Qué es el bug bounty: guía completa 2026 (cómo funciona, cuánto paga, es legal)

Respuesta rápida: El bug bounty es un programa por el que una empresa paga a hackers éticos por encontrar y reportar vulnerabilidades en sus sistemas, dentro de unas reglas legales llamadas scope. Tú buscas fallos, los documentas en un reporte y, si son válidos, cobras una recompensa proporcional a su impacto. Es legal, remoto y meritocrático: cobras por resultados, no por horas.

¿Qué es el bug bounty?

El bug bounty (literalmente "recompensa por fallos") es un modelo de seguridad ofensiva en el que una organización invita a investigadores externos a buscar vulnerabilidades en sus aplicaciones, APIs o infraestructura, y les paga por cada fallo válido que reporten.

La idea es sencilla: ninguna empresa puede contratar a todos los buenos hackers del mundo, pero sí puede abrir sus puertas para que cualquiera intente romper sus sistemas de forma controlada y legal. Si encuentras algo, lo reportas en privado, la empresa lo arregla y tú cobras. Nadie pierde datos, nadie va a la cárcel y la web queda más segura.

A diferencia de un pentest tradicional (donde se contrata a una consultora por un número fijo de días), el bug bounty es abierto y continuo: el programa puede estar activo durante años y cualquier hunter del planeta puede participar. Cobras por impacto real, no por tiempo.

¿Cómo funciona un programa de bug bounty?

El flujo, de principio a fin, es casi siempre el mismo:

1. La empresa publica un programa. Define el scope (qué dominios, apps y APIs puedes atacar), las reglas, qué está prohibido (DoS, ingeniería social, ataques a terceros) y la tabla de recompensas por severidad.
2. Te registras en la plataforma y aceptas las reglas del programa. A partir de ahí estás autorizado a hackear solo lo que está dentro del scope.
3. Investigas (recon + testing). Mapeas la superficie de ataque, buscas comportamientos raros y pruebas vectores conocidos: control de acceso roto, inyecciones, fallos de lógica de negocio, etc.
4. Encuentras un fallo y escribes un reporte. Un buen reporte incluye descripción, pasos de reproducción, impacto y una prueba de concepto (PoC) clara.
5. Triage. El equipo de seguridad (o la plataforma) revisa tu reporte, lo reproduce y decide si es válido, duplicado o fuera de scope.
6. Pago. Si es válido, te asignan una severidad y cobras la recompensa correspondiente. Muchos programas también dan puntos de reputación que abren la puerta a invitaciones privadas mejor pagadas.

El cuello de botella casi nunca es encontrar el bug: es reportarlo bien. Un fallo crítico mal explicado puede acabar cerrado como "informativo".

¿En qué plataformas se hace bug bounty?

La mayoría de programas se gestionan a través de plataformas que hacen de intermediario (triage, pagos, reputación). Estas son las cuatro grandes:

No necesitas elegir una sola: muchos hunters trabajan en varias a la vez. Si empiezas desde Europa, Intigriti y YesWeHack suelen ser cómodas por idioma, soporte y fiscalidad.

¿Cuánto se gana en bug bounty?

Depende muchísimo del impacto del fallo y de la empresa. Una recompensa puede ir desde 0 € (un VDP, programa sin pago) hasta cinco o seis cifras por un fallo crítico en una empresa grande. Como referencia rápida:

• Fallos de baja severidad (info disclosure, headers): de nada a unos cientos de euros.
• Severidad media (CSRF, XSS reflejado, open redirect encadenado): cientos de euros.
• Alta (SSRF, XSS persistente, IDOR con datos personales): de uno a varios miles.
• Crítico (RCE, bypass de autenticación, robo masivo de datos): miles, y en big tech decenas de miles.

La parte honesta: la mayoría de principiantes tarda meses en cobrar su primer bug y muchos no llegan a vivir de esto. Lo desarrollo con cifras reales en la guía Cuánto se gana en bug bounty.

¿Es legal el bug bounty?

Sí, siempre que te mantengas dentro del scope y las reglas del programa. Cuando una empresa publica un programa de bug bounty, te está dando autorización explícita para probar la seguridad de los activos listados. Muchos programas incluyen una cláusula de safe harbor que promete no tomar acciones legales contra investigadores que actúen de buena fe.

Lo que no es legal:

• Atacar dominios o sistemas que no están en el scope.
• Salirte de las reglas (ej. extraer y conservar datos reales de usuarios, hacer DoS, pivotar a redes internas sin permiso).
• Hackear una empresa que no tiene programa y exigir dinero después. Eso es extorsión, no bug bounty.

Regla de oro: si dudas si algo está permitido, no lo hagas y pregunta al equipo del programa. La frontera entre hacker ético y delito es el scope y la autorización.

¿Qué necesito saber para empezar?

No necesitas un máster, pero sí unas bases sólidas:

• Cómo funciona la web: HTTP, cookies, sesiones, headers, mismo origen (same-origin), TLS.
• Las vulnerabilidades clásicas: control de acceso roto, inyecciones, XSS, CSRF, SSRF, fallos de lógica. Tienes una explicación de cada familia en el diccionario de vulnerabilidades.
• Una herramienta de proxy: Burp Suite (la versión Community es gratuita) para interceptar y modificar peticiones.
• Mentalidad: paciencia, método y leer reportes ajenos hasta que el patrón "huela" solo.

¿Por dónde empiezo? (ruta práctica)

1. Aprende la teoría base con una ruta ordenada: Aprender bug bounty desde cero.
2. Practica con fallos reales, no de juguete. En los labs de BBLABS reproduces vulnerabilidades sacadas de reportes públicos reales, en español, sin montar nada (los lanzas en el navegador).
3. Sigue un orden de dificultad en vez de saltar al azar: el roadmap del hunter te lleva lab a lab, de fácil a difícil, sin saltarte fundamentos.
4. Cuando tengas soltura, elige un programa amplio (con mucho scope y poca competencia veterana) y empieza a reportar de verdad.

No intentes "ganar dinero" la primera semana. Intenta entender un fallo a la semana. El dinero llega después, casi solo.

Preguntas frecuentes (FAQ)

¿Necesito saber programar para hacer bug bounty?
Ayuda mucho, pero no es imprescindible para empezar. Entender HTTP y leer código (sin escribirlo perfecto) te lleva lejos. Programar te permite automatizar recon y entender fallos de lógica más profundos.

¿Puedo hacer bug bounty siendo menor de edad?
Sí, técnicamente puedes encontrar y reportar fallos, pero cobrar suele requerir ser mayor de edad o usar la cuenta de un tutor, según la plataforma y tu país. Revisa los términos de cada plataforma.

¿Cuánto se tarda en cobrar el primer bug?
Muy variable: desde unas semanas hasta más de un año. Depende de tu base previa, de las horas que le metas y de elegir bien los programas. La media realista para alguien que empieza de cero es de varios meses.

¿Bug bounty o certificaciones (OSCP, etc.)?
No son excluyentes. Las certis abren puertas laborales; el bug bounty demuestra resultados reales y un perfil público. Muchos hunters combinan ambos.

¿Qué pasa si reporto un duplicado?
No cobras (alguien lo reportó antes), pero no pasa nada malo: forma parte del juego. Reduces duplicados eligiendo programas con menos competencia y buscando fallos de lógica difíciles de automatizar.

Conclusión

El bug bounty es una de las pocas disciplinas técnicas donde lo único que importa es tu resultado: no tu título, ni tu edad, ni dónde vives. Es legal, es remoto y la barrera de entrada es el conocimiento, no el dinero. La forma más rápida de entrar no es leer mil tutoriales, sino practicar fallos reales en orden hasta que el patrón se te grabe. Empieza por la ruta para principiantes y reproduce tu primer fallo en los labs hoy mismo.