pasar por pruebas reales, y contribuyendo a que el equipo de Engineering construya con seguridad desde el inicio.
Lo que harás
- Operar el programa de bug bounty: plataforma, scope, triage de reportes, coordinación de remediación y métricas mensuales.
- Ejecutar y coordinar pruebas de penetración sobre aplicativos y APIs de Monato (Pagos, Finch, Conciliación), incluyendo lógica de negocio, autenticación y flujos de transacción.
- Construir y mantener el track Secure SDLC: SAST, SCA, secret scanning, SBOM y firma de imágenes en los pipelines de CI/CD para bloquear problemas antes de merge.
- Evaluar la seguridad de los sistemas de IA y agentes que Monato construye y opera: prompt injection, tool poisoning, RAG poisoning y agentic workflow abuse.
- Validar que las detecciones del Blue Team funcionan mediante simulación de adversarios (Purple Team), BAS continuo y cobertura ATT&CK verificada.
- Participar en threat modeling de arquitecturas y nuevas funcionalidades, produciendo modelos documentados para los componentes críticos de la plataforma.