silent4business
Analista de Vulnerabilidades
Job description
¡ Silent4business te est á buscando!
Analista de Vulnerabilidades
Conocimientos Técnicos
Indispensable
- Análisis y gestión de vulnerabilidades en infraestructura, aplicaciones y servicios.
- Hackeo ético y validación técnica de hallazgos.
- Seguridad en aplicaciones web bajo OWASP Top 10.
- Uso de herramientas como Nessus, Qualys, Rapid7, OpenVAS o similares.
- Uso de herramientas ofensivas como Nmap, Burp Suite, Metasploit, Hydra, Gobuster y ffuf.
- Interpretación de CVE, CVSS, CWE y priorización de riesgos.
- Hardening de sistemas operativos Windows y Linux.
- Elaboración de reportes técnicos, ejecutivos y recomendaciones de remediación.
- Conocimiento en controles DLP y prevención de fuga de información.
- Conocimiento de frameworks como CIS Controls, NIST, ISO 27001 y MITRE ATT&CK.
Actividades
- Ejecutar análisis de vulnerabilidades sobre infraestructura, aplicaciones, servicios expuestos, sistemas internos y componentes tecnológicos definidos por la organización.
- Realizar pruebas técnicas de validación para confirmar la existencia, criticidad, explotabilidad e impacto de las vulnerabilidades identificadas.
- Apoyar en actividades de hackeo ético controlado, incluyendo pruebas sobre aplicaciones web, servicios, autenticación, exposición de información, configuraciones inseguras y debilidades de acceso.
- Ejecutar análisis de fuerza bruta controlados sobre aplicativos o servicios autorizados, con el objetivo de identificar debilidades en políticas de contraseñas, controles de bloqueo, MFA, rate limiting y mecanismos de autenticación.
- Elaborar reportes técnicos y ejecutivos con los hallazgos identificados, nivel de riesgo, evidencia, impacto potencial, activos afectados y recomendaciones de remediación.
- Proponer acciones de optimización y endurecimiento de seguridad sobre aplicaciones, infraestructura, configuraciones, controles de acceso y mecanismos de protección.
- Asesorar a los equipos técnicos en la interpretación de vulnerabilidades, priorización de riesgos y definición de planes de remediación.
- Dar seguimiento a la remediación de vulnerabilidades, validando la correcta aplicación de controles, parches, configuraciones o mitigaciones compensatorias.
- Apoyar en la optimización de aplicativos bajo mejores prácticas de seguridad, considerando lineamientos como OWASP, hardening, control de sesiones, manejo seguro de credenciales y protección de datos.
- Participar en la revisión y mejora de controles DLP, identificando oportunidades de optimización para prevenir fuga de información sensible.
- Generar propuestas de mejora continua para reducir la superficie de ataque, fortalecer controles preventivos y mejorar la postura de seguridad de la organización.
- Mantener documentación actualizada sobre vulnerabilidades, evidencias, recomendaciones, avances de remediación, excepciones de riesgo y lecciones aprendidas.
Certificaciones
Indispensable
- OSCP — Offensive Security Certified Professional.
- CEH — Certified Ethical Hacker.
- CEH Master — Certified Ethical Hacker Master.
Deseable
- eJPT — Junior Penetration Tester.
- CompTIA PenTest+. CompTIA Security+.
- ISO/IEC 27001 Foundation o Lead Implementer.
- Certificaciones en herramientas de gestión de vulnerabilidades, como Tenable/Nessus, Qualys o Rapid7.
Experiencia
- Análisis y gestión de vulnerabilidades en infraestructura, aplicaciones y servicios — 4 años — Avanzado.
- Consultoría, asesoría y reporteo técnico/ejecutivo de vulnerabilidades — 4 años — Avanzado.
- Hackeo ético y pruebas de seguridad ofensiva controladas — 3 a 4 años — Avanzado.
- Validación técnica de hallazgos, explotación controlada y priorización de riesgos — 3 a 4 años — Avanzado.
- Uso de herramientas de escaneo como Nessus, Qualys, Rapid7, OpenVAS o similares — 3 a 4 años — Avanzado.
- Uso de herramientas de validación como Nmap, Burp Suite, Metasploit, Hydra, Gobuster, ffuf o similares — 3 a 4 años — Avanzado.
- Pruebas de fuerza bruta controladas sobre aplicativos o servicios autorizados — 2 a 3 años — Medio/Avanzado.
- Definición de recomendaciones de remediación, mitigación y controles compensatorios — 3 a 4 años — Avanzado.
- Optimización de aplicativos bajo mejores prácticas de seguridad — 2 a 3 años — Medio/Avanzado.
- Revisión u optimización de controles DLP — 1 a 2 años — Medio.
Herramientas/Software
- Nessus / Tenable — Avanzado.
- Qualys VMDR — Intermedio/Avanzado.
- Rapid7 InsightVM / Nexpose — Intermedio/Avanzado.
- OpenVAS / Greenbone — Intermedio.
- Nmap — Avanzado.
- Burp Suite — Avanzado.
- Metasploit Framework — Intermedio/Avanzado.
- Hydra — Intermedio/Avanzado.
- Gobuster / Dirbuster — Intermedio.
- ffuf — Intermedio.
- Nikto — Intermedio.
- OWASP ZAP — Intermedio/Avanzado.
- Kali Linux — Avanzado.
- Linux y Windows Server — Intermedio/Avanzado.
- Python, Bash o PowerShell — Intermedio.
- CVSS Calculator / NVD / MITRE CVE / CWE — Avanzado.
- Microsoft Defender for Cloud Apps, Purview DLP o herramientas DLP similares — Intermedio.
- Jira, ServiceNow, Excel o herramientas de seguimiento de remediación — Intermedio.
Ofrecemos
- Prestaciones superiores a la ley
- Excelente ambiente laboral
- Lugar de trabajo San Angel
La organización no discrimina por motivos de sexo, edad, persona con discapacidad, orientación y preferencia sexual, religión o creencias religiosas, condición de salud, embarazo, raza u origen étnico, lugar de origen, etc. Durante nuestro proceso de contratación no solicitamos certificados médicos de no embarazo ni Virus de Inmunodeficiencia Humana (VIH).


