Estamos buscando un profesional técnico senior o semi-senior avanzado con experiencia comprobable en ciberseguridad aplicada a aplicaciones web y conocimientos full stack para un proyecto de auditoría y fortalecimiento de seguridad. La plataforma es un sistema web privado en desarrollo, diseñado para la gestión operativa, documental y financiera de transporte, que maneja login por roles, paneles internos, gestión de usuarios, documentos, reportes, integraciones externas y datos sensibles de clientes.
Las responsabilidades principales del proyecto incluyen:
Auditar la seguridad general de una aplicación web moderna, identificando posibles puntos débiles.
Revisar exhaustivamente los sistemas de autenticación, gestión de sesiones, uso de cookies, permisos y control de acceso basado en roles (RBAC).
Detectar y analizar vulnerabilidades comunes como XSS (Cross-Site Scripting), CSRF (Cross-Site Request Forgery), sql injection, ssrf (server-side request forgery), insecure direct object references, exposición de secretos y malas configuraciones de seguridad.
Evaluar la seguridad de las integraciones con bases de datos (Supabase/PostgreSQL), APIs externas, sistemas de almacenamiento, manejo de archivos/documentos y otros servicios externos.
Proponer e implementar mejoras de hardening para fortalecer la postura de seguridad de la aplicación.
Colaborar en la configuración de buenas prácticas de seguridad a nivel de infraestructura, incluyendo Cloudflare (WAF, rate limiting, headers de seguridad, Zero Trust Access), DNS y protección de endpoints.
Revisar el manejo de variables de entorno, claves, tokens y secretos para asegurar su correcta protección.
Generar un reporte detallado con los riesgos encontrados, su prioridad e impacto, y las recomendaciones para su mitigación.
Trabajar en estrecha colaboración con el equipo de desarrollo interno para aplicar las correcciones y mejoras necesarias.
El stack tecnológico actual o deseado incluye:
Frontend:
Next.js / React
Lenguajes: TypeScript /
Node.js
Base de Datos: Supabase / PostgreSQL
Despliegue: Vercel o entornos similares
Seguridad de Red: Cloudflare
Integraciones: APIs externas, manejo de archivos/documentos
Control de Versiones: Git / GitHub
Requisitos importantes para el perfil:
Experiencia demostrable en seguridad web y auditorías de aplicaciones.
Sólido criterio full stack, abarcando frontend, backend, base de datos, infraestructura y despliegue.
Capacidad para leer y comprender código existente, identificando problemas de seguridad reales más allá de las herramientas automáticas.
Conocimiento profundo del OWASP Top 10 y otras metodologías de seguridad web.
Experiencia práctica con autenticación, RBAC, gestión de sesiones y protección de APIs.
Será un plus si el candidato tiene experiencia en SaaS B2B, plataformas privadas, fintech, maritime/yachting, legaltech o sistemas que manejen datos sensibles.
Duración del proyecto No definido