¿Cuánto dinero se puede ganar con bug bounties?

Los ingresos varían enormemente. La mayoría de investigadores que participan como hobby ganan entre 0 y unos pocos miles de dólares al año. Los investigadores a tiempo completo del top 1% pueden ganar entre 100.000 y 500.000 dólares anuales. Los pagos individuales van desde 50 a 100 dólares por vulnerabilidades menores hasta cientos de miles por fallos críticos. El pago individual más alto confirmado en HackerOne supera los 100.000 dólares, y Apple ofrece hasta 2 millones teóricos por una cadena completa de zero-click en iPhone. Sin embargo, la mediana real es mucho más modesta.

¿Cuál es la diferencia entre un VDP y un bug bounty?

Un Vulnerability Disclosure Program (VDP) es un canal oficial para que investigadores reporten vulnerabilidades de forma segura, pero sin recompensa económica. Ofrece protección legal (safe harbor) y un proceso estructurado de reporte. Un bug bounty añade incentivos económicos: paga por cada vulnerabilidad válida según su severidad. Muchas organizaciones empiezan con un VDP y evolucionan a bug bounty cuando maduran su proceso. La ISO 29147 y directrices de CISA recomiendan que toda organización tenga al menos un VDP.

¿Qué plataforma de bug bounty es mejor para empezar?

HackerOne es la plataforma más grande con más programas disponibles (más de 1.950 activos) y es la mejor opción para principiantes por la variedad de programas públicos. Bugcrowd tiene una comunidad muy activa y buen contenido educativo. Intigriti es fuerte en Europa y ofrece una experiencia de usuario pulida. Para investigadores con experiencia demostrable, Synack opera un modelo por invitación con pagos generalmente más altos. La recomendación es empezar en HackerOne o Bugcrowd con programas públicos de empresas grandes (que suelen tener scopes amplios y triaje rápido).

¿Cómo funcionan los pagos en un programa de bug bounty?

El flujo típico es: el investigador envía un reporte a través de la plataforma, el equipo de triaje lo revisa y clasifica (válido, duplicado, informativo, fuera de scope), si es válido se asigna una severidad (crítica, alta, media, baja), y el pago se calcula según la tabla de recompensas del programa. Los pagos se transfieren electrónicamente (PayPal, transferencia bancaria, criptomonedas según la plataforma). El plazo de pago varía: algunos programas pagan en días, otros tardan semanas. Un reporte duplicado (otro investigador lo reportó antes) no recibe pago.

¿Es posible vivir exclusivamente de los bug bounties?

Sí, pero no es fácil ni estable. Un pequeño porcentaje de investigadores (estimado en el 1% a 3% de los participantes activos) vive exclusivamente de bug bounties. Requiere habilidades técnicas avanzadas, dedicación a tiempo completo, especialización en ciertos tipos de vulnerabilidades y resiliencia ante la variabilidad de ingresos (meses con pagos altos seguidos de meses sin encontrar nada). Los investigadores más exitosos combinan bug bounties con consultoría de seguridad, formación o empleo a tiempo parcial. Como carrera exclusiva, es viable para los mejores, pero la mayoría lo trata como complemento.

Principiantevulnerabilidadesbug-bountyeconomíainvestigacióncarreras

Bug Bounties: La Economía de Encontrar Vulnerabilidades

Desde los 1.000 dólares de Netscape en 1995 hasta los 81 millones anuales de HackerOne, los bug bounties han creado una economía global de investigación de seguridad. Historia, plataformas, pagos récord y el futuro con IA.

MalwareIntel Research·20 de mayo de 2026·14 min lectura

Serie: Vulnerabilidades que Cambiaron la Historia — Parte 39

De la gratitud a los millones: historia de los bug bounties

La idea de pagar a desconocidos por encontrar fallos en tu software suena arriesgada. Hace treinta años, era impensable. Hoy, las empresas más valiosas del mundo gastan colectivamente cientos de millones de dólares al año pagando a hackers éticos por descubrir vulnerabilidades antes de que lo hagan los atacantes. La historia de cómo llegamos aquí es la historia de un cambio cultural en la industria del software.

Los pioneros: Netscape y los primeros pasos (1995)

El 10 de octubre de 1995, Netscape Communications lanzó lo que se considera el primer programa formal de bug bounty de la industria tecnológica. Jarrett Ridlinghafer, un ingeniero de soporte de Netscape, propuso la idea de recompensar a los hackers externos en lugar de tratarlos como adversarios. El programa ofrecía hasta 1.000 dólares y merchandising de la empresa por fallos de seguridad en Netscape Navigator 2.0 Beta.

La cobertura mediática fue significativa. La idea de que una empresa tecnológica invitara activamente a personas externas a buscar fallos en su producto era revolucionaria. Sin embargo, la iniciativa de Netscape no fue imitada inmediatamente. La industria tardó casi una década en adoptar el modelo.

El desierto (1996 a 2004)

Tras Netscape, el concepto prácticamente desapareció. En 2002, IDefense (posteriormente adquirida por VeriSign) lanzó una iniciativa para comprar información sobre vulnerabilidades a investigadores. No era exactamente un bug bounty de vendedor (IDefense era un tercero), pero sentó un precedente económico: la información sobre vulnerabilidades tiene valor monetario.

En 2004, Mozilla relanzó el concepto con un programa de bug bounty para Firefox. Las recompensas iniciales eran modestas (500 dólares por fallo crítico), pero el programa demostró que el modelo de Netscape era viable y escalable. Mozilla sigue operando su programa hoy, con pagos significativamente mayores.

La explosión (2010 a 2015)

El periodo entre 2010 y 2015 transformó los bug bounties de curiosidad a estándar de la industria:

2010: Google lanza su Vulnerability Reward Program (VRP) para Chrome y servicios web. Los pagos iniciales iban de 500 a 3.133 dólares.
2011: Facebook lanza su bug bounty con un pago mínimo de 500 dólares. El programa pagó más de 1 millón de dólares en su primer año.
2012: HackerOne se funda como la primera plataforma dedicada a gestionar programas de bug bounty.
2012: Bugcrowd se funda como plataforma competidora.
2013: Microsoft, históricamente reticente, lanza su primer programa de bug bounty con pagos de hasta 100.000 dólares para técnicas de bypass de mitigaciones.
2014: El Pentágono anuncia "Hack the Pentagon", el primer programa de bug bounty del gobierno de Estados Unidos.
2016: Apple lanza su Security Bounty con pagos de hasta 200.000 dólares (ampliado posteriormente a 2 millones).

Las plataformas: el ecosistema actual

HackerOne

Fundada en 2012, HackerOne es la plataforma de bug bounty más grande del mundo. Cifras clave (periodo julio 2024 a junio 2025):

81 millones de dólares pagados a hackers en el último año (incremento del 13% interanual).
Más de 1.950 programas activos.
300 millones de dólares acumulados pagados a hackers desde la fundación.
Pago medio por programa activo: aproximadamente 42.000 dólares anuales.
Los 10 programas más grandes pagaron 21,6 millones de dólares.
Los 100 programas más grandes pagaron 51 millones.

HackerOne estima que por cada dólar gastado en bounties, las empresas ahorran 15 dólares en costes de brechas evitadas, lo que equivale a 3.000 millones de dólares en pérdidas financieras mitigadas.

Clientes destacados: Departamento de Defensa de EE.UU., Goldman Sachs, General Motors, Coinbase, Uber, Spotify.

Bugcrowd

Fundada en 2012 en Australia y con sede en San Francisco, Bugcrowd es la segunda plataforma más grande. Se distingue por:

Una comunidad muy activa de investigadores.
Fuerte contenido educativo y de formación.
CrowdMatch: algoritmo que empareja investigadores con programas según sus habilidades.
Cuota de mercado estimada del 32% por mindshare de investigadores.

Bugcrowd gestiona programas para empresas como Mastercard, Netflix y Atlassian.

Intigriti

Fundada en Bélgica en 2016, Intigriti se ha posicionado como la plataforma líder en Europa. Sus diferenciadores:

Raíces europeas: Fuerte base de investigadores en la UE, relevante para empresas con requisitos de residencia de datos GDPR.
Interfaz de usuario cuidada: Consistentemente valorada por los investigadores como la plataforma con mejor UX.
Eventos de live hacking: Organiza eventos presenciales y virtuales donde investigadores atacan en vivo sistemas de clientes.
Calidad sobre volumen: Los programas tienden a tener reportes de mayor calidad media.

Synack

Synack opera un modelo fundamentalmente diferente al resto:

Solo por invitación. Los investigadores deben pasar un proceso de selección riguroso. No hay registro abierto.
Investigadores verificados. Synack verifica identidad, antecedentes y habilidades de cada investigador de su red (Synack Red Team o SRT).
Pagos más altos. La selectividad permite que los programas paguen más por hallazgo.
Modelo gestionado. Synack gestiona activamente el programa, a diferencia de HackerOne y Bugcrowd donde la empresa cliente gestiona su propio triaje (opcionalmente).

Synack es especialmente popular entre empresas de defensa, financieras y gubernamentales que necesitan verificación de los investigadores.

Otras plataformas relevantes

YesWeHack: Plataforma francesa con fuerte presencia en el sector público europeo.
Immunefi: Especializada en Web3/blockchain. Domina el espacio cripto con bounties que pueden alcanzar millones de dólares.
Open Bug Bounty: Plataforma gratuita y abierta para programas sin coste de gestión.

La economía del bug bounty

Pagos récord

Los pagos individuales más altos reflejan la evolución del mercado:

Año	Empresa	Pago	Tipo de vulnerabilidad
2022	Google	605.000 USD	Cadena de exploits en Android
2023	Crypto.com	Hasta 2M USD (programa)	Smart contract críticos
2021	Apple	Hasta 2M USD (teórico)	iPhone full chain zero-click
2024	Microsoft	200.000 USD	Hyper-V guest-to-host escape
2025	Samsung	1M USD (máximo programa)	Knox/Secure Enclave bypass

El programa de bug bounty más grande jamás lanzado en HackerOne es el de Crypto.com, con 2 millones de dólares de presupuesto y 300 investigadores autorizados.

Distribución de ingresos

La economía de los bug bounties sigue una ley de poder (power law) extrema:

El 1% superior de investigadores acumula una parte desproporcionada de los ingresos totales.
La mediana de pagos es significativamente inferior a la media, porque unos pocos pagos grandes elevan el promedio.
La mayoría de investigadores que participan como hobby ganan cientos a pocos miles de dólares al año.
Los investigadores a tiempo completo del top tier pueden ganar seis cifras anuales.

¿De dónde vienen los investigadores?

Según datos de HackerOne y otras plataformas, los principales países por número de investigadores son:

India. El país con más investigadores registrados en plataformas de bug bounty. La combinación de talento técnico abundante, acceso a formación online y el atractivo económico de las recompensas en dólares impulsa la participación.
Estados Unidos. El 19% de los investigadores en HackerOne se localizan en EE.UU.
Pakistán. Consistentemente entre los tres primeros países por número de reportes válidos.
Bangladesh, Nigeria, Egipto, Nepal. Países con ecosistemas de bug bounty en crecimiento rápido, impulsados por el acceso a formación online y la diferencia de poder adquisitivo.

La globalización del bug bounty es uno de sus aspectos más democráticos: un investigador en Lahore o Lagos tiene acceso a los mismos programas y las mismas recompensas que uno en San Francisco.

VDP vs Bug Bounty: no son lo mismo

Vulnerability Disclosure Program (VDP)

Un VDP es un canal oficial para recibir reportes de vulnerabilidades sin ofrecer recompensa económica. El VDP proporciona:

Safe harbor legal. Protección explícita para investigadores que reporten de buena fe.
Proceso estructurado. Canal de comunicación, plazos de respuesta, seguimiento.
Compromiso público. La empresa se compromete a no perseguir legalmente a investigadores que sigan las reglas.

El VDP no paga. Su valor para el investigador es la protección legal y el reconocimiento (hall of fame, agradecimiento público). Para la empresa, el VDP es el mínimo viable: "si encuentras algo, dínoslo y no te demandaremos."

Cuándo evolucionar de VDP a bug bounty

La transición tiene sentido cuando:

El VDP recibe reportes regularmente (señal de que los investigadores están interesados).
La organización tiene capacidad de triaje para procesar un mayor volumen de reportes.
Se quiere atraer investigadores más cualificados (el dinero atrae talento).
Competidores directos ya ofrecen bug bounty (efecto mercado).

CISA recomienda que toda organización federal tenga al menos un VDP. La Binding Operational Directive 20-01 lo estableció como obligatorio para agencias civiles del gobierno estadounidense.

Cómo funciona un programa de bug bounty

Elementos clave

Scope (alcance). Define exactamente qué se puede atacar y qué no. Un scope típico incluye dominios web, APIs, aplicaciones móviles y, en programas avanzados, infraestructura cloud. Excluye típicamente: ataques de denegación de servicio, ingeniería social a empleados, acceso físico.

Rules of engagement. Qué está permitido y qué no. Prohibiciones comunes: no acceder a datos de otros usuarios, no causar interrupción de servicios, no automatizar escaneos agresivos sin autorización.

Tabla de recompensas. Define el pago por severidad. Ejemplo:

Severidad	Rango de pago típico
Crítica	5.000 a 50.000+ USD
Alta	1.000 a 10.000 USD
Media	250 a 2.000 USD
Baja	50 a 500 USD
Informativa	Sin pago o swag

Triaje. El proceso de evaluar reportes. Incluye verificar la validez del reporte, reproducir la vulnerabilidad, clasificar la severidad y verificar que no sea duplicado. El triaje puede hacerlo el equipo de seguridad de la empresa o el equipo de triaje de la plataforma.

El ciclo de vida de un reporte

Envío. El investigador envía el reporte con descripción, pasos para reproducir, PoC y análisis de impacto.
Triaje inicial. La plataforma o el equipo de seguridad revisan el reporte (tiempo típico: 1 a 5 días laborables).
Clasificación. Válido, duplicado, informativo, fuera de scope o not applicable.
Asignación de severidad. Si es válido, se asigna severidad (normalmente usando CVSS como referencia).
Remediación. El equipo de desarrollo corrige la vulnerabilidad.
Verificación. El investigador (opcionalmente) verifica que el parche es efectivo.
Pago. Se procesa el bounty según la tabla de recompensas.
Disclosure. El reporte se publica (con acuerdo del investigador y la empresa) o se mantiene confidencial.

Las críticas: no todo es perfecto

Pagos bajos vs mercado negro

La crítica más recurrente es que los pagos de bug bounty no compiten con el mercado negro. Una vulnerabilidad RCE en iPhone vale hasta 2 millones en el programa de Apple, pero un zero-day broker puede ofrecer cifras similares o superiores, sin las restricciones del programa oficial (no publicar detalles, no vender a terceros).

Para la mayoría de vulnerabilidades de severidad media y alta, la diferencia es más marcada. Un XSS persistente que paga 500 dólares en un bug bounty podría no tener valor en el mercado negro, pero la percepción de que "el vendedor no paga lo que vale" genera frustración.

Triaje lento y disputas de duplicados

Los investigadores se quejan frecuentemente de:

Tiempos de triaje largos. Semanas o meses para recibir una primera respuesta en algunos programas.
Duplicados injustos. El programa marca un reporte como duplicado sin transparencia sobre cuándo se reportó originalmente el primer reporte.
Downgrade de severidad. El programa rebaja la severidad para pagar menos.
"Informativo" como catch-all. Algunos programas clasifican reportes válidos como "informativos" (sin pago) usando interpretaciones restrictivas del scope.

Burnout e inestabilidad de ingresos

Para los investigadores a tiempo completo, la inestabilidad de ingresos es un problema real. Pueden pasar semanas invirtiendo horas de trabajo intenso sin encontrar nada válido, seguidas de un mes con un hallazgo que paga miles de dólares. La inconsistencia económica y la frustración con el triaje generan burnout significativo en la comunidad.

IA y el futuro de los bug bounties

AI-assisted bug hunting

En 2025, el panorama cambió significativamente con la irrupción de herramientas de IA en la investigación de vulnerabilidades:

1.121 programas de bug bounty en HackerOne incluyen IA en su scope (incremento del 270% interanual).
560+ reportes válidos fueron enviados por agentes autónomos de IA en el último año.
Herramientas como fuzzing guiado por LLMs, análisis estático asistido por IA y generación automática de PoC están transformando la productividad de los investigadores.

La IA no reemplaza al investigador humano, pero amplifica sus capacidades. Un investigador con herramientas de IA puede cubrir más superficie de ataque, generar variantes de exploits más rápidamente y automatizar la parte más tediosa del proceso (reconocimiento, fingerprinting, verificación de configuraciones).

Live hacking events

Los eventos de live hacking (organizados por HackerOne, Bugcrowd e Intigriti) reúnen a investigadores selectos para atacar en vivo los sistemas de un cliente durante un periodo limitado (24 a 72 horas). Los pagos suelen ser mayores que en el programa regular, y la presión competitiva produce hallazgos de alta calidad.

Eventos como h1-702 (HackerOne en Las Vegas) y BugBash (Bugcrowd) se han convertido en referentes de la comunidad, con pagos totales que pueden superar el millón de dólares por evento.

Tendencias emergentes

Bounties para IA/ML. Programas específicos para encontrar fallos en modelos de IA: prompt injection, bypass de guardrails, extracción de datos de entrenamiento.
Hardware bounties. Expansión a vulnerabilidades en hardware, firmware y IoT, donde los skills necesarios son menos comunes y los pagos mayores.
Compliance-driven bounties. Regulaciones como la CRA europea y NIS2 empujan a más organizaciones a establecer programas formales.
Blockchain y Web3. Immunefi domina este espacio con bounties que alcanzan los 10 millones de dólares para vulnerabilidades en protocolos DeFi.

Cómo empezar en bug bounties

Habilidades fundamentales

Fundamentos web. HTTP, HTML, JavaScript, APIs REST. La mayoría de vulnerabilidades de bug bounty son web.
OWASP Top 10. XSS, SQLi, SSRF, IDOR, broken authentication. Estos representan la mayoría de hallazgos válidos.
Herramientas. Burp Suite (imprescindible), subfinder/amass (reconocimiento), nuclei (escaneo automatizado), ffuf (fuzzing de directorios).
Lectura de write-ups. Los reportes públicos de HackerOne (Hacktivity) son la mejor fuente de aprendizaje.

Primeros pasos prácticos

Regístrate en HackerOne y Bugcrowd.
Empieza con programas públicos de empresas grandes (scope amplio, triaje rápido).
Lee el scope y las reglas con atención. El 99% de las disputas se evitan entendiendo qué está permitido.
Empieza por vulnerabilidades sencillas: IDOR (Insecure Direct Object Reference), information disclosure, open redirect.
Escribe reportes claros: resumen, pasos para reproducir, impacto, PoC. Un reporte bien escrito se triagea más rápido y recibe mejor evaluación.

El impacto: por qué los bug bounties importan

Los bug bounties han transformado la relación entre la industria del software y la comunidad de seguridad. Donde antes había antagonismo (investigadores amenazados legalmente por reportar fallos), ahora hay un ecosistema económico que alinea incentivos: las empresas obtienen seguridad a un coste menor que el de brechas, y los investigadores obtienen reconocimiento y compensación por su trabajo.

Con más de 300 millones de dólares pagados solo a través de HackerOne, miles de millones en brechas evitadas y una comunidad global de investigadores que crece cada año, los bug bounties se han consolidado como un pilar fundamental de la seguridad del software moderno. No son una solución completa (no sustituyen el desarrollo seguro, el testing interno ni las auditorías), pero añaden una capa de defensa que ningún equipo interno puede replicar por sí solo: miles de ojos buscando lo que tú no encontraste.

Preguntas frecuentes

Libros recomendados

Bug Bounty Bootcamp (Vickie Li)

Amazon (enlace afiliado)

Real-World Bug Hunting (Peter Yaworski)