Application Security con experiencia evaluando aplicaciones web y APIs en entornos empresariales. Analizo aplicaciones web y APIs desde la perspectiva ofensiva para identificar vulnerabilidades, analizar y medir su impacto para después colaborar con los equipos de desarrollo en su remediación.
Combino Application Security, DevSecOps y Verification Testing, lo que me permite comprender el ciclo completo de una vulnerabilidad: desde su detección hasta la validación de la corrección y la mejora del proceso que la originó.
A mi perfil técnico sumo más de una década previa en gestión de riesgos y cumplimiento, lo que me da una visión real del impacto de negocio y facilita la comunicación con perfiles técnicos y de dirección.
Realizo evaluaciones manuales de aplicaciones web y APIs utilizando metodologías como OWASP WSTG y ASVS para detectar vulnerabilidades explotables antes de que lleguen al entorno productivo.
Valido la eficacia de las correcciones mediante verification testing, reduciendo falsos positivos y asegurando que las vulnerabilidades han sido mitigadas correctamente.
Analizo el impacto técnico y de negocio de cada hallazgo utilizando estándares como CVSS y elaboro documentación adaptada tanto para desarrollo como para dirección.
Incorporo controles en el ciclo de desarrollo SDLC (SAST, DAST, CI/CD) para reducir vulnerabilidades desde fases tempranas.
Tecnologías, metodologías y herramientas con las que trabajo habitualmente en evaluaciones de seguridad de aplicaciones y procesos DevSecOps.
Cada evaluación sigue un proceso estructurado, de principio a fin.
Cada caso documenta objetivo, metodología, hallazgos, impacto y mitigación.