Dieciocho años en seguridad ofensiva en banca, gobierno, medios, salud e infraestructura crítica. De Brasil a Europa. Confianza de grado federal.
Pentester · Red Team · Open Banking · FAPI · LGPD · GDPR · PCI-DSS
Citado en los principales medios brasileños e internacionales sobre ciberseguridad, fraude financiero e investigaciones digitales.
Donde fuimos foco
Since 2007. No hacking course — I watched my first bank get breached and realized the problem wasn't technical, it was about people.
Dieciocho años después, la misma obsesión: encontrar la puerta antes que el criminal. He operado dentro del mayor banco público de América Latina, en plataformas de Open Banking, en banca privada de Brasil, Portugal, Italia y Marruecos, en la mayor empresa de iGaming del mundo y en el backbone de pagos de Europa.
En paralelo, he asistido a la Policía Federal y a la Policía Civil en casos cibernéticos complejos, y dado conferencias en la Florida Association of Private Investigators sobre phishing y técnicas de ataque web.
El foco es el mismo en cualquier engagement: donde más duele, donde el adversario es más sofisticado, donde el margen de error es cero.
El sector financiero domina el número de engagements, pero el oficio es el mismo en cualquier entorno regulado de alta exposición. Donde el dato tiene consecuencia, he operado.
Por restricción contractual, las descripciones son intencionalmente genéricas. Vulnerabilidades específicas, vectores explotados y hallazgos de auditoría nunca se publican — ni aquí, ni en LinkedIn, ni en el CV. La lista abajo cubre solo relaciones contractuales públicas.
Lista parcial · Los engagements activos permanecen confidenciales hasta el fin del contrato · Los clientes solo se divulgan con su consentimiento
Conferencia sobre amenazas digitales, investigaciones cibernéticas y protección de datos. Foco en phishing, ataques web y cadena de evidencia forense aplicada a la investigación privada.
Apoyo técnico en casos cibernéticos de alta complejidad — análisis forense, atribución de ataque, identificación de vectores y apoyo a la fase investigativa.
Tú explicas el alcance. Yo explico si encaja. Conversación directa con el operador — no con un vendedor.
Slot de 30 minutos. Video o voz. Inglés, portugués, español o italiano.
¿No puedes ver el calendario? Abrir en pestaña nueva.
Divulgaciones en tiempo real de víctimas de ransomware, de ransomware.live, para España.
Disclaimer. No soy responsable de esta lista. ransomware.live agrega claims públicos publicados por atacantes en leak sites y foros. La información puede ser cierta o no — los atacantes a veces exageran, las víctimas a veces no han confirmado públicamente. Trátalo como awareness situacional, no como registro legal.
Táctico, actual, con opinión. Sacado de engagements reales — no de un Slideshare de 2018. iOS · Android · ambos.
A las operadoras les han hecho ingeniería social para transferir números a atacantes. Configura un PIN de transferencia con tu operador. Sin él, tu teléfono está a una llamada de pertenecer a otra persona.
iOS 17.3+. Exige Face ID para cambios sensibles incluso en ubicaciones "de confianza". Derrota el ataque teléfono-robado-con-PIN-observado que vacía cuentas en 90 segundos.
SMS va sobre SS7 — diseñado en los 80, aún trivialmente interceptado por cualquiera con acceso a telco. Usa TOTP (Aegis, Raivo, 2FAS) o, mejor, passkeys.
Ajustes → Face ID y Código → Accesorios USB DESACTIVADO. Bloquea herramientas forenses (Cellebrite, GrayKey) cuando el dispositivo se conecta bloqueado.
El malware vive en Accesibilidad. Una vez concedido, lee cada pantalla, escribe cada tecla, descarta cada prompt. Ajustes → Accesibilidad → revisa mensualmente. Revoca lo que no reconozcas.
iOS 17.2+. Detecta cuando un contacto fue reemplazado vía MITM en el servidor. Crítico para ejecutivos, abogados, periodistas. Desactivado por defecto — actívalo con quien intercambies datos sensibles.
Los teléfonos emiten probe requests por cada red que recuerdan. Atacantes estilo Karma falsifican "linksys" o "Starbucks Wi-Fi" y tu teléfono se une silenciosamente. Olvida lo que no usas.
FIDO2/WebAuthn. La clave privada vive en el secure enclave, nunca se transmite. Inmune a phishing por diseño. Apple, Google, Microsoft y los principales bancos lo soportan — empieza por el banco.
Puertos USB públicos = superficie de juice-jacking. Aeropuertos, hoteles, conferencias. Un adaptador USB data-block de €4 o un cable solo-carga mata el ataque. Úsalo siempre que no estés en casa.
Actualizado en 2026-04 · La lista rota según cambia la superficie de amenaza