Modalidad: Por proyecto (freelance) · Remoto
Sobre el proyecto
En Yapsi somos una Institución de Fondos de Pago Electrónico (IFPE) regulada por la CNBV. Como entidad financiera, tenemos la obligación de aplicar pruebas de penetración periódicas. Buscamos contratar a un pentester externo independiente para ejecutar nuestra prueba de penetración externa anual, con fines de cumplimiento regulatorio, previo a una auditoría formal.
Objetivo del proyecto
Realizar pruebas de penetración (pentesting) externas sobre nuestra infraestructura y aplicaciones, identificando y validando vulnerabilidades antes de la auditoría formal, y entregando los reportes y el dictamen que la autoridad requiere.
Responsabilidades
- Ejecutar el pentest externo sobre la infraestructura y aplicaciones (web/APIs) dentro del alcance que se defina contractualmente.
- Identificar y explotar de forma controlada las vulnerabilidades, documentando la prueba de concepto (PoC) de cada hallazgo.
- Clasificar los hallazgos bajo la escala CVSS v3 y proponer remediaciones.
- Entregar el reporte ejecutivo y el reporte técnico detallado.
- Emitir y firmar la carta dictamen de independencia.
- Rol exclusivo de auditoría: el candidato únicamente audita; no participa en la corrección ni remediación de los hallazgos que encuentre.
Requisitos técnicos indispensables
- Certificaciones vigentes (al menos una, verificable por folio): OSCP (Offensive Security Certified Professional), eWPT o GPEN.
- Dominio de metodologías estándar: OWASP Top 10 / ASVS, OSSTMM o PTES.
- Experiencia comprobable auditando entornos en la nube (AWS). Este punto se valida por separado de las certificaciones, mediante evidencia de hallazgos cloud reales.
Requisitos obligatorios de independencia (cumplimiento regulatorio)
- Sin conflicto de interés: no haber sido empleado, consultor ni desarrollador de la empresa en los últimos 2 años.
- Sin lazos familiares: sin parentesco con directivos, fundadores ni personal del equipo de tecnología o seguridad.
- Rol exclusivo de auditoría: su función es únicamente auditar; no podrá participar en la corrección o remediación de los hallazgos.
Entregables
- Reporte ejecutivo (para la dirección).
- Reporte técnico detallado con evidencias de explotación (PoC) y remediaciones sugeridas, bajo escala CVSS v3.
- Carta dictamen de independencia firmada (documento que se entrega a la autoridad).
Sueldo: $25,000.00 - $35,000.00 al mes
Pregunta(s) de postulación:
- ¿Cuentas con al menos una de estas certificaciones vigentes: OSCP, eWPT o GPEN?
- ¿Ejecutas tus pruebas de penetración bajo una metodología estándar reconocida (OWASP Top 10 / ASVS, OSSTMM o PTES)?
- ¿Tienes experiencia comprobable auditando entornos en la nube AWS?
Lugar de trabajo: Empleo remoto