Nuevos labs cada semana — Accede a todos desde 5€/mes

>Inicio>Labs>Eventos>Creators>Ranking>Academy>Writeups>Precios
Iniciar SesiónCrear Cuenta
Inicio·Academia·Básico·HackerOne vs Bugcrowd vs YesWeHack vs Intigriti — comparativa práctica 2026
Nivel BásicoGratis

HackerOne vs Bugcrowd vs YesWeHack vs Intigriti — comparativa práctica 2026

Diferencias reales entre las 4 plataformas de bug bounty: payout speed, calidad de triage, reputation system, public vs private programs y donde se gana más dinero.

Gorka El Bochi11 de mayo de 202613 min
#bug-bounty#platforms#methodology#comparison

Respuesta rápida

Las 4 plataformas grandes de bug bounty (HackerOne, Bugcrowd, YesWeHack, Intigriti) no son intercambiables. HackerOne tiene los programas más grandes (Shopify, Uber, GitHub) pero triage lento. Bugcrowd paga rápido pero triage agresivo con dupes. Intigriti es EU-first, payout limpio. YesWeHack tiene infraestructura francesa/europea y triage humano excelente. Si vives en España: empieza por Intigriti + YesWeHack (taxes EU simples), salta a HackerOne cuando tengas track record.

Tabla comparativa

PlataformaHQProgramas públicosReputationPayout speedTriage qualityEU/España friendly
HackerOneUS~600+Reputation + Signal/Impact1-3 semanasVariable (depende del programa)OK (PayPal, USD)
BugcrowdUS~400+Kudos + VRT priority1-2 semanasAgresivo con dupesOK (PayPal, USD)
IntigritiBélgica~250+Points + streak3-7 díasHumano, técnicoExcelente (SEPA, EUR)
YesWeHackFrancia~150+Reputation + ranking5-10 díasHumano, técnicoExcelente (SEPA, EUR)

HackerOne — el grande pero lento

Pros:

  • Programas de Shopify, Uber, GitHub, GitLab, Coinbase, US DoD.
  • Volumen masivo de scope público.
  • Sistema de Signal/Impact que premia hunters consistentes con invites privados.
  • Live hacking events (LHE) con pots de €1M+.

Cons:

  • Triage subcontratado a HackerOne triage team — calidad inconsistente, muchos N/A injustos en programas pequeños.
  • Payout speed depende del programa (algunos pagan en 24h, otros tardan 6 semanas).
  • Tax treatment: emiten 1099 (US) — en España declaras como rendimientos de actividad económica, IRPF normal.

Cuándo elegir HackerOne:

  • Quieres apuntar a targets de top-tier (Shopify, Uber).
  • Te importan los LHE.
  • Ya tienes track record o subes vía private invites.

Bugcrowd — payout rápido pero triage agresivo

Pros:

  • Payout fast: PayPal en 1-2 semanas tras accept.
  • Bug Bounty Hunter levels (BBH I → II → III → IV) — sistema de progresión claro.
  • VRT (Vulnerability Rating Taxonomy) público — sabes exactamente la severidad/pago antes de reportar.
  • Programas privados accesibles relativamente pronto.

Cons:

  • Triage marca dupe con criterio amplio — has visto el mismo bug reportado por 3 hunters distintos con diferencias relevantes y los 3 quedan dupes.
  • Algunos programas tienen "Out of Scope" muy creativo (ej: clickjacking always N/A aunque haya impacto).
  • Comunicación con triage menos directa que YesWeHack/Intigriti.

Cuándo elegir Bugcrowd:

  • Necesitas cashflow rápido.
  • Empezando — el sistema de levels da feedback útil.
  • Targets que sólo están aquí (Atlassian, algunos US gov).

Intigriti — la opción EU favorita

Pros:

  • HQ Bélgica → SEPA payment en EUR, 3-7 días tras accept.
  • Triage técnico humano — discusiones de severidad razonables, casi nunca N/A injusto.
  • Sistema de points + streak que premia consistencia.
  • Comunidad activa en Discord, accesible (no élite cerrada como H1).
  • Beneficios fiscales: factura sencilla en EUR para autónomo español.

Cons:

  • Volumen de programas menor que H1/BC (~250).
  • Muchos programas piden submitir desde EU → si vives fuera puede ser complicado.
  • Bounties promedio ligeramente menores que H1 top programs (~€500-€3000 vs ~$1000-$5000).

Cuándo elegir Intigriti:

  • Vives en España/EU → SEPA + EUR simplifica el modelo 130.
  • Quieres triage humano y conversaciones técnicas reales.
  • Empezando — la curva es más amable.

YesWeHack — francés, técnico, infravalorado

Pros:

  • HQ Francia → SEPA, EUR, EU-compliant.
  • Triage técnico de altísima calidad — discuten root cause contigo.
  • Targets europeos únicos (OVH, Doctolib, Qonto, gobierno francés).
  • "Dojo" gratuito con labs gratis para subir reputation.
  • Buen sistema de ranking público.

Cons:

  • Programas privados tardan más en abrirse — necesitas track record sólido.
  • UI menos pulida que Intigriti.
  • Comunidad más pequeña, menos guías en español.

Cuándo elegir YesWeHack:

  • Quieres targets que no están en otras plataformas (banca francesa, gobierno EU).
  • Te gusta el triage técnico profundo.
  • Vives en EU y quieres mantener todo en SEPA.

Mi recorrido real (data de 3 años)

Empecé en HackerOne por hype — 6 meses de N/As, triage lento, frustración. Migré a Intigriti + YesWeHack y la diferencia fue brutal: primer accept en 3 semanas, payout SEPA en 5 días, triage que respondía con argumentos técnicos. Volví a H1 cuando ya tenía signal alto y los invites privados llegaron solos. Recomendación si empiezas en España:

  1. Mes 0-3: Intigriti — bajo barrier, programas públicos pequeños, triage paciente con principiantes.
  2. Mes 3-6: Añade YesWeHack para targets EU únicos.
  3. Mes 6+: Bugcrowd para cashflow rápido, HackerOne para targets top-tier.

[!tip] No te disperses El error más caro es saltar entre 4 plataformas sin focus. Domina una metodología en una plataforma, sube reputation, luego expande. Top hunters tienen 70% de income en 1-2 plataformas, no en 4.

Tax considerations — España

Bug bounty income en España = rendimiento de actividad económica. Si pasas de €1000/año:

  • Alta en Hacienda: Modelo 037, epígrafe IAE 763 (servicios técnicos informáticos) o 845 (servicios IT).
  • Autónomo: si previsiblemente cobras >€10000/año o de forma recurrente → alta RETA obligatoria.
  • IVA: servicios a empresas EU sin establecimiento permanente → ROI (Registro de Operadores Intracomunitarios), inversión del sujeto pasivo. Plataformas como Intigriti/YesWeHack emiten factura sin IVA con tu NIF-IVA.
  • Modelo 130: pago fraccionado trimestral del 20% del beneficio.
  • IRPF anual: declaración con rendimientos en casilla 0224 (actividad económica).

Plataformas US (H1, BC): consideradas exportación de servicios fuera de la UE → factura sin IVA, sólo IRPF.

[!warning] No es consejo fiscal Habla con un asesor antes de empezar a facturar serio. La diferencia entre RETA + autónomo y declarar como esporádico cambia drásticamente la fiscalidad cuando empiezas a cobrar €1000+/mes.

Cómo subir de tier

HackerOne

  • Signal alto (>5.0) → invites privados llegan solos.
  • Impact alto (>10) → entrada a programas top-tier (Shopify Plus, GitHub Sec, AWS).
  • LHE participation → networking + invites premium.

Bugcrowd

  • BBH I → II: 5 reports VHigh/Critical aceptados.
  • BBH II → III: 15 reports + ratio aceptación >70%.
  • BBH III → IV: top 1% — acceso a Elite Programs.

Intigriti

  • Streak de reports válidos consecutivos → boost de points.
  • Top 100 en ranking → invites privados.

YesWeHack

  • Reputation > 1000 → mayoría de privates accesibles.
  • Top 50 ranking público → invitaciones a Live Hacking Events europeos.

Comparativa rápida — dónde se gana más

MétricaGanador
Bounties promedio más altosHackerOne (top programs)
Payout más rápidoBugcrowd / Intigriti
Mejor triage técnicoYesWeHack / Intigriti
Más programas públicosHackerOne
Mejor para EU/EspañaIntigriti / YesWeHack
Mejor sistema de progresiónBugcrowd (BBH levels)
Menos dupes/N/A injustosIntigriti
Más LHE / eventosHackerOne

Hunting checklist al elegir plataforma

  • ¿Dónde vivo? Si EU → empieza por Intigriti/YesWeHack
  • ¿Cashflow rápido importa? → Bugcrowd
  • ¿Targets top-tier o exotic? → HackerOne (Shopify, Uber) o YesWeHack (banca EU)
  • ¿Empezando? → Intigriti tiene la curva más amable
  • ¿Trabajo full-time? → focus en 1-2 plataformas máx
  • ¿Fiscalidad? → SEPA/EUR es 10× más simple que USD/PayPal
  • ¿LHE me motiva? → HackerOne tiene los pots más grandes
  • ¿Discord activo? → Intigriti > resto

Labs relacionados

Si aún no tienes una metodología sólida antes de elegir plataforma, empieza por la guía completa de bug bounty y practica con labs públicos.

Practica esto en un lab

Que Es Bug Bounty Guia Completa

Resolver

Sigue aprendiendo · cuenta gratis

Guarda tu progreso, desbloquea payloads avanzados y rankea tus flags.

Crear cuenta
Premium · 1 técnica más

Hay un payload extra al final

Cuál es la plataforma que paga más rápido y triage mejor en 2026 según mi data interna de 200+ reports a lo largo de 3 años.

Desbloquear

5 €/mes · cancela cuando quieras

Artículos relacionados

Gratis

Cómo escribir un bug bounty report que se acepte — estructura y errores comunes

Estructura ideal de un bug bounty report: title, summary, impact, steps to reproduce, PoC, remediation. Los 10 errores que hacen que tu report sea rechazado.

12 minbug-bountyreportingmethodology
Leer artículo
Gratis

¿Qué es bug bounty? Guía completa para entender cómo funciona

Bug bounty explicado: programas, plataformas, tipos de vulnerabilidades, cómo se paga, ratios de duplicados y por qué algunos hunters viven de esto.

11 minbug-bountyintroduccionmetodologia
Leer artículo
Gratis

Burp Suite — setup de cero para bug bounty (Community + Professional)

Instalación, configuración de proxy + CA cert, target scope, extensiones esenciales y workflow para empezar a hunting con Burp Suite hoy.

12 minburp-suitetoolssetup
Leer artículo
Nivel básicoToda la Academy