Application Security Engineer
Mexico City - Mexico
Job Summary
Misión del rol
Buscamos un/a Application Security Engineer que encuentre y reporte vulnerabilidades en las aplicaciones APIs pipelines de CI/CD y sistemas de IA de Monato antes de que lo haga un atacante para proteger la infraestructura de pagos B2B que usan nuestros clientes.
Por qué este rol importa
Buscamos un/a Application Security Engineer para ser el owner del track Secure SDLC y de la validación ofensiva del programa de seguridad asegurando que las vulnerabilidades críticas se detecten y remedien antes de llegar a producción y contribuyendo a que Monato opere una plataforma de pagos confiable y segura en un entorno regulado.
Tasks
Lo que harás
- Ejecutar pruebas de penetración sobre los aplicativos de Monato (Pagos Finch Conciliación y APIs internas y externas) cubriendo lógica de negocio autenticación y OWASP Top 10 y coordinando pentests con proveedores externos.
- Operar el programa de bug bounty definiendo scope y reglas de engagement haciendo triage de reportes y coordinando la remediación con los equipos de producto.
- Construir el track Secure SDLC integrando SAST SCA secret scanning SBOM y firma de imágenes (Cosign SLSA) en los pipelines de CI/CD para bloquear problemas antes del merge.
- Evaluar la seguridad de los sistemas de IA y agentes probando prompt injection tool poisoning RAG poisoning y abuso de workflows agénticos con base en OWASP LLM Top 10 y MITRE ATLAS.
- Validar las detecciones del Blue Team ejecutando simulaciones de TTPs del sector financiero (framework ATT&CK BAS continuo) y ejercicios Purple Team con informe mensual de cobertura.
- Producir threat models de los componentes críticos (pipeline de pagos APIs externas sistemas de IA) participando en revisiones de arquitectura y reportando al CISO el cumplimiento del Secure SDLC.
Requirements
Perfil y habilidades clave
- 4 años de experiencia en Application Security Penetration Testing o Red Team con enfoque en aplicaciones web APIs y entornos cloud.
- Experiencia ejecutando pruebas de penetración en aplicaciones financieras o de pagos: lógica de negocio autorización y flujos de transacción.
- Experiencia práctica atacando o evaluando sistemas que usan LLMs y agentes (prompt injection jailbreaking tool poisoning data leakage) con OWASP LLM Top 10 y MITRE ATLAS como marcos de referencia.
- Experiencia integrando SAST/SCA (Semgrep CodeQL Snyk o equivalente) y secret scanning (GitGuardian TruffleHog) en pipelines de CI/CD con GitHub Actions o equivalente.
- Dominio de Burp Suite Pro y scripting en Python para automatización de pruebas y análisis de resultados.
- Conocimiento práctico de OWASP Top 10 OWASP API Security Top 10 y arquitecturas cloud (AWS) desde la perspectiva de un atacante.
- Experiencia con herramientas de simulación adversarial: Atomic Red Team Caldera AttackIQ o SafeBreach.
- Haber operado o participado activamente en un programa de bug bounty desde el triage o el hunting.
- Hallazgos críticos en sistemas de IA en producción (CVE writeup o CTF) historial en HackerOne/Bugcrowd en fintech o certificaciones OSCP OSWE BSCP GWAPT o GPEN (nice to have).
Benefits
Lo que obtendrás
- Un rol con ownership real sobre el track Secure SDLC y la validación ofensiva del programa de seguridad.
- Exposición directa a la infraestructura de pagos B2B en México y a la seguridad de sistemas de IA en producción.
- Espacio para experimentar proponer y construir.
- Crecimiento profesional acelerado dentro de una fintech en etapa de construcción y escala.
- Cultura de trabajo flexible y enfocada en ejecución.
Acerca de Monato
En Monato construimos infraestructura financiera moderna para empresas en México integrando servicios financieros de forma ágil y segura. Operamos en un entorno regulado donde la estabilidad y el cumplimiento son fundamentales y diseñamos soluciones que reducen la fricción bancaria para habilitar el crecimiento de nuestros clientes. Somos un equipo orientado a la ejecución enfocado en construir iterar y mejorar constantemente.
About Company
En Monato estamos construyendo infraestructura financiera escencial.Estamos redefiniendo cómo se construyen los servicios financieros en México. Eso requiere personas con accountability: gente que asuma responsabilidad total por su impacto que enfrenta la complejidad con criterio y qu ... View more