Echo es una red social mobile-first donde los usuarios dejan mensajes —llamados “echos”— anclados a coordenadas GPS reales. Cada echo solo puede leerse estando físicamente cerca del lugar donde fue dejado (a 100 metros o menos), lo que convierte a la ciudad en un mapa de historias por descubrir. Es un producto ya desarrollado y en funcionamiento, actualmente en proceso de publicación en Google Play.
Estado actual:
App web (PWA) en producción, con dominio propio.
App nativa Android (Capacitor) compilada y firmada, en proceso de subida a Google Play.
Backend propio operativo, base de datos en la nube, emails transaccionales y analítica integrados.
Funcionalidades ya implementadas: cuentas de usuario, publicación de echos con categorías, cápsulas del tiempo, canciones adjuntas, hilos de respuesta, reacciones, guardados, seguimiento de lugares, sistema de moderación y notificaciones de proximidad.
Stack técnico:
Backend:
Node.js (módulos nativos, sin frameworks).
Base de datos: Redis (Upstash).
Frontend: html, css y javascript vanilla + leaflet (mapas).
App nativa: Capacitor (Android).
Infraestructura: Render (app), Netlify (landing), Cloudflare (DNS y seguridad), Resend (emails), PostHog (analítica).
Lo que buscamos:
Buscamos un/a profesional de seguridad para auditar el código y la infraestructura de Echo de forma independiente. Ya implementamos medidas de seguridad de base (headers, CSP, rate-limiting, hashing de contraseñas, control de acceso, etc.); Buscamos una validación externa que detecte lo que se nos pueda haber escapado.
Tareas / alcance:
Revisión del código backend (
Node.js) y frontend.
Auditoría de seguridad de la aplicación web: autenticación y sesiones, autorización (idor), validación de entradas, xss/inyección, rate-limiting, manejo de secretos, cors y headers de seguridad.
Revisión de la configuración de infraestructura (Cloudflare, Render, Upstash).
Revisión de la app nativa (Capacitor/Android).
Pruebas de penetración sobre la app en un entorno a acordar.
Requisitos:
Experiencia comprobable en seguridad de aplicaciones web (OWASP Top 10).
Conocimientos de
Node.js.
Experiencia con pentesting y herramientas (Burp Suite, owasp zap, etc.).
Deseable: experiencia con Capacitor/Android, Redis y Cloudflare.
Entregables:
Informe de auditoría con hallazgos clasificados por severidad y recomendaciones accionables.
Reunión de devolución y priorización.
Opcional: re-test luego de aplicadas las correcciones.
Plazo de Entrega: No definido