Nuevos labs cada semana — Accede a todos desde 5€/mes

>Inicio>Labs>Eventos>Creators>Ranking>Academy>Writeups>Precios
Iniciar SesiónCrear Cuenta
Guía para empezar

Programas de Bug Bounty

Comparativa completa de las mejores plataformas para empezar a ganar dinero encontrando vulnerabilidades.

6 plataformas analizadas con pros, contras y recomendaciones según tu nivel.

HackerOne

Principiante

Hunters que empiezan y quieren variedad de programas

Visitar plataforma

La plataforma de bug bounty más grande del mundo. Programas de empresas como Google, Microsoft, GitHub, Shopify y muchas más. Ideal para empezar porque tiene programas con scope amplio y comunidad activa.

Bounty promedio

$50 - $50,000+

Programas

800+ programas

Ventajas

  • Mayor cantidad de programas públicos
  • Sistema de reputación transparente
  • Mediation team para resolver disputas
  • Programas VDP (sin recompensa) ideales para practicar
  • Reportes disclosed públicamente para aprender

Desventajas

  • Alta competencia en programas populares
  • Algunos programas tardan en responder
  • Necesitas reputación para acceder a programas privados

Bugcrowd

Principiante

Hunters que valoran triage rápido y buen soporte

Visitar plataforma

Segunda plataforma más grande. Conocida por su sistema de triage rápido y programas de empresas como Tesla, Mastercard y Netflix. Tiene un sistema de niveles que desbloquea programas privados.

Bounty promedio

$50 - $30,000+

Programas

500+ programas

Ventajas

  • Triage rápido y consistente
  • Sistema de niveles claro (P1-P4)
  • Buenos programas para principiantes
  • Bugcrowd University con recursos educativos
  • Pentests pagados para hunters experimentados

Desventajas

  • Menos programas públicos que HackerOne
  • Bounties generalmente más bajos
  • Interfaz menos intuitiva

Intigriti

Intermedio

Hunters europeos o interesados en el sector financiero

Visitar plataforma

Plataforma europea líder en bug bounty. Fuerte presencia en el mercado europeo con programas de empresas como Atos, Proximus y empresas del sector financiero. Conocida por su comunidad y eventos.

Bounty promedio

€50 - €20,000+

Programas

200+ programas

Ventajas

  • Enfoque en el mercado europeo (GDPR-friendly)
  • Comunidad activa y eventos regulares
  • Bounties competitivos en euros
  • Buen triage y comunicación
  • Programas de empresas financieras con bounties altos

Desventajas

  • Menos programas que HackerOne/Bugcrowd
  • Mayoría de programas requieren invitación
  • Más enfocado en Europa

YesWeHack

Intermedio

Hunters francófonos o interesados en sector público

Visitar plataforma

Plataforma francesa de bug bounty con fuerte presencia en Europa y Asia. Ofrece programas de empresas como OVH, La Poste y organismos gubernamentales franceses. Tiene su propio programa de formación.

Bounty promedio

€50 - €15,000+

Programas

150+ programas

Ventajas

  • Programas gubernamentales únicos
  • Plataforma de formación integrada (DOJO)
  • Bounties competitivos
  • Buena comunidad francófona
  • Programas de empresas tech europeas

Desventajas

  • Menor volumen de programas
  • Interfaz menos pulida
  • Comunidad más pequeña

Open Bug Bounty

Principiante

Principiantes absolutos que quieren practicar sin riesgo

Visitar plataforma

Plataforma gratuita y abierta de responsible disclosure. No requiere invitación ni registro especial. Ideal para practicar responsible disclosure con sitios web reales sin riesgo legal, ya que solo permite reportar XSS y vulnerabilidades de configuración.

Bounty promedio

Generalmente sin recompensa monetaria

Programas

Miles de sitios web

Ventajas

  • Sin barreras de entrada
  • Perfecto para practicar responsible disclosure
  • Protección legal clara
  • Builds tu perfil público como hunter
  • Solo vulnerabilidades no destructivas (XSS, config)

Desventajas

  • Raramente hay recompensas monetarias
  • Solo XSS y vulnerabilidades de configuración
  • No hay triage profesional

Immunefi

Avanzado

Hunters con experiencia en smart contracts y DeFi

Visitar plataforma

La plataforma líder de bug bounty para Web3 y blockchain. Bounties extraordinariamente altos (hasta millones de dólares) por vulnerabilidades en smart contracts, bridges y protocolos DeFi. Requiere conocimientos de Solidity y seguridad blockchain.

Bounty promedio

$1,000 - $10,000,000+

Programas

300+ programas

Ventajas

  • Bounties más altos de la industria
  • Sector en crecimiento explosivo
  • Menos competencia que en Web2
  • Pagos rápidos en crypto
  • Programas con bounties de 7 cifras

Desventajas

  • Requiere conocimiento de Solidity/blockchain
  • Curva de aprendizaje muy pronunciada
  • Riesgo de duplicados alto
  • Volatilidad en pagos crypto

Tips para empezar

Empieza con programas VDP

Los Vulnerability Disclosure Programs no pagan bounty pero tienen menos competencia y son perfectos para aprender el proceso: encontrar vulns, escribir reportes y recibir feedback real.

Lee reportes disclosed

Antes de hackear un programa, lee sus reportes públicos. Aprenderás qué vulns ya se encontraron, el estilo de reporte que esperan y la superficie de ataque del target.

Especialízate en una vulnerabilidad

No intentes buscar todo a la vez. Elige una vulnerabilidad (IDOR, XSS, SSRF) y conviértete en experto. Es mejor ser muy bueno en una cosa que mediocre en diez.

Elige programas con scope amplio

Los programas con wildcard (*.empresa.com) ofrecen más superficie de ataque. Más endpoints = más oportunidades de encontrar bugs que otros hunters han pasado por alto.

Aprende a escribir buenos reportes

Un buen reporte es la diferencia entre un bounty alto y uno bajo. Incluye siempre: resumen, pasos de reproducción, impacto real y recomendación de fix. Sé claro y conciso.

Automatiza tu reconocimiento

Configura herramientas como subfinder, httpx y nuclei para descubrir subdominios y servicios automáticamente. El hunter que encuentra assets olvidados encuentra bugs que nadie más ve.

No te desanimes con los duplicados

Los duplicados son parte del juego. Si recibes un duplicado, significa que estás en el camino correcto. Analiza qué hizo el otro hunter diferente y mejora tu proceso.

Construye tu reputación gradualmente

La reputación en las plataformas desbloquea programas privados con menos competencia y bounties más altos. Cada reporte válido suma, incluso los de severidad baja.

Preguntas frecuentes

¿Necesito experiencia previa para empezar en bug bounty?

No necesitas experiencia profesional, pero sí conocimientos básicos de web (HTTP, HTML, JavaScript) y seguridad. Puedes aprender mientras practicas: empieza con labs de práctica como BBLabs, lee reportes disclosed y elige vulnerabilidades simples como IDOR o Open Redirect para empezar.

¿Cuánto dinero se puede ganar con bug bounty?

Varía enormemente. Hunters principiantes pueden ganar $50-$500 por bug. Hunters experimentados ganan $5,000-$50,000+ por vulnerabilidad crítica. Los top hunters a tiempo completo ganan $100,000-$1,000,000+ al año. Pero al principio, enfócate en aprender, no en el dinero.

¿Es legal hacer bug bounty?

Sí, siempre que actúes dentro del scope del programa y sigas sus reglas. Las plataformas de bug bounty ofrecen un safe harbor legal explícito. Nunca hackees sistemas sin autorización expresa. Lee siempre las reglas y el scope antes de empezar.

¿Qué herramientas necesito?

Lo mínimo: Burp Suite (Community Edition es gratis) para interceptar tráfico, un navegador con DevTools, y terminal. Herramientas adicionales útiles: subfinder y httpx para reconocimiento, ffuf para fuzzing, y nuclei para escaneo automatizado.

¿Qué vulnerabilidad debería buscar primero?

IDOR (Insecure Direct Object Reference) es ideal para empezar: es conceptualmente simple, muy común, y paga bounties decentes. Después puedes pasar a XSS, SSRF o business logic bugs según tu interés.

¿Cuánto tiempo tarda encontrar mi primer bug?

Depende de tu dedicación y background. Algunos hunters encuentran su primer bug en semanas, otros tardan meses. Lo importante es ser constante: dedica tiempo cada día, lee reportes, practica en labs y elige programas con poco tráfico de hunters.

¿Es mejor dedicarse a bug bounty a tiempo completo o parcial?

Empieza a tiempo parcial. Bug bounty es inconsistente: puedes tener semanas sin encontrar nada. Mantén tu trabajo/estudios mientras construyes experiencia y reputación. Cuando generes ingresos estables durante 6+ meses, puedes considerar dedicarte a tiempo completo.

¿Qué plataforma de bug bounty debería elegir primero?

HackerOne o Bugcrowd son las mejores para empezar: tienen más programas públicos, mejor documentación y comunidades más activas. Una vez tengas experiencia, expande a Intigriti, YesWeHack o Immunefi según tu especialización.

Practica antes de hackear en real

Entrena con labs basados en reportes reales de bug bounty antes de lanzarte a programas reales.

Ver labs de prácticaVer cheatsheets