Ingeniería de ciberseguridad aplicada a producto
Acompaño equipos para diseñar, asegurar y escalar software con seguridad desde el primer commit.
Sobre mí
Defensa y hardening de sistemas digitales con ingeniería de ciberseguridad moderna
Soy Alberto Galán, ingeniero de ciberseguridad especializado en DevSecOps, AppSec, seguridad cloud y pentesting. Con más de 4 años de experiencia en Europa, LatAm y EE. UU., ayudo a empresas a construir pipelines seguros y elevar su postura de seguridad.
Mi especialidad cubre todo el S-SDLC: SAST, DAST, SCA, seguridad IaC, gates de CI/CD, hardening cloud y detección automatizada de amenazas. Diseño flujos que reducen vulnerabilidades, sostienen compliance (GDPR, ISO 27001) y permiten entregar software más seguro y rápido.
También he trabajado en pentesting, forense digital y automatización de seguridad con Python, Bash, Go, JavaScript, Terraform y tooling DevOps moderno. Combino técnicas ofensivas y defensivas para blindar aplicaciones, nubes y pipelines.
En los últimos años incorporé Seguridad en IA y LLM Safety: evaluación de integraciones de modelos, mitigación de riesgos por prompt, protección de flujos de datos y diseño de políticas de uso responsable. Aplico automatización con IA para acelerar code review, análisis de vulnerabilidades y detección escalable en equipos de ingeniería.
Hoy trabajo como Freelance DevSecOps Engineer, ayudando a implementar seguridad que funciona en entornos reales, no solo en documentos.
Servicios de seguridad
Intervenciones precisas para reducir riesgo y acelerar release.
Ingeniería DevSecOps
Seguridad integrada en pipelines CI/CD con SAST, SCA y DAST automatizados, policy-as-code, firma de artefactos y flujos seguros en GitHub/GitLab.
Seguridad de aplicaciones (AppSec)
SDLC seguro, OWASP ASVS, threat modeling, revisión de código, hardening de APIs y guía de remediación para equipos.
Seguridad en la nube
Arquitecturas cloud secure-by-design, hardening de IAM, RBAC en Kubernetes, segmentación y monitoreo en AWS, Azure y GCP.
Seguridad IaC (Terraform)
Revisión de Terraform con TFSec, Terrascan y KICS. Detección de misconfig, protección de variables sensibles y patrones de módulos seguros.
Pentesting Web & API
Evaluaciones ofensivas controladas: OWASP Top 10, análisis de lógica en APIs, explotación y reportes accionables.
OSINT y monitoreo de superficie de ataque
Descubrimiento continuo de activos expuestos, subdominios, servicios y credenciales filtradas con Shodan, Censys y tooling OSINT.
Formación y workshops
Entrenamiento práctico para equipos técnicos y no técnicos: secure coding, fundamentos DevSecOps, AppSec y awareness.
Seguridad en IA y LLM
Evaluaciones de integraciones de IA: prompt safety, prevención de fuga de datos, protección de claves, control de acceso y políticas de uso.
Proceso end to end
Desde el primer contacto hasta la entrega y el seguimiento.
Contacto y alcance
Primera llamada, objetivos, contexto y elección de servicio.
Evaluación
Revisión base, riesgos y recopilación de información.
Implementación
Controles, automatización, entrega y validación.
Cierre y seguimiento
Documentación, formación y roadmap de siguientes pasos.
Habilidades y expertise
Herramientas, marcos y prácticas que sostienen el trabajo.
Automatización DevSecOps
Experiencia construyendo pipelines CI/CD seguros con SAST, SCA y DAST automatizados, firma de artefactos, secret scanning y policy-as-code.
Seguridad de aplicaciones (AppSec)
Conocimiento sólido de OWASP ASVS, API Security, threat modeling, secure coding y flujos de remediación de vulnerabilidades.
Pentesting Web & API
Testing manual y automatizado sobre apps modernas: fallos de autenticación, abuso de lógica en APIs, control de acceso y OWASP Top 10.
Ingeniería de seguridad cloud
Experiencia práctica en hardening de AWS, Azure y GCP: IAM, RBAC en Kubernetes, segmentación de red y modelos zero-trust.
Seguridad en IaC (Terraform)
Auditoría de Terraform para detectar configuraciones inseguras con TFSec, KICS y Terrascan. Patrones de módulos seguros y enforcement de políticas.
Madurez AppSec y governance (OWASP SAMM)
Capacidad para evaluar postura AppSec, identificar gaps, ejecutar assessments SAMM y diseñar roadmaps realistas de mejora.
Formación y awareness
Entrenamiento para equipos de ingeniería y perfiles no técnicos: secure coding, fundamentos DevSecOps y buenas prácticas de ciberhigiene.
Exposición pública y OSINT
Uso de tooling OSINT (Shodan, Censys, SecurityTrails) para detectar activos expuestos, credenciales filtradas y riesgo en superficie externa.
Automatización de seguridad con IA
Uso de herramientas con IA para acelerar análisis de vulnerabilidades, automatizar flujos de seguridad, mejorar code review y apoyar detección de amenazas.
Laboratorio de seguridad
Experimentos conceptuales, notas de ingeniería e investigación aplicada — sin exponer código sensible ni exploits.
Lab de seguridad CI/CD
Conceptos de pipeline seguro: SAST, SCA, DAST, integridad de artefactos, hardening de supply chain y controles automatizados.
Lab de seguridad de aplicaciones
Demos conceptuales de vulnerabilidades, patrones de diseño seguro, misuse cases y estrategias de mitigación.
Lab de seguridad cloud
Hardening conceptual en AWS/Azure, patrones de IAM y ejemplos reales de revisión de arquitectura.
Automatización de seguridad
Ejemplos de cómo la ingeniería de seguridad automatiza análisis, validación y monitoreo a escala.
Infraestructura e IaC
Patrones seguros para Terraform y Kubernetes, análisis de riesgo y diagramas de arquitectura.
Exposición y OSINT
Metodología de alto nivel para monitoreo de superficie externa y análisis de exposición digital.
Credenciales y trayectoria
Experiencia, certificaciones y herramientas clave.