Bug Bounty + CVE Hunting
HackerOne pagó $81M en 12 meses (jul 2024-jun 2025), +13 % YoY. Vulnerabilidades de IA crecieron +210 % YoY; prompt injection +540 %. Si tienes base de programación (PHP, JS, Python), bug bounty es el camino paralelo a OSCP que monetiza desde el primer mes y construye portfolio público auditable.Realismo: ~5 % de los hunters monetiza significativamente. El
ingreso medio del primer año va de 3K para la mayoría.
Pero construir portfolio público (CVEs, Halls of Fame, reports
disclosed) cambia tu CV permanentemente — vale el esfuerzo
aunque no monetices al inicio.
Estado del mercado bug bounty 2026
Top 5 plataformas
Tipos de programa
- VDP — Sin pago, sólo “swag”/reconocimiento. Practicar legalmente y construir CV.
- Programa público — Cualquiera reporta; competencia alta, payout medio.
- Programa privado — Por invitación basada en reputación; menor competencia, mejor pago.
Cifras 2025 reales
- 85.000 reportes válidos en HackerOne en 2025 (+7 %).
- Top 100 hunters all-time: $31.8M acumulado.
- AI vulnerabilities +210 % YoY, prompt injection +540 %.
- 1.121 programas con AI in scope (+270 %).
- IDOR +29 %, IAC +18 %, mientras XSS y SQLi caen.
- 70 % de hunters usan AI (Caido, ChatGPT, Claude) en su workflow 2025.
Roadmap 12 meses (2026)
Mes 1-2 — PortSwigger Web Security Academy
portswigger.net/web-security/learning-paths — 190+ labs, gratis. Ritmo 7 labs/día = 1 mes. Orden recomendado:- Server-side: SQLi → Authentication → Path traversal → Command injection → Business logic → Information disclosure.
- SSRF (foco fuerte: paga muy bien — ver §5).
- Client-side: XSS → CSRF → CORS → Clickjacking.
- Advanced: Access control / IDOR → JWT → OAuth/SAML → GraphQL → Race conditions → Prototype pollution → HTTP request smuggling.
- Hacer “Mystery labs” semanalmente para simular caza real.
Mes 3-4 — VDPs gratuitos (10 con URL exacta)
Repo curado (200+ programas):
github.com/projectdiscovery/public-bugbounty-programs.
Mes 5-6 — Programas pequeños (€50-€500)
Patchstack (WordPress plugins), Hostinger, programas españoles y europeos en Intigriti. Filtrar por bounty mínimo bajo.Mes 7-12 — Programas serios
Shopify, GitLab pagado, Uber. Aplicar a privados conforme suba reputación HackerOne (>500 reputación abre invitaciones).Top 10 vulnerabilidades pagadas 2024-2025
Basado en HPSR HackerOne 2025 + reports disclosed:Severidad → bounty (HackerOne medio plataforma)
Bugcrowd usa VRT propio en lugar de CVSS:
Bugcrowd VRT.
Reports públicos disclosed (formación):
github.com/reddelexc/hackerone-reports.
Reconnaissance moderno 2026
Stack ProjectDiscovery (de facto)
GitHub recon
Tillson Galloway “GitHub Recon Checklist 2025”:- trufflehog — verifica que el secret sigue vivo (mejor que gitleaks para bug bounty real). Soporta S3, Docker, Slack.
- gitleaks — más rápido para barrer.
- “Oops commits” — Sharon Brizinov sacó $25K en 2025 escaneando dangling commits del GitHub Archive.
- Dorks útiles:
org:target "api_key",org:target filename:.env,"target.com" password.
Históricos
gau+waybackurlspara URLs archivadas.unfurlpara extraer params únicos.
JS analysis
- LinkFinder — extrae endpoints/params de JS bundles.
- JSluice (TomNomNom) — sucesor mejor: extrae secrets/URLs por uso, no sólo regex.
- SecretFinder — complementa.
Subdomain takeover / dangling DNS
SentinelOne reportó >1.250 instancias en clientes en 2024-2025. Templatesnuclei subdomain-takeover/ cubren GitHub
Pages, Heroku, Vercel, S3, Shopify. Lista mantenida:
github.com/EdOverflow/can-i-take-over-xyz.
Tu primer CVE en open-source
Selección de proyecto
- Stars 100-5.000 (suficientemente serio, no auditado a muerte).
- Último commit <6 meses (mantenido).
- Sin SECURITY.md fuerte, sin CVEs previos: indica que nadie ha auditado.
- Lenguaje que dominas (PHP, JS, Python encajan perfecto).
- Filtrar por: paquete con >10K downloads/semana en npm/PyPI = mayor impacto reportado.
Clases de fallo “first-CVE” típicos 2025
Tools clave:
Proceso CNA
Si el producto tiene CNA propio debes ir por ellos. MITRE/GitHub
rechazan duplicados.
Disclosure timeline estándar:
- 90 días (Project Zero).
- +30 días prorrogable si hay parche en preparación.
- CERT-EU/Northwave usan política 90+30.
Supply chain pentesting
Fuentes: Checkmarx — repo-jacking,
Wiz — tj-actions changed-files supply chain.
Cómo redactar un report aceptado
Estructura HackerOne validada
- Title —
[Vuln type] in [endpoint] allows [impact]. Ejemplo: “Reflected XSS in /search?q= allows session theft”. - Summary — 2-3 frases: qué es, dónde, qué consigue el atacante.
- Steps to reproduce — numerados, copy-paste cURL/Burp request, screenshots por paso.
- Proof of concept — GIF/video ≤2min. Hosted en HackerOne (no externos).
- Impact — escenario concreto: “Atacante puede [X] resultando en [pérdida de Y]”. CVSS calculado.
- Suggested mitigation — opcional, suma puntos.
Disparadores instantáneos de “Informative” / “N/A”
⚠️ Lista de descalificación instantánea
Estos hallazgos son rechazo casi seguro a menos que aportes
chain o impacto demostrado:
- Logout CSRF (universalmente rechazado).
- Missing security headers sin demo de impacto.
- Self-XSS sin pivote.
- Open redirect sin chain.
- Vulns en scope explícitamente excluido (LEER policy).
- Tabnabbing puro sin chain.
- Banner grabbing / version disclosure aislado.
- DoS sin accept-risk del programa.
Apelar severidad
No discutas tono — añade datos. Demuestra escenario de explotación más amplio, encadena con otra vuln, calcula CVSS con vector justificado. Pide reasignación citando casos similares de la propia política.Disputas, fraude y horror stories 2024-2026
Bug colisiones (duplicates)
- Política universal: first-come, first-served, decide timestamp del report.
- Protección: reportar inmediatamente, guardar capturas con metadata, no compartir POC en privado antes de reportar.
- Si llega marcado dup pero aportas variante novel, pide partial bounty con argumento técnico.
Protección legal personal
- Nunca testees fuera de scope.
- Guarda toda comunicación.
- Para CVEs OS: usa GitHub Security Advisory privado primero (ventana 90 días), nunca post público antes del fix sin acuerdo.
- Considera VPN dedicada y cuenta separada para trabajo de hunt.
Recursos persistentes
- HackerOne Hacker101
- PortSwigger Academy
- Methodology repo (amrelsagaei 2025)
- Disclosed reports curados
- Public programs lista
- GitLab vuln DB (npm/PyPI por categoría)
- NahamSec recon talks
- STÖK videos
Recursos relacionados
- Recon web profesional — Pasivo, fingerprinting, type confusion.
- Glosario táctico — IDOR, SSRF, JWT, Mass Assignment.
- Cloud Pentest — Vectores cloud que pagan top bounties.
- LLM Security — Categoría +540 % YoY en HackerOne 2025.