Cuánto paga de verdad el bug bounty: recompensas medias por tipo de vulnerabilidad y severidad, lo que ganan los top hunters, la realidad para principiantes y por qué la mayoría no vive de esto.
Gorka El Bochi
Fundador de BBLABS
Respuesta rápida: En bug bounty no hay sueldo: cobras por fallo válido. Las recompensas van desde 0 € (programas VDP sin pago) hasta cinco o seis cifras por un crítico en una empresa grande. Una recompensa media de severidad alta ronda los 1.000–5.000 $; un crítico, varios miles y hasta decenas de miles. Pero la realidad es dura: la mayoría de principiantes tarda meses en cobrar su primer bug y muy pocos viven solo de esto.
En bug bounty no existe un salario. No cobras por horas ni por estar conectado: cobras solo si encuentras un fallo válido que no sea duplicado y lo reportas bien. Eso significa que dos hunters con las mismas horas pueden ganar 0 € y 20.000 € el mismo mes.
Por eso la pregunta correcta no es "cuánto se gana", sino "cuánto paga cada tipo de fallo y cuántos consigo encontrar". Vamos a las cifras.
Las recompensas se asignan por severidad (normalmente alineada con CVSS o con la VRT de Bugcrowd). Estos son rangos orientativos que verás repetidos en las tablas públicas de los programas más activos (HackerOne, Bugcrowd, Intigriti, 2023–2025). Varían enormemente según la empresa:
| Severidad | Ejemplos típicos | Rango orientativo |
|---|---|---|
| Crítica | RCE, bypass de autenticación, SQLi con extracción de datos | 2.000 $ – 20.000 $+ (decenas de miles en big tech) |
| Alta | SSRF, XSS persistente, IDOR con datos personales | 1.000 $ – 5.000 $ |
| Media | CSRF, XSS reflejado, open redirect encadenado | 250 $ – 1.000 $ |
| Baja | Info disclosure menor, fallos de configuración | 50 $ – 250 $ |
| Informativa / VDP | Headers ausentes, buenas prácticas | 0 $ (solo reputación) |
Dos matices importantes:
A grandes rasgos, lo que más paga es lo que más se acerca a dinero, datos personales o ejecución de código:
| Familia de fallo | Por qué paga (o no) | Recompensa típica |
|---|---|---|
| RCE / Command Injection | Control total del servidor. El santo grial. | Muy alta |
| Auth bypass / Account Takeover | Entrar como otro usuario o como admin. | Alta–muy alta |
| SSRF | Pivota a la red interna y al cloud metadata. | Media–alta |
| IDOR / Broken Access Control | Acceso a datos ajenos. Muy común. | Media–alta |
| SQL Injection | Datos directos de la base de datos. | Alta |
| XSS persistente | Robo de sesión, acciones por la víctima. | Media |
| XSS reflejado / CSRF | Requiere interacción; menor impacto. | Baja–media |
| Open redirect, info disclosure | Impacto limitado salvo encadenado. | Baja / VDP |
Tienes la explicación técnica de cada una en el diccionario de vulnerabilidades. Si quieres maximizar ingresos, especialízate en las familias de arriba (control de acceso, lógica de negocio, SSRF), no en las de abajo.
Aquí es donde aparecen las cifras de titular. Según los informes anuales de las plataformas (HackerOne, Bugcrowd, 2019–2024):
Pero ojo: esas cifras son acumuladas (a lo largo de años) y corresponden al top 1 %. Son el equivalente a fijarse en los ingresos de los youtubers más grandes para decidir si "se gana dinero" subiendo vídeos.
Esta es la sección que casi nadie te cuenta:
Esto no es para desanimarte: es para que entres con expectativas correctas. Quien empieza pensando "voy a dejar mi trabajo en tres meses" lo deja a las seis semanas, frustrado. Quien empieza pensando "voy a aprender a encontrar un fallo de verdad" acaba cobrando.
La diferencia entre ganar 0 € y ganar de verdad casi nunca es "saber más exploits". Suele ser esto:
Si vienes de cero, la ruta sensata es teoría ordenada en Aprender bug bounty y después labs en orden de dificultad. El dinero es la consecuencia, no el objetivo del primer mes.
¿Se puede vivir del bug bounty?
Sí, pero es minoritario. Un porcentaje pequeño de hunters lo convierte en su ingreso principal; muchos lo usan como complemento al sueldo. Trátalo primero como aprendizaje rentable, no como sustituto inmediato de tu trabajo.
¿Cuánto se tarda en cobrar el primer bug?
Para alguien que empieza de cero, lo realista son varios meses de práctica constante. Quien ya tiene base de desarrollo o pentest puede acortarlo bastante.
¿Cuánto paga un XSS?
Depende del tipo y del contexto. Un XSS reflejado suele ser de baja-media severidad (cientos de euros); un XSS persistente en un panel sensible puede ser alto. El contexto manda más que la etiqueta.
¿Pagan en euros o en dólares?
Las plataformas estadounidenses pagan en dólares; las europeas (Intigriti, YesWeHack) suelen operar en euros. Recuerda declarar tus ingresos: el bug bounty es renta y tributa.
¿Es mejor cantidad de reportes o calidad?
Calidad. Un crítico bien reportado vale más que veinte informativos. Además, la reputación que ganas con reportes buenos te abre programas privados mejor pagados.
En bug bounty se puede ganar desde 0 € hasta cifras que cambian la vida, pero la mediana real para quien empieza es mucho más modesta de lo que sugieren los titulares. Las recompensas premian impacto (control de acceso, lógica, RCE, SSRF) y buenos reportes, no horas conectadas. Entra con expectativas correctas, especialízate en lo que paga y entrena con fallos reales: el dinero es la consecuencia de saber reconocer el patrón, y eso se entrena.
Aprende a identificar y explotar vulnerabilidades IDOR (Insecure Direct Object Reference) en aplicaciones web. Desde los conceptos básicos hasta la escritura de reportes efectivos.
Guía completa para empezar en HackerOne: desde crear tu cuenta hasta enviar tu primer reporte de vulnerabilidad. Consejos para principiantes.
Qué es el bug bounty, cómo funciona un programa paso a paso, en qué plataformas se hace (HackerOne, Bugcrowd, Intigriti, YesWeHack), cuánto se gana, si es legal y por dónde empezar desde cero.