corraldev.

Security researcher · Ingeniero de software

Saber cómo romper sistemas es la mejor forma de construirlos.

Soy Javier Corral. Cazo vulnerabilidades a mano en las plataformas más protegidas del mundo y escribo el software que no quiero tener que romper después.

OWASP WSTG · ASVS

Live hacking events

Edge-first engineering

Vulnerabilidades reportadas y aceptadas en

  • Apple
  • PayPal
  • Adobe
  • Palantir

Y otras empresas del Fortune 500 y líderes globales de su sector, a través de sus programas de bug bounty.

Ver historial en HackerOne

Dos oficios, la misma cabeza.

El atacante y el ingeniero no son dos personas distintas: son la misma que ha visto lo que pasa cuando se construye mal.

Javier Corral durante un live hacking event

Live hacking event · Singapur

  1. 01

    Seguridad ofensiva

    Bug bounty y pentesting manual. Nada de escáneres: lógica de negocio, cadenas de fallos y una prueba de concepto reproducible en cada hallazgo. Si no se explota, no se reporta.

    • IDOR
    • SSRF
    • Auth bypass
    • Race conditions
    • GraphQL
  2. 02

    Ingeniería de software

    Producto real, no prototipos: SaaS multi-tenant, integraciones críticas de pago y aplicaciones pensadas para que las mantenga tu equipo, no yo. La seguridad entra en el diseño, no en el informe final.

    • TypeScript
    • Next.js
    • APIs
    • SaaS
    • Integraciones
  3. 03

    Rendimiento en el edge

    Medir antes de tocar. Optimización de rendimiento, bases de datos y coste cloud, con despliegues en el edge donde el usuario está, no donde está el servidor.

    • Cloudflare
    • Edge
    • Core Web Vitals
    • Coste cloud

Sobre el terreno

El bug bounty no se hace desde un sofá.

Javier Corral fotografiando maquinaria agrícola durante un evento de hacking

01Des Moines, Iowa

Cuando el objetivo no es una web

Superficies de ataque que no viven en un navegador. Salir del terreno conocido es la forma más rápida de encontrar lo que nadie ha mirado.

El equipo español de hackers posando con el trofeo de la Hacker World Cup

02Equipo España

Hacker World Cup

Compitiendo con el equipo español. La seguridad ofensiva es un deporte de equipo mucho más de lo que parece desde fuera.

Trabajo

Cuando hay que contratar a alguien, me contratas a mí.

Trabajo con empresas a través de Crackonce. Hablas siempre con quien encuentra los bugs y escribe el código: no hay comercial en medio ni junior detrás.

  1. 01

    Ciberseguridad ofensiva

    Pentesting web y de APIs, auditorías de seguridad y seguridad continua. Metodología OWASP y técnicas reales de bug bounty.

  2. 02

    Consultoría de software

    Desarrollo web, SaaS a medida e integraciones. Ingeniería senior con la seguridad integrada desde el primer diseño.

  3. 03

    Rendimiento e infraestructura

    Optimización de rendimiento, bases de datos y costes cloud. Se mide antes de tocar y se demuestra la mejora con números.

Crackonce

Mi consultora: ciberseguridad ofensiva e ingeniería de software para empresas que necesitan las dos cosas y no quieren dos proveedores culpándose entre sí.

Ir a crackonce.com

¿Tienes algo que romper o algo que construir?

Un pentest, una auditoría, un producto digital o simplemente hablar de bugs. Escríbeme y te respondo yo.

Tiempo de respuesta

Menos de 24 horas laborables

Investigación

hackerone.com/corraldev

Empresa

crackonce.com ↗