Saltar al contenido

Próxima edición 6 de julio de 2026

Seguridad ofensiva

Bug Bounty

Un bug bounty es un programa en el que una organización invita a investigadores de seguridad a encontrar y reportar vulnerabilidades en sus sistemas a cambio de reconocimiento o recompensas económicas. Los hunters prueban objetivos dentro del scope siguiendo unas reglas definidas, envían un informe con pruebas y reciben una recompensa cuando se valida el problema.

Autor
parth-narula
Tiempo de lectura
5 min de lectura
Última actualización

Un bug bounty es una forma estructurada de que las organizaciones externalicen las pruebas de seguridad a una comunidad. En lugar de depender solo de equipos internos o de una única auditoría anual, una empresa abre sus sistemas a una comunidad global de investigadores de seguridad a los que recompensa por encontrar y reportar vulnerabilidades reales antes de que lo hagan los actores maliciosos.

Por qué importa

El software se publica más rápido de lo que cualquier equipo de seguridad interno puede revisar. Cada nueva funcionalidad, API e integración con terceros amplía la superficie de ataque, y las pruebas tradicionales puntuales no pueden seguir el ritmo. Los programas de bug bounty cierran esa brecha con pruebas adversarias continuas realizadas por miles de investigadores con habilidades y perspectivas diversas.

Para las organizaciones, el valor es asimétrico: solo pagas por hallazgos válidos y únicos, y llegas a especialistas que nunca podrías contratar a tiempo completo. Para los investigadores, el bug bounty es una de las formas más rápidas de construir una reputación pública, generar ingresos y demostrar habilidad ofensiva con resultados verificables. Muchos de los hallazgos más comunes, como los fallos de control de acceso IDOR/BOLA y las vulnerabilidades de lógica de negocio, recompensan el pensamiento cuidadoso por encima de la explotación avanzada, lo que convierte al bug bounty en una vía de entrada accesible al sector.

Cómo funciona un bug bounty

Todo programa publica una política. Leerla con atención es el hábito más importante que un hunter puede desarrollar, porque define qué es legal, qué está dentro del scope y qué se paga.

El ciclo de vida de un único hallazgo es así:

Un hunter mapea el objetivo, encuentra una vulnerabilidad y la documenta con pasos claros para reproducirla y una prueba de concepto. El equipo de seguridad hace el triaje del informe, confirma el impacto y la severidad, y paga una recompensa si el problema es válido y no es un duplicado. El motivo más habitual por el que un bug real no recibe nada es que otro hunter lo reportó primero, por lo que la estrategia de objetivo y de tiempos importa tanto como la habilidad técnica.

Programas de pago vs. programas de divulgación

Hay dos modelos generales, y elegir el adecuado cambia tus probabilidades de forma drástica cuando empiezas.

ModeloRecompensaCompetenciaIdeal para
Bug bounty de pagoDinero, por niveles según severidadAlta en programas popularesHunters experimentados, ingresos
Vulnerability Disclosure Program (VDP)Reconocimiento, Hall of Fame, swagNormalmente bajaPrincipiantes que construyen un historial

Ambos funcionan en plataformas como HackerOne y Bugcrowd, o directamente a través del contacto security.txt de la propia empresa. Los VDP se construyen en torno a la divulgación responsable y, como rara vez pagan dinero, atraen a muchos menos hunters, lo que se traduce en tasas de duplicados más bajas y más margen para un primer hallazgo válido.

Clases comunes de vulnerabilidades en bug bounty

Los principiantes no necesitan dominar todos los tipos de vulnerabilidad. Un conjunto reducido concentra la mayoría de los informes válidos:

  • IDOR / BOLA: acceder al objeto de otro usuario cambiando un ID, el hallazgo con mayor probabilidad para principiantes.
  • Fallos de lógica de negocio: abusar de funcionalidades legítimas (manipulación de precios, salto de flujos de trabajo) para llegar a resultados no previstos.
  • Autenticación rota: tokens débiles, enlaces de restablecimiento de contraseña reutilizables, falta de límites de tasa en el OTP.
  • Condiciones de carrera: abusar de los tiempos para canjear o retirar algo más de una vez.
  • Divulgación de información: respuestas de API expuestas, claves filtradas en JavaScript y almacenamiento mal configurado.

Cómo empezar

El éxito en bug bounty depende menos de las herramientas y más de elegir el objetivo adecuado y entenderlo en profundidad. Un principiante que elige un programa acotado y con poca competencia y se compromete con él durante semanas superará a quien salta entre programas enormes cada pocos días. Construye tus fundamentos en un home lab, estudia las pruebas de seguridad de API y lee informes divulgados cada semana para entrenar tu reconocimiento de patrones.

El bug bounty recompensa la paciencia y la profundidad. El primer informe válido es el más difícil; una vez que entiendes cómo elegir objetivos y redactar informes claros, cada hallazgo posterior llega más rápido, y el historial público que construyes abre puertas en toda la seguridad ofensiva.

En el Bootcamp

Cómo enseñamos Bug Bounty

En nuestro Cybersecurity Bootcamp, no solo aprenderás sobre Bug Bounty en teoría. Practicarás con herramientas reales en laboratorios prácticos, guiado por profesionales de la industria que usan estos conceptos a diario.

Cubierto en:

Módulo 10: Pentesting y Hacking Ético

Temas relacionados que dominarás:MetasploitNmapBurp SuiteEscalada de Privilegios
Ver Cómo enseñamos esto

360+ horas de formación experta • CompTIA Security+ incluido