Luis Pedro
Application Security

Luis P.

Pentesting Web · API Security · DevSecOps
SCROLL
sobre mí

Pienso como un atacante para construir software en el que se pueda confiar.

Application Security con experiencia evaluando aplicaciones web y APIs en entornos empresariales. Analizo aplicaciones web y APIs desde la perspectiva ofensiva para identificar vulnerabilidades, analizar y medir su impacto para después colaborar con los equipos de desarrollo en su remediación.

Combino Application Security, DevSecOps y Verification Testing, lo que me permite comprender el ciclo completo de una vulnerabilidad: desde su detección hasta la validación de la corrección y la mejora del proceso que la originó.

A mi perfil técnico sumo más de una década previa en gestión de riesgos y cumplimiento, lo que me da una visión real del impacto de negocio y facilita la comunicación con perfiles técnicos y de dirección.

Actualmente continúo especializándome en pentesting web y seguridad de APIs mediante investigación técnica, laboratorios prácticos y proyectos propios.
qué hago

Del análisis ofensivo a la corrección sostenible.

01

Security Assessment

Realizo evaluaciones manuales de aplicaciones web y APIs utilizando metodologías como OWASP WSTG y ASVS para detectar vulnerabilidades explotables antes de que lleguen al entorno productivo.

02

Verification Testing

Valido la eficacia de las correcciones mediante verification testing, reduciendo falsos positivos y asegurando que las vulnerabilidades han sido mitigadas correctamente.

03

Risk Analysis

Analizo el impacto técnico y de negocio de cada hallazgo utilizando estándares como CVSS y elaboro documentación adaptada tanto para desarrollo como para dirección.

04

Secure Development

Incorporo controles en el ciclo de desarrollo SDLC (SAST, DAST, CI/CD) para reducir vulnerabilidades desde fases tempranas.

experiencia

Trayectoria

2026—Actualidad
Application Security Analyst
Accenture
  • Evaluaciones de seguridad sobre aplicaciones web y APIs para cliente del sector energético, en solitario y en equipo. Siguiendo OWASP (Top 10, ASVS, WSTG), combinando pentesting manual con SAST y DAST.
  • Ciclo completo de gestión de vulnerabilidades: detección, triaje, clasificación por CVSS y verification testing de remediaciones.
  • Documentación rigurosa, bitácora técnica, evidencias reproducibles y elaboración del informe ejecutivo con distribución de riesgo por severidad.
  • Colaboración con equipos de desarrollo para la corrección de vulnerabilidades.
2025-2026
DevSecOps Intern
Berger-Levrault
  • Integración de controles de seguridad en el SDLC de productos SaaS mediante SAST, DAST y CI/CD.
  • Automatización de análisis dinámicos con OWASP ZAP para reducir tareas manuales y mejorar la detección temprana de vulnerabilidades.
  • Testing de seguridad de aplicaciones y APIs (Burp Suite, Postman, OWASP ZAP).
2025
Colaboraciones técnicas
TSS Ciberseguridad
  • Docencia en Data Security dirigida a perfiles profesionales.
  • Elaboración de documentación técnica y material formativo.
stack

Stack técnico

Tecnologías, metodologías y herramientas con las que trabajo habitualmente en evaluaciones de seguridad de aplicaciones y procesos DevSecOps.

Especialidades

Application SecurityWeb Application SecurityAPI Security DevSecOpsSecure Software Development Lifecycle (SSDLC)Vulnerability ManagementVerification Testing

Metodologías y estándares

OWASP Top 10OWASP ASVSOWASP WSTG OWASP API Security Top 10CVSSCWE

Evaluación ofensiva

Authentication TestingAuthorization TestingBusiness Logic Testing Session Management TestingInput ValidationSQL InjectionCross-Site Scripting (XSS)Server-Side Request Forgery (SSRF)Insecure Direct Object References (IDOR)

Herramientas

Burp Suite ProfessionalOWASP ZAPPostman ffufNmapSonarQubeInvictiDefectDojoTrivy

DEVSECOPS

SASTDASTGitLab CI/CD GitAzure DevOpsDocker

Desarrollo y scripting

PythonBashSQLGroovy

SISTEMAS

LinuxWindows
metodología

Cómo trabajo

Cada evaluación sigue un proceso estructurado, de principio a fin.

01Reconocimiento
02Detección (manual + SAST/DAST)
03Triaje y validación
04Clasificación CVSS
05Evidencias reproducibles
06Informe ejecutivo
07Verification Testing
proyectos

Proyectos destacados

Cada caso documenta objetivo, metodología, hallazgos, impacto y mitigación.

Automatización de escaneos DAST en CI/CD

· DevSecOps
Contexto
Integración de análisis DAST en el pipeline CI/CD de una plataforma SaaS para sustituir revisiones manuales por controles automáticos de seguridad.
Objetivo
Automatizar la ejecución de análisis dinámicos en cada despliegue, generando informes reutilizables y detección temprana de vulnerabilidades.
Tecnologías
OWASP ZAP · GitLab CI/CD · Docker · Groovy · YAML.
Metodología
Pipeline declarativo con preparación, escaneo autenticado (Spider, AJAX Spider y Active Scan) y generación automática de informes parametrizados.
Implementación
Desarrollo de un script Groovy (HTTP Sender) para validar cabeceras de seguridad e integración de comprobaciones adicionales como fuzziing, según las necesidades del proyecto.
Resultado
Proceso de análisis repetible, trazable y automatizado, reduciendo trabajo manual y mejorando la detección temprana de vulnerabilidades.
Confidelcialidad
Se han omitido configuraciones, credenciales y datos internos de la organización.
Lecciones aprendidas
La automatización y parametrización de los análisis facilita su reutilización entre entornos e integra la seguridad desde las primeras fases del desarrollo.
Valor aportado
Más allá de la automatización técnica, el proyecto contribuyó a integrar controles de seguridad en el ciclo de desarrollo, favoreciendo la detección temprana de vulnerabilidades, la estandarización del proceso de análisis y una mayor consistencia en las evaluaciones de seguridad.
credenciales

Certificaciones

Offensive Security
CEH
Blue Team
CSA
Especialización
Google CybersecurityCRPO CPPS
En preparación
BSCPCEH Practical

Contacto

Conectemos.