AppSec Engineer
¡Hola! Somos Cashea 👋 y nuestra misión es devolverle a los venezolanos la oportunidad de acceder al crédito a través de un modelo de negocio BNPL (buy now, pay later).
Desde nuestro lanzamiento en 2022, nos hemos dedicado a promover la inclusión financiera. Hoy contamos con más de 9 millones de usuarios activos, tanto consumidores como comercios, y nos hemos convertido en una marca de confianza en Venezuela, ganándonos el corazón y la mente de las personas.
Resumen del rol
El AppSec Pentester (Web, Mobile & API) es responsable de planificar, ejecutar y documentar pruebas de penetración sobre aplicaciones web, mobile y APIs de la compañía. Colabora con equipos de desarrollo y DevSecOps para identificar, explotar y remediar vulnerabilidades, aportando una visión ofensiva que ayude a mejorar continuamente la postura de seguridad. Tendrá foco especial en nuestras aplicaciones mobile y APIs, y podrá participar en ejercicios de red team como threads models y pruebas físicas de oficinas cuando aplique.
Responsabilidades
Planificar, ejecutar y documentar pentests sobre aplicaciones web, mobile (Android/iOS) y APIs.
Aplicar metodologías y marcos de referencia (OWASP Web Top 10, OWASP API Security, OWASP MASVS/MSTG, etc.).
Utilizar herramientas como Burp Suite (o similares), proxys, scanners, fuzzers y herramientas para análisis.
Diseñar y ejecutar casos de prueba enfocados en autenticación, autorización, manejo de sesiones, validación de input, criptografía y exposición de datos sensibles.
Generar PoC técnicas y reproducibles que demuestren el impacto de las vulnerabilidades encontradas.
Trabajar en conjunto con los equipos de desarrollo para priorizar, remediar y re-testear hallazgos.
Colaborar con el equipo de AppSec/DevSecOps en actividades de Threat Modeling y purple team.
Participar en ejercicios de red teaming cuando se requiera, incluyendo simulaciones de ataques avanzados.
Elaborar reportes claros y accionables para audiencias técnicas y no técnicas (ingeniería, producto, management).
Aportar a la mejora continua de estándares de desarrollo seguro, checklists y guías internas para web, mobile y APIs.
Requisitos
Experiencia comprobable en pentesting de aplicaciones web, mobile y/o APIs.
Conocimientos sólidos de OWASP Top 10, OWASP API Security y guías OWASP para mobile (MASVS/MSTG).
Manejo de herramientas de pentest: Burp Suite, OWASP ZAP, proxys HTTP, fuzzers, herramientas de análisis estático/dinámico y, para mobile, herramientas de instrumentación/emulación.
Buen entendimiento de mecanismos de autenticación/autorización modernos (JWT, OAuth2, OIDC, etc.).
Conocimientos de redes, HTTP/HTTPS, DNS y conceptos básicos de seguridad en entornos cloud.
Capacidad para escribir scripts o pequeñas herramientas en Python, JavaScript, Bash u otros lenguajes para automatizar pruebas o explotación.
Habilidad para documentar hallazgos de forma clara, estructurada y orientada a la remediación.
Valoramos
Experiencia en red team (simulaciones de adversario, ejercicios de intrusión física, phishing, etc.).
Certificaciones ofensivas/red team (OSCP, eCPPT, eJPT, CRTP, CRTO u otras similares).
Experiencia previa en fintech o entornos de alta criticidad y disponibilidad.
Participación en bug bounty programs, CTFs o contribuciones a la comunidad de seguridad.
Mentalidad purple team, con foco en colaborar con AppSec/DevSecOps para fortalecer detección y defensa.
Por qué te encantará trabajar en Cashea
En Cashea tenemos una cultura de trabajo basada en la confianza y el propósito. Si quieres saber por qué somos el lugar ideal para ti, estos son nuestros valores fundamentales:
No trabajamos en piloto automático. Todo lo que hacemos y compartimos —dentro y fuera— es intencional. Nos apasiona crear ideas siendo plenamente conscientes del impacto que tienen en nuestros usuarios.
Tu creatividad y curiosidad son tus activos más importantes.
Tu voz importa. Escuchamos y abrimos espacio para las ideas y el feedback. Aquí todos pertenecen; lo que es importante para ti, lo es para nosotros.
Valoramos la transparencia. La claridad nos mantiene conectados y con los pies en la tierra.
Por último, pero no menos importante, nos enfocamos en el impacto real. Todo lo que hacemos está destinado a marcar la diferencia.
¿Te identificas? ¡Postúlate ahora, nos encantaría conocerte!
- Departamento
- Ingeniería
- Ubicaciones
- Bogotá
- Estado remoto
- Completamente remoto