Resumen: SenseOn busca un Ingeniero de Seguridad para desarrollar reglas de detección de alta calidad y construir una plataforma impulsada por IA para evolucionar dichas reglas, actuando como puente entre los roles de analista y desarrollador. Aspectos destacados: 1. Definir cómo funciona en la práctica la ingeniería de detección nativa de IA 2. Proteger a las organizaciones con sus reglas en una plataforma con telemetría real 3. Trabajar en la vanguardia del desarrollo de IA SenseOn está construyendo la próxima generación de operaciones de seguridad, donde la IA no solo asiste a los analistas, sino que impulsa activamente la ingeniería de detección. Buscamos un Ingeniero de Seguridad capaz de hacer dos cosas simultáneamente: escribir reglas de detección de alta calidad que detengan hoy a adversarios reales, y ayudarnos a construir la infraestructura de plataforma que permita a la IA escribir y evolucionar esas reglas mañana. El panorama de amenazas está cambiando cualitativamente. Los adversarios están utilizando cada vez más la IA para acelerar el desarrollo de ataques, automatizar el reconocimiento, generar campañas de phishing convincentes a escala y adaptar sus tácticas más rápidamente de lo que los ciclos tradicionales de detección pueden seguir. Necesitamos a alguien que comprenda esta nueva categoría de ataques impulsados por IA y pueda construir detecciones específicamente diseñadas para identificar sus firmas: patrones anómalos de automatización, contenido generado por modelos de lenguaje grande (LLM) en cadenas de phishing, enumeración inusualmente rápida y amplia, y movimiento lateral asistido por IA. Detectar IA requiere pensar como IA. Este no es un rol puramente de analista. Tampoco es un rol puramente de desarrollador. Es el puente entre ambos y la persona que construye dicho puente. Lo que realmente hará Ingeniería de detección (El fundamento) * Redactar y mantener reglas de detección en la arquitectura de doble motor de SenseOn: * + Detecciones en tiempo real por transmisión evaluadas en milisegundos, escritas como YAML compilado en conjuntos de reglas binarias + Detecciones comportamentales por lotes respaldadas por SQL parametrizado en ClickHouse, ejecutadas con una frecuencia de segundos a minutos * Escribir agregaciones y vistas materializadas en ClickHouse que alimenten las líneas base estadísticas de anomalías * Construir y ampliar nuestra biblioteca de consultas de investigación. Consultas de ClickHouse mapeadas a MITRE, utilizadas diariamente por los analistas para la investigación de amenazas * Mapear cada regla con precisión a las técnicas y tácticas de MITRE ATT&CK, incluida la granularidad a nivel de sub-técnica * Instrumentar sus propias reglas: medir tasas de falsos positivos, definir puntuaciones de confianza, construir conjuntos de datos de prueba y ser responsable de la calidad de lo que se implementa * Ajustar detecciones contra telemetría del mundo real. Comprender por qué se activa una regla es tan importante como lograr que se active Plataforma de detección impulsada por IA (La misión) * Ampliar nuestro actual motor de redacción de reglas impulsado por LLM para lograr una cobertura mucho más amplia * Diseñar y construir canalizaciones donde los LLM puedan proponer reglas de detección a partir de inteligencia sobre amenazas, divulgaciones de CVE o hallazgos de investigación de analistas, con salida estructurada, validación de YAML y puertas de aprobación con participación humana * Construir bucles de retroalimentación: cuando una detección se activa o produce un falso positivo, esa señal debe fluir de vuelta para mejorar futuras reglas generadas por IA * Definir la ingeniería de indicaciones (prompts) y el entorno de evaluación para la generación de detecciones. Métricas Pass@k, puntuación FP/TP, validación de alineación con MITRE * Colaborar con ingeniería para hacer que el modelo de datos de detección sea legible por IA: esquemas, anotaciones y estructuras de contexto sobre las cuales los LLM puedan razonar de forma confiable * Reflexionar sobre nuestra interfaz de investigación: ¿cómo describe un analista una amenaza en lenguaje natural y obtiene a cambio una consulta validada de ClickHouse? La pila técnica No necesita ser experto en todos estos aspectos desde el primer día. Pero sí debe sentirse cómodo trabajando con ellos y ser honesto acerca de dónde necesitará capacitarse. **Requisitos** Lo que buscamos Imprescindible * 3+ años escribiendo contenido de detección: reglas SIEM, detecciones EDR, YARA, Sigma o equivalente; comprende el arte de reducir el ruido sin perder señales * Conocimientos sólidos prácticos de MITRE ATT&CK: no solo citar identificadores de técnicas, sino razonar sobre las tácticas de los adversarios y su encadenamiento * Competencia en SQL: escribe consultas analíticas con soltura y comprende cómo el rendimiento de las consultas afecta la latencia de detección a gran escala * Experiencia práctica con LLM en un entorno productivo o de ingeniería: ha escrito indicaciones (prompts), evaluado resultados y construido algo que utilice una API de LLM (no simplemente haber conversado con uno) * Fluidez en Python: suficiente para leer, escribir y depurar el tipo de Python que ejecuta canalizaciones de detección, construye puntos finales de API y procesa telemetría de seguridad * Capacidad para evaluar críticamente la salida generada por IA: comprende dónde los LLM producen alucinaciones en contextos de seguridad y cómo construir salvaguardias * Comunicación escrita clara y precisa en inglés: las reglas de detección, las plantillas de indicaciones (prompts) y los criterios de evaluación residen todos en texto Ventaja significativa * Experiencia con ClickHouse u otras bases de datos columnares / OLAP * Familiaridad con Protocol Buffers u otros formatos de serialización binaria * Antecedentes en investigación de amenazas: formulación de hipótesis, redacción de consultas y operacionalización de hallazgos como detecciones * Experiencia diseñando o contribuyendo a marcos de evaluación de IA (entornos de evaluación, conjuntos de datos de referencia, puntuación Pass@k) * Exposición a telemetría de red o de extremo a gran volumen: DNS, NTLM, Kerberos, ejecución de procesos, flujos de red * Experiencia previa en un proveedor de seguridad, servicio MDR o centro de operaciones de seguridad (SOC), donde la calidad de las detecciones tuviera un impacto directo en los clientes Lo que ofrecemos * La oportunidad de definir cómo funciona realmente en la práctica la ingeniería de detección nativa de IA: no como un elemento futuro en una hoja de ruta, sino como su trabajo principal * Una plataforma con telemetría real, señales adversarias reales y consecuencias reales: sus reglas protegen a las organizaciones * Colaboración directa con ingeniería en la infraestructura del producto de la que depende su flujo de trabajo * Un equipo que trata la documentación y la captura de conocimiento como una práctica básica de ingeniería, no como una carga adicional * SenseOn ofrece acceso ilimitado a los últimos modelos de LLM para experimentación e investigación. Esté en la vanguardia del desarrollo de IA como parte de su función * La creación de nuevos vectores de ataque pronto será aún más un problema a escala mecánica gracias a los LLM; SenseOn construirá la solución a escala mecánica para la Detección y Respuesta Una nota sobre lo que este rol no es Este no es un rol para alguien que quiera escribir detecciones durante el día y dejar la integración con IA al "equipo de ML". No hay equipo de ML: usted es la persona que une estas dos capacidades. Del mismo modo, tampoco es un rol para un ingeniero de IA puro que nunca haya ajustado una detección real frente a telemetría adversaria. Ambas partes son igualmente importantes. **Beneficios** **Lo que le ofrecemos:** * Salario competitivo * Permiso ilimitado de vacaciones * Revisión bianual del progreso profesional * Inversión en aprendizaje y desarrollo (certificaciones, conferencias, etc.) * MacBook para el trabajo **Pertenezca a SenseOn:** En SenseOn, definimos Talento como empleados que son ❤️ obsesionados con el cliente y persiguen la excelencia. Son valientes, ‍️‍️ buenas personas que hacen buenas cosas y impulsan nuestra nave espacial. Si esto le resuena, siempre pertenecerá. Nada más importa. Somos un empleador que ofrece igualdad de oportunidades y no discriminamos a ningún empleado ni candidato calificado. La diversidad es lo que nos hace más fuertes. Antes de pasar a la siguiente etapa de nuestro proceso de reclutamiento, no dude en informarnos confidencialmente si necesita algún apoyo para poder participar plenamente en nuestro proceso