Soy Daniel García, aunque casi todo el mundo me llama Dani. Llevo más de 20 años trabajando en ciberseguridad y desarrollo, desde el equipo de Hacking Ético de Telefónica I+D hasta liderar investigación de seguridad de APIs en 42Crunch, empresa líder mundial en ese campo. Actualmente soy technical lead del equipo core del nuevo departamento de IA de Banco Santander.
No hago todo. Me especializo en seguridad crítica, seguridad en APIs y sistemas a escala. Si buscas alguien que resuelva lo que lleva semanas sin solución, o que ayude a construir algo que no se rompa cuando llegue el tráfico real, es posible que podamos trabajar juntos.
Trabajo reciente
Banco Santander (2025–presente) — Technical lead del equipo core del nuevo departamento de IA. Banco Santander está en medio de una apuesta de IA de escala completa: 185.000 empleados, OpenAI como partner estratégico. Lideré técnicamente el equipo core en su fase de construcción.
42Crunch (2023–2025) — Investigación y arquitectura de seguridad en APIs. Diseño de arquitectura secure-by-design desde cero en Python. Tanto el producto como los clientes que lo usaban.
LAPIS — Un formato de especificación de APIs para LLMs. OpenAPI está bien para herramientas. Cuando lo consume un LLM el overhead es brutal: 85% menos tokens en APIs reales de GitHub, Twilio y DigitalOcean. Publicado en arXiv.
Tengo más de 100 herramientas de seguridad open source en GitHub. Algunas de las más usadas:
- FestIn — escáner de buckets S3 mal configurados. +230 estrellas.
- Enteletaor — pentesting de message queues (RabbitMQ, Kafka, Redis). +150 estrellas.
- Dockerfile Security — análisis estático de Dockerfiles antes del build.
Algunas están en Kali Linux y BlackArch. Fundé Navaja Negra y el capítulo de OWASP Madrid.
Algunos problemas que recuerdo
Una empresa de salud tenía un bucket S3 con datos médicos de millones de personas accesible sin autenticación. No lo sabían. Lo encontré con FestIn. Una multa GDPR millonaria evitada. No me dieron las gracias, pero el karma existe.
Un sistema financiero procesaba pagos a través de una cola de mensajes que cualquiera podía escribir desde fuera. Sin autenticación. Nadie lo había testeado porque “no era una aplicación web”. Enteletaor lo encontró en minutos.
En RootedCON 2020 presenté vulnerabilidades en pipelines CI/CD. Empresas que vieron la charla revisaron sus pipelines y encontraron backdoors instalados durante meses. No es una metáfora.
Si tienes un problema concreto
Hablo con la gente antes de cobrar nada. 15 minutos para que me cuentes el problema y saber si puedo ayudar. Si no puedo, te digo dónde mirar.
Si tiene sentido seguir: 200€/hora. Una sesión, problema concreto, solución y plan ese mismo día. Para proyectos de más largo alcance, la estructura es diferente — hablamos.
Lo que dicen otros
“He is one of the few people I know who can work on a project all the way from product management and design to prototyping, coding and testing. His security skills are second to none, across a vast variety of systems and languages.”
— Isabelle Mauny, Field CTO & API Security Specialist · 42Crunch
“Daniel is a force of nature. His mastery of the real fundamentals of the world of security, the ones that really matter, is deep and detailed.”
— Pascual De Juan Núñez, Global Head of Innovation in Technology · BBVA
“Brilliant mind. He’s a real DevSecOps and can not just do but teach all the three corners of modern IT.”
— Luis Saiz, Head of Innovation in Security · BBVA