Job Description

Liderar el programa de Offensive Security del banco, identificando y explotando brechas reales antes que los adversarios, a través de operaciones Red/Purple Team, emulación de APTs y bug bounty, reduciendo de forma medible la superficie de ataque para proteger de amenazas dirigidas al banco.

• Liderar el programa Red Team/Purple Team del banco, definir OKRs y métricas de cobertura ofensiva (MITRE ATT&CK), gestionar presupuesto y proveedores externos de pentesting.

• Diseñar metodología de pentesting (PTES, OWASP WSTG, NIST 800-115) y emulación de adversarios alineada al perfil de amenazas del sector financiero ecuatoriano.

• Presentar al CISO y Comité de Riesgos hallazgos críticos con impacto cuantificado en términos de negocio (pérdida potencial, exposición regulatoria SB, MTTR de remediación)

• Diseñar y operar el programa de bug bounty y disclosure responsable: triage, validación, pago a investigadores externos y métricas de ROI del programa.

• Ejecutar ejercicios de emulación de adversarios (Cobalt Strike, Caldera, Atomic Red Team) basados en TTPs reales de grupos que atacan banca (FIN7, Lazarus, Carbanak)

• Liderarel ciclo de vida del desarrollo seguro mediante threat modeling de iniciativas, security gates automatizados en pipelines CI/CD (SAST, DAST, SCA, IaC, secret scanning), code review ofensivo sobre componentes de alto riesgo, integrado a un programa de seguridad con el propósito de reducir el costo de remediación al detectar vulnerabilidades antes de producción.

• Título en Ingeniería en Sistemas, Tecnologías de la Información, Ciberseguridad, Telecomunicaciones o carreras afines.

• Deseable especialización, diplomado o maestría en Ciberseguridad, Seguridad Ofensiva, Ethical Hacking o Gestión de Riesgos Tecnológicos.

• Formación complementaria en estándares y frameworks de seguridad: NIST, MITRE ATT&CK, OWASP, ISO 27001, Cyber Kill Chain y PTES.

• Certificaciones técnicas deseables:

  • OSCP

  • OSEP / OSCE

  • CRTO / CRTP

  • CEH

  • PNPT

  • CompTIA Security+ o equivalentes

Experiencia

• Más de 5 años de experiencia en ciberseguridad, con enfoque en seguridad ofensiva.

• Mínimo 3 años ejecutando ejercicios de Red Team y pruebas de penetración avanzadas.

• Experiencia práctica (hands-on) en evaluaciones de seguridad sobre:

  • Aplicaciones web y móviles.

  • Infraestructura interna y externa.

  • Active Directory.

  • Redes corporativas y entornos cloud.

• Experiencia en simulación de adversarios, explotación controlada y validación de controles de seguridad.

• Participación en proyectos de fortalecimiento de ciberseguridad en instituciones financieras o sectores altamente regulados.

• Experiencia trabajando bajo estándares regulatorios y marcos de cumplimiento aplicables al sector bancario.

• Deseable experiencia liderando iniciativas ofensivas, coordinando proveedores especializados o acompañando auditorías técnicas.

Conocimientos

• Metodologías de seguridad ofensiva y operaciones Red Team.

• Ethical Hacking avanzado y pruebas de penetración.

• Simulación de amenazas y tácticas adversarias basadas en MITRE ATT&CK.

• Seguridad en Active Directory, escalamiento de privilegios y movimientos laterales.

• Explotación y análisis de vulnerabilidades en aplicaciones, sistemas y redes.

• Seguridad en ambientes Windows, Linux, cloud y contenedores.

• Manejo de herramientas especializadas como:

  • Cobalt Strike

  • BloodHound

  • Burp Suite Professional

  • Nessus

  • Metasploit

  • Impacket

  • Nmap