Misión del rol
Buscamos un/a Application Security Engineer que encuentre y reporte vulnerabilidades en las aplicaciones, APIs, pipelines de CI/CD y sistemas de IA de Monato antes de que lo haga un atacante, para proteger la infraestructura de pagos B2B que usan nuestros clientes.
¿Por qué este rol importa?
Buscamos un/a Application Security Engineer para ser el owner del track Secure SDLC y de la validación ofensiva del programa de seguridad, asegurando que las vulnerabilidades críticas se detecten y remedien antes de llegar a producción, y contribuyendo a que Monato opere una plataforma de pagos confiable y segura en un entorno regulado.
Tasks
Lo que harás
- Ejecutar pruebas de penetración sobre los aplicativos de Monato (Pagos, Finch, Conciliación y APIs internas y externas), cubriendo lógica de negocio, autenticación y OWASP Top 10, y coordinando pentests con proveedores externos.
- Operar el programa de bug bounty, definiendo scope y reglas de engagement, haciendo triage de reportes y coordinando la remediación con los equipos de producto.
- Construir el track Secure SDLC, integrando SAST, SCA, secret scanning, SBOM y firma de imágenes (Cosign + SLSA) en los pipelines de CI/CD para bloquear problemas antes del merge.
- Evaluar la seguridad de los sistemas de IA y agentes, probando prompt injection, tool poisoning, RAG poisoning y abuso de workflows agénticos con base en OWASP LLM Top 10 y MITRE ATLAS.
- Validar las detecciones del Blue Team, ejecutando simulaciones de TTPs del sector financiero (framework ATT&CK, BAS continuo) y ejercicios Purple Team con informe mensual de cobertura.
- Producir threat models de los componentes críticos (pipeline de pagos, APIs externas, sistemas de IA), participando en revisiones de arquitectura y reportando al CISO el cumplimiento del Secure SDLC.
Requirements
Perfil y habilidades clave
- 4+ años de experiencia en Application Security, Penetration Testing o Red Team, con enfoque en aplicaciones web, APIs y entornos cloud.
- Experiencia ejecutando pruebas de penetración en aplicaciones financieras o de pagos: lógica de negocio, autorización y flujos de transacción.
- Experiencia práctica atacando o evaluando sistemas que usan LLMs y agentes (prompt injection, jailbreaking, tool poisoning, data leakage), con OWASP LLM Top 10 y MITRE ATLAS como marcos de referencia.
- Experiencia integrando SAST/SCA (Semgrep, CodeQL, Snyk o equivalente) y secret scanning (GitGuardian, TruffleHog) en pipelines de CI/CD con GitHub Actions o equivalente.
- Dominio de Burp Suite Pro y scripting en Python para automatización de pruebas y análisis de resultados.
- Conocimiento práctico de OWASP Top 10, OWASP API Security Top 10 y arquitecturas cloud (AWS) desde la perspectiva de un atacante.
- Experiencia con herramientas de simulación adversarial: Atomic Red Team, Caldera, AttackIQ o SafeBreach.
- Haber operado o participado activamente en un programa de bug bounty, desde el triage o el hunting.
- Hallazgos críticos en sistemas de IA en producción (CVE, writeup o CTF), historial en HackerOne/Bugcrowd en fintech, o certificaciones OSCP, OSWE, BSCP, GWAPT o GPEN (nice to have).
Benefits
Lo que obtendrás
- Un rol con ownership real sobre el track Secure SDLC y la validación ofensiva del programa de seguridad.
- Exposición directa a la infraestructura de pagos B2B en México y a la seguridad de sistemas de IA en producción.
- Espacio para experimentar, proponer y construir.
- Crecimiento profesional acelerado dentro de una fintech en etapa de construcción y escala.
- Cultura de trabajo flexible y enfocada en ejecución.
Acerca de Monato
En Monato construimos infraestructura financiera moderna para empresas en México, integrando servicios financieros de forma ágil y segura. Operamos en un entorno regulado donde la estabilidad y el cumplimiento son fundamentales, y diseñamos soluciones que reducen la fricción bancaria para habilitar el crecimiento de nuestros clientes. Somos un equipo orientado a la ejecución, enfocado en construir, iterar y mejorar constantemente.