Monato
Monato

Application Security Engineer

Remote (Mexico)
Employee
IT Security

Misión del rol

Buscamos un/a Application Security Engineer que encuentre y reporte vulnerabilidades en las aplicaciones, APIs, pipelines de CI/CD y sistemas de IA de Monato antes de que lo haga un atacante, para proteger la infraestructura de pagos B2B que usan nuestros clientes.

¿Por qué este rol importa?
Buscamos un/a Application Security Engineer para ser el owner del track Secure SDLC y de la validación ofensiva del programa de seguridad, asegurando que las vulnerabilidades críticas se detecten y remedien antes de llegar a producción, y contribuyendo a que Monato opere una plataforma de pagos confiable y segura en un entorno regulado.

Tasks

Lo que harás

  • Ejecutar pruebas de penetración sobre los aplicativos de Monato (Pagos, Finch, Conciliación y APIs internas y externas), cubriendo lógica de negocio, autenticación y OWASP Top 10, y coordinando pentests con proveedores externos.
  • Operar el programa de bug bounty, definiendo scope y reglas de engagement, haciendo triage de reportes y coordinando la remediación con los equipos de producto.
  • Construir el track Secure SDLC, integrando SAST, SCA, secret scanning, SBOM y firma de imágenes (Cosign + SLSA) en los pipelines de CI/CD para bloquear problemas antes del merge.
  • Evaluar la seguridad de los sistemas de IA y agentes, probando prompt injection, tool poisoning, RAG poisoning y abuso de workflows agénticos con base en OWASP LLM Top 10 y MITRE ATLAS.
  • Validar las detecciones del Blue Team, ejecutando simulaciones de TTPs del sector financiero (framework ATT&CK, BAS continuo) y ejercicios Purple Team con informe mensual de cobertura.
  • Producir threat models de los componentes críticos (pipeline de pagos, APIs externas, sistemas de IA), participando en revisiones de arquitectura y reportando al CISO el cumplimiento del Secure SDLC.

Requirements

Perfil y habilidades clave

  • 4+ años de experiencia en Application Security, Penetration Testing o Red Team, con enfoque en aplicaciones web, APIs y entornos cloud.
  • Experiencia ejecutando pruebas de penetración en aplicaciones financieras o de pagos: lógica de negocio, autorización y flujos de transacción.
  • Experiencia práctica atacando o evaluando sistemas que usan LLMs y agentes (prompt injection, jailbreaking, tool poisoning, data leakage), con OWASP LLM Top 10 y MITRE ATLAS como marcos de referencia.
  • Experiencia integrando SAST/SCA (Semgrep, CodeQL, Snyk o equivalente) y secret scanning (GitGuardian, TruffleHog) en pipelines de CI/CD con GitHub Actions o equivalente.
  • Dominio de Burp Suite Pro y scripting en Python para automatización de pruebas y análisis de resultados.
  • Conocimiento práctico de OWASP Top 10, OWASP API Security Top 10 y arquitecturas cloud (AWS) desde la perspectiva de un atacante.
  • Experiencia con herramientas de simulación adversarial: Atomic Red Team, Caldera, AttackIQ o SafeBreach.
  • Haber operado o participado activamente en un programa de bug bounty, desde el triage o el hunting.
  • Hallazgos críticos en sistemas de IA en producción (CVE, writeup o CTF), historial en HackerOne/Bugcrowd en fintech, o certificaciones OSCP, OSWE, BSCP, GWAPT o GPEN (nice to have).

Benefits

Lo que obtendrás

  • Un rol con ownership real sobre el track Secure SDLC y la validación ofensiva del programa de seguridad.
  • Exposición directa a la infraestructura de pagos B2B en México y a la seguridad de sistemas de IA en producción.
  • Espacio para experimentar, proponer y construir.
  • Crecimiento profesional acelerado dentro de una fintech en etapa de construcción y escala.
  • Cultura de trabajo flexible y enfocada en ejecución.

Acerca de Monato

En Monato construimos infraestructura financiera moderna para empresas en México, integrando servicios financieros de forma ágil y segura. Operamos en un entorno regulado donde la estabilidad y el cumplimiento son fundamentales, y diseñamos soluciones que reducen la fricción bancaria para habilitar el crecimiento de nuestros clientes. Somos un equipo orientado a la ejecución, enfocado en construir, iterar y mejorar constantemente.

Updated: 2 minutes ago
Job ID: 16448179
Report issue

Monato

51-200 employees
Data Infrastructure and Analytics

En Monato estamos construyendo infraestructura financiera escencial.

Estamos redefiniendo cómo se construyen los servicios financieros en México. Eso requiere personas con acco…

Read more
  1. Application Security Engineer