Cómo aprender bug bounty desde cero en 2026

Sí, pero hay que ser honesto con la distribución. Según los reports anuales de HackerOne y Bugcrowd, hay aproximadamente 1.2 millones de hunters registrados en el mundo. De ellos, menos del 1% gana más de $100,000/año. La mayoría cobra entre $0 y $5,000/año porque reporta esporádicamente o no aplica metodología consistente.

Los hunters part-time disciplinados (1-3h/día, 5 días/semana) que llevan 12-24 meses suelen sacar entre $15,000 y $80,000/año. Top hunters full-time superan los $200,000-$500,000/año pero llevan 3-7 años de experiencia, dominan varias categorías (web, mobile, API, cloud) y conocen profundamente programas concretos.

Recomendación honesta: no dejes tu trabajo para hacer bug bounty hasta tener al menos 12 meses consecutivos cobrando $3,000-$5,000/mes en bounties. Antes, trátalo como ingreso complementario y como inversión en skills que te abren puertas en seguridad ofensiva (red team, pentesting, application security).

No necesitas un máster en ciberseguridad. Sí necesitas estos cimientos antes de tirarte a un programa real:

• HTTP / HTTPS al detalle. Verbos (GET/POST/PUT/PATCH/DELETE), códigos de estado, headers (Content-Type, Authorization, Cookie, Origin/Referer), diferencias entre body y query string. Sin esto no entiendes lo que hace Burp.
• HTML + JavaScript básico. Saber leer una página renderizada, entender el DOM, distinguir variables/funciones/eventos, y saber qué es JSON. No hace falta ser dev, pero sí leer 50 líneas de JS y entenderlas.
• Cliente/servidor mental model. Qué pasa en el browser vs. qué pasa en el backend. Por qué validar en frontend nunca es suficiente. Qué es CORS, cookies httpOnly, sesiones.
• Bases de datos básicas. Saber qué es una query SQL y cómo se construyen los filtros. No necesitas administrar Postgres — solo entender que SELECT * FROM users WHERE id=$1 es seguro y SELECT * FROM users WHERE id='+id+' no lo es.
• Linea de comandos básica. curl, grep, jq, ssh. Mucho del trabajo de recon y verificación se hace en terminal. Si no te defiendes con curl, vas a sufrir.
• Disciplina y notas. El requisito más infravalorado. Bug bounty es 80% paciencia + metodología repetible y 20% técnica. Sin notas estructuradas y un pipeline diario, te bloqueas.

Si no tienes estas bases, no te frustres practicando bug bounty primero. Pasa 3-4 semanas con freeCodeCamp + MDN Web Docs. Volverás con muchísima más eficiencia.

Empieza con pocas herramientas, dominalas antes de añadir más. Esta lista cubre el 90% de los bugs en web bug bounty:

• Burp Suite Community

  Imprescindible

  Proxy interceptor obligatorio. Modifica peticiones al vuelo, repítelas con Repeater, fuerza con Intruder, y descubre endpoints con Spider/Crawler. La versión Community es suficiente para los primeros bugs.

• Browser DevTools

  Imprescindible

  El inspector de Chrome/Firefox es tu primer recon. Network tab para ver cada request, Application tab para cookies/localStorage, Console para probar payloads JavaScript en tiempo real.

• ffuf / dirsearch

  Recon

  Fuzzing de directorios y parámetros ocultos. ffuf es rápido y configurable; dirsearch viene con buenas wordlists por defecto. Necesarios para encontrar endpoints no documentados.

• subfinder + httpx

  Recon

  Subdomain enumeration pasivo + verificación de hosts vivos. Combo estándar para ampliar la superficie de ataque en un programa con scope amplio (*.dominio.com).

• sqlmap

  Explotación

  Automatiza la explotación de SQL Injection una vez la has detectado a mano. Útil para extraer datos rápido y demostrar impacto en el reporte.

• Nuclei

  Recon

  Escáner de vulnerabilidades basado en plantillas YAML. Ideal para detectar misconfigs comunes (S3 abierto, exposed .git, CVEs conocidas) en cientos de hosts a la vez.

• Burp Collaborator / interactsh

  Explotación

  Listener OOB para confirmar SSRF, blind XSS, blind XXE y RCE blind. Sin esto no puedes demostrar un bug ciego.

• Notion / Obsidian

  Productividad

  El olvidado. Tu metodología, payloads que funcionaron, recon notes por programa, lista de targets pendientes. Sin notas estructuradas, repites trabajo y pierdes oportunidades.

Para una lista exhaustiva con cheatsheets de cada herramienta, consulta la sección de cheatsheets de la Academy.

Estas son las clases que más se reportan y mejor pagan. No intentes aprender todas a la vez — domina una, salta a la siguiente. Cada una enlaza a labs de bug bounty donde puedes practicarla con vulnerabilidades reales:

• XSS (Cross-Site Scripting)

  $50 – $10,000+

  Inyección de JavaScript en páginas que ven otros usuarios. Cookie theft, account takeover, phishing. Es la vulnerabilidad más reportada en bug bounty — empieza aquí.

  Practica esta vulnerabilidad en BBLabs

• IDOR (Insecure Direct Object Reference)

  $200 – $5,000

  Cambias un id en la URL/body y accedes a recursos de otro usuario. No requiere skills técnicas avanzadas, solo metodología paciente. Perfecto primer bug.

  Practica esta vulnerabilidad en BBLabs

• SQL Injection

  $1,000 – $20,000

  Inyección de SQL en parámetros que se concatenan en queries. Permite leer la base de datos completa. Menos común hoy por los ORMs, pero los bounties siguen siendo altos.

  Practica esta vulnerabilidad en BBLabs

• SSRF (Server-Side Request Forgery)

  $500 – $30,000

  Forzar al servidor a hacer peticiones a URLs internas. Lleva a leer metadata de AWS/GCP, escanear la red interna, y a veces RCE. Bug favorito de hunters de cloud.

  Practica esta vulnerabilidad en BBLabs

• CSRF (Cross-Site Request Forgery)

  $100 – $3,000

  Forzar a un usuario autenticado a ejecutar acciones sin su consentimiento. Bypass de SameSite, login CSRF, y combinaciones con XSS son lo que paga.

  Practica esta vulnerabilidad en BBLabs

• Broken Access Control

  $500 – $15,000

  Acceder a funciones o datos que requerían permisos de admin/manager. OWASP A01:2021 — la categoría con más impacto del Top 10.

  Practica esta vulnerabilidad en BBLabs

• Authentication Bypass

  $1,000 – $50,000

  JWT alg none, OAuth state mal implementado, password reset por enumeración, MFA bypass. Saltarte el login es de los bounties más altos posibles.

  Practica esta vulnerabilidad en BBLabs

• Business Logic Flaws

  $500 – $25,000

  Race conditions en checkout, stacking de cupones, manipulación de precios, abuse de límites. No los detecta un escáner — solo el cerebro humano.

  Practica esta vulnerabilidad en BBLabs

Para teoría completa de cada categoría con payloads y bypasses, ve a la Academy gratuita de BBLabs.

Una vez tengas práctica en labs, te registras en estas plataformas para acceder a programas reales. Empieza por programas públicos con scope amplio. No saltes a privados hasta tener reputación.

• HackerOne

  hackerone.com ↗

  La plataforma más grande. Programas de Shopify, GitHub, Uber, Airbnb, US Department of Defense. Es donde van los hunters serios. Reputación se mide en signal/noise ratio.

• Bugcrowd

  bugcrowd.com ↗

  Segunda en tamaño. Programas de Tesla, Atlassian, Pinterest. Tienen el VRT (Vulnerability Rating Taxonomy) muy bien documentado — útil para entender severities.

• Intigriti

  intigriti.com ↗

  Plataforma europea, fuerte en GDPR/EU. Muchos programas privados accesibles para hunters de Europa. Pago en EUR — punto a favor para hunters españoles.

• YesWeHack

  yeswehack.com ↗

  Francesa, en expansión por Asia. Buen punto de entrada por programas con menor competición que H1/Bugcrowd. Triage rápido y staff técnico que entiende los reports.

Antes de tirarte a programas reales, necesitas practicar en entornos legales y controlados. Estas son las opciones reales, con sus trade-offs:

• BBLabs

  Recomendada para empezar

  Labs basados en reportes reales de HackerOne, Bugcrowd e Intigriti — no CTFs artificiales. Todo en español, 5€/mes, descargable. Academy gratuita con payloads y metodologías para 16 categorías.

• PortSwigger Web Security Academy

  Gratis · En inglés

  Excelente teoría y labs interactivos en navegador. Sin entornos descargables ni basados en reportes reales, pero el contenido es de la gente que hace Burp. Combínalo con BBLabs.

• HackTheBox

  ~14€/mes · En inglés

  Máquinas de pentesting completas (web + AD + linux/windows). Útil si quieres pentesting general, sobredimensionado si solo te interesa bug bounty web. Ver comparativa: BBLabs vs HackTheBox.

• TryHackMe

  ~10€/mes · En inglés

  Learning paths guiados y rooms para principiantes. Más accesible que HackTheBox pero menos enfocado en bug bounty real. Ver comparativa: BBLabs vs TryHackMe.

• PentesterLab

  ~35€/mes · En inglés

  Ejercicios técnicos centrados en web. Buena calidad pero precio elevado y UI antigua. Útil para hunters intermedios que ya tienen base.

• BugBountyHunter.com

  Cerrada en 2024

  Plataforma de zseano que cerró operaciones en 2024. Era referencia para principiantes hispanos. BBLabs nació en parte para llenar ese hueco con contenido en español.

Esta es la metodología simplificada que aplica el 90% de hunters intermedios. Sin atajos: cada paso construye sobre el anterior.

1. 1

   Selecciona un programa con baja competición

   En HackerOne, filtra por programas públicos lanzados en los últimos 90 días con bounties pagados (señal de que el programa paga). Evita los gigantes (Shopify, GitHub) hasta tener experiencia: están saturados de top hunters. Mejor un programa mid-tier en VDP→Bounty migration o uno regional.

2. 2

   Lee el program brief al detalle

   Scope (qué dominios/apps puedes tocar), out-of-scope (qué NO puedes), tipos de bugs aceptados/rechazados (los duplicates más comunes), y reglas de testing (rate limits, no DoS, no automated scans en login). Sin esto, tu reporte se cierra como N/A o te banean.

3. 3

   Recon: amplía la superficie

   Subdomain enumeration (subfinder, amass), endpoints ocultos (ffuf, dirsearch), tech stack (Wappalyzer, httpx -tech-detect). El bug que nadie ha encontrado suele estar en el subdominio que nadie miró. Tarda 2-4 horas — no skipees esto.

4. 4

   Test sistemático por categoría

   Aplica una checklist por feature: en cada formulario prueba XSS reflejado en cada campo, en cada endpoint que reciba un id prueba IDOR, en cada upload prueba bypass de tipo. No vayas en zigzag — sistemático.

5. 5

   Confirma impacto antes de reportar

   Tener un alert(1) no es suficiente. Demuestra qué hace un atacante con ese bug. ¿Cookie theft? Captura una sesión real (de una cuenta tuya, no real de otro user). ¿IDOR? Lista 3 recursos accesibles que no deberían serlo. Sin impacto, el triager baja la severity.

6. 6

   Reporta siguiendo la plantilla del programa

   Ver sección 9. Brevemente: title claro, summary 1-2 frases, steps to reproduce numerados, PoC con screenshots/video, severity justificada, suggested fix. Profesional y al grano.

7. 7

   Espera, responde, no spamees

   El triage tarda entre 24h y 4 semanas dependiendo del programa. Responde rápido a peticiones de info. No envíes follow-ups antes de 7 días. La paciencia se nota — y se recompensa con relación de confianza con el equipo de seguridad.

Si quieres entrenar este flujo antes de tocar un programa real, los labs de bug bounty de BBLabs replican exactamente esta dinámica: lees un brief, descargas el entorno, exploits la vuln, capturas la flag y desbloqueas el writeup.

Un bug excelente con un reporte malo se cierra como Informational. Un bug medio con un reporte impecable se paga como High. La calidad del reporte es la mitad del bounty.

Estructura mínima que esperan triagers de HackerOne, Bugcrowd e Intigriti:

• TitleTítulo corto que diga qué + dónde. Ej: "Stored XSS via profile bio at /u/<username>".
• Summary1-2 frases. Qué vulnerabilidad, qué impacto. El triager decide la prioridad solo leyendo esto.
• Severity & ImpactCritical/High/Medium/Low + qué puede hacer un atacante real (account takeover, lectura de PII, RCE, ...). Sin teoría — impacto concreto.
• Steps to ReproduceNumerados, con URLs exactas, parámetros exactos, payload exacto. Si necesita una cuenta de prueba, especifica cómo crearla.
• Proof of Concept (PoC)Screenshots, video corto (<60s), o curl reproducible. Demuestra que funciona — no afirmes.
• RemediationSugerencia técnica de fix. CSP, parametrización, validación server-side, lo que aplique. Demuestra que entiendes el bug.
• ReferencesOWASP, CWE, CVE relacionados. Ayuda al triager a clasificar la severity.

Cada lab de BBLabs incluye un writeup con esta estructura para que internalices el formato. Después, copiar la plantilla a tu primer reporte real es trivial.

Aprender bug bounty es un proceso continuo: cada año aparecen nuevas técnicas, payloads y bypasses. Estos son los recursos que sigo activamente:

Y dentro de BBLabs: la Academy (16 categorías de vulns con payloads), los cheatsheets (Burp, ffuf, sqlmap, ...), y el diccionario de seguridad.

• ¿Cuánto tiempo se tarda en encontrar el primer bug bounty?

  Depende de tu base. Con conocimiento básico de web (HTTP, HTML, JavaScript) y 1-2 horas al día de práctica, lo normal son 3-6 meses hasta el primer bounty pagado. La clave no es estudiar más teoría sino practicar en labs reales y luego saltar a programas con baja competición.

• ¿Es legal hacer bug bounty?

  Sí, siempre que sigas el scope y las reglas del programa. Bug bounty es hacking ético autorizado. Atacar sistemas fuera del scope, hacer DoS, o extraer datos reales de usuarios sin permiso es ilegal y te banean (y posibles consecuencias legales). Lee siempre el program brief antes de testear.

• ¿Necesito saber programar para hacer bug bounty?

  Saber leer código (JavaScript, PHP, Python básico) ayuda muchísimo. No necesitas ser desarrollador profesional, pero entender qué hace el frontend y poder interpretar respuestas del backend acelera todo. Si no programas, empieza por aprender JavaScript en paralelo.

• ¿Cuánto se gana en bug bounty?

  Hay tres tramos. Hobbyists: $500-$5,000/año. Hunters part-time consistentes: $20,000-$80,000/año. Top hunters full-time: $150,000-$500,000+/año. La distribución es muy long-tail — el 90% de hunters cobra menos del 10% del total. No es plan B fácil; es disciplina.

• ¿Dónde practicar bug bounty si soy principiante?

  Empieza por la Academy gratuita de BBLabs para entender cada vulnerabilidad. Después, labs prácticos de BBLabs (5€/mes, basados en reportes reales) y PortSwigger Web Security Academy (gratis, más teórico). Cuando ya sepas explotar XSS, IDOR, y SQLi a mano, estás listo para programas en HackerOne con scope público.

• ¿Qué vulnerabilidad debo aprender primero?

  IDOR. Razón: no requiere conocimientos técnicos avanzados, solo paciencia y metodología. Cambias un id en la URL y accedes a datos de otro usuario. Una vez controles IDOR, salta a XSS reflejado, después XSS stored, después SSRF y SQLi.

• ¿BBLabs sirve para empezar de cero?

  Sí. Cada lab incluye un writeup paso a paso. La Academy es gratis y cubre desde lo básico (qué es XSS) hasta payloads avanzados. Hay labs de dificultad Easy diseñados para hunters que nunca han reportado un bug. Y al ser en español, no hay barrera de idioma.

• ¿Cuál es la mejor plataforma de bug bounty en español?

  BBLabs es la única plataforma en español enfocada específicamente en bug bounty con labs basados en reportes reales. Para teoría hay recursos en español (s4vitar, Hack4u), pero para práctica hands-on con vulnerabilidades reales, BBLabs es la opción nativa en español.