Respuesta rápida
Bug bounty es un acuerdo donde una empresa paga a investigadores externos por encontrar y reportar vulnerabilidades en sus sistemas. Funciona en plataformas como HackerOne, Bugcrowd, Intigriti o YesWeHack que actúan de intermediario: definen el scope, validan los reportes y procesan los pagos. Bounties típicos: €100-€500 (low), €500-€2.000 (medium), €2.000-€10.000 (high/critical).
Cómo funciona un programa
Un programa de bug bounty tiene cuatro elementos clave:
- Scope. Lista exacta de qué dominios/apps/servicios se pueden testear. Todo lo que esté fuera de ese scope (out-of-scope) está prohibido y no se paga aunque lo encuentres.
- Política. Reglas — qué tipos de pruebas están permitidas, qué metodologías están bloqueadas (ej. DoS, ingeniería social), si hay safe harbor legal.
- Tabla de bounties. Pago según severidad, normalmente CVSS o categorías custom (low, medium, high, critical).
- Process. Cómo reportar, qué información hace falta, tiempo medio de respuesta.
Los programas pueden ser:
- Públicos: abiertos a cualquiera con cuenta en la plataforma. Más competencia → más duplicados → bounties medios más bajos.
- Privados: invitación solo. Menos competencia, mejor ratio bounty/tiempo.
- VDP (Vulnerability Disclosure Program): no pagan, solo aceptan reportes. Útil para reputación inicial pero no monetizables.
Tipos de vulnerabilidades que se pagan
Las clases más reportadas (y sus bounties típicos):
| Vulnerabilidad | % reportes | Bounty medio |
|---|---|---|
| IDOR | 31% | €300 – €1.500 |
| XSS (stored/reflected/DOM) | 23% | €500 – €2.000 |
| CSRF / Auth flaws | 15% | €200 – €800 |
| SQLi | 12% | €1.000 – €5.000 |
| SSRF | 8% | €2.000 – €8.000 |
| File upload | 6% | €800 – €3.000 |
Vulnerabilidades de alto impacto (RCE, ATO, leak masivo de PII) escalan a €5.000-€50.000+ en programas grandes.
Lo que no se paga habitualmente:
- Self-XSS (solo afecta al atacante).
- Username enumeration trivial sin chain.
- Missing security headers sin impacto demostrado.
- Open redirects sin contexto OAuth o de phishing.
- Reportes de scanners automatizados sin verificación manual.
Las plataformas
Cuatro grandes operadores:
- HackerOne — la más grande, mayor variedad de programas, comunidad madura. Soporta muchas empresas SaaS y gigantes (Google, Shopify, Spotify, Uber, etc.).
- Bugcrowd — segunda en tamaño, relación bounty/competencia ligeramente mejor en programas privados.
- Intigriti — comunidad europea fuerte, soporte de programas en idiomas locales (incluyendo español), bounties competitivos.
- YesWeHack — francesa, fuerte en programas EU. Buena para diversificar.
Cada plataforma tiene su perfil técnico, su sistema de reputación y su pipeline de triage. Es habitual tener cuenta en las cuatro y reportar donde el programa esté.
El flujo típico de un hunter
1. Lectura de scope + policy del programa
↓
2. Recon (subdominios, endpoints, tecnologías)
↓
3. Mapeo de funcionalidades + parámetros
↓
4. Hunt focalizado (vuln class objetivo)
↓
5. Confirmación + PoC mínimo reproducible
↓
6. Escalación de impacto si aplica
↓
7. Reporte (título, pasos, impacto, fix)
↓
8. Triage + back-and-forth con el program team
↓
9. Bounty + disclosure (si la empresa lo permite)
El 80% del tiempo está antes del paso 4: leer policy, mapear y entender la app. El "hunting" en sí es más rápido cuando tienes el target bien modelado.
¿Se puede vivir de esto?
Posible pero no para todos. En España:
- Hunter ocasional: €0-€500/mes. Reporta cuando encuentra algo, sin metodología sistemática.
- Hunter dedicado a tiempo parcial: €500-€3.000/mes. 10-15h/semana, programa principal + secundarios.
- Full-time hunter: €3.000-€15.000+/mes. Especializado en uno o dos vuln classes, conocimiento profundo de targets concretos.
Los bounties grandes (€5.000+) no salen rápido. Suelen venir de:
- Chains complejos que requieren entender bien el target.
- Vulnerabilidades en flujos críticos (pagos, auth, RBAC).
- Targets que pocos auditan en profundidad (apps legacy, integraciones de terceros, APIs internas filtradas).
Errores típicos al empezar
- Saltar a un target sin leer la policy → hallazgos out-of-scope, tiempo perdido.
- Reportar findings de bajo impacto en bulk → mala reputación, ratio N/A alto.
- No automatizar nada → cada audit empieza desde cero.
- Solo buscar XSS reflejado → todos lo buscan, mucho duplicado, bounty bajo.
- No leer reportes públicos del mismo programa → repites trabajo que ya está documentado.
Por dónde empezar
- Cuenta en HackerOne, Bugcrowd e Intigriti.
- Lee 20-30 reportes públicos de la categoría que más te interese.
- Practica en labs (PortSwigger Web Academy, BBLabs, HackTheBox) para automatizar la metodología.
- Empieza por un programa público con scope amplio y bounties pequeños — busca tu primer válido aunque sea de €50, no un €5.000.
- Lleva notas. Cada hallazgo (válido o N/A) enseña algo sobre tu metodología.
Labs relacionados
Practica metodología de hunting end-to-end con labs basados en reportes reales.
Practica esto en un lab
Xss
Sigue aprendiendo · cuenta gratis
Guarda tu progreso, desbloquea payloads avanzados y rankea tus flags.
Artículos relacionados
Metodología de recon básica — del dominio a los endpoints vulnerables
Pipeline mínimo de recon para bug bounty: subdomain enum, live host discovery, URL collection, parameter discovery. Herramientas gratuitas y orden de ejecución.
HackerOne vs Bugcrowd vs YesWeHack vs Intigriti — comparativa práctica 2026
Diferencias reales entre las 4 plataformas de bug bounty: payout speed, calidad de triage, reputation system, public vs private programs y donde se gana más dinero.
Cómo escribir un bug bounty report que se acepte — estructura y errores comunes
Estructura ideal de un bug bounty report: title, summary, impact, steps to reproduce, PoC, remediation. Los 10 errores que hacen que tu report sea rechazado.