Saltar al contenido principal

Bug Bounty + CVE Hunting

HackerOne pagó $81M en 12 meses (jul 2024-jun 2025), +13 % YoY. Vulnerabilidades de IA crecieron +210 % YoY; prompt injection +540 %. Si tienes base de programación (PHP, JS, Python), bug bounty es el camino paralelo a OSCP que monetiza desde el primer mes y construye portfolio público auditable.
Realismo: ~5 % de los hunters monetiza significativamente. El ingreso medio del primer año va de 0a0 a 3K para la mayoría. Pero construir portfolio público (CVEs, Halls of Fame, reports disclosed) cambia tu CV permanentemente — vale el esfuerzo aunque no monetices al inicio.

Estado del mercado bug bounty 2026

Top 5 plataformas

Tipos de programa

  • VDP — Sin pago, sólo “swag”/reconocimiento. Practicar legalmente y construir CV.
  • Programa público — Cualquiera reporta; competencia alta, payout medio.
  • Programa privado — Por invitación basada en reputación; menor competencia, mejor pago.

Cifras 2025 reales

  • 85.000 reportes válidos en HackerOne en 2025 (+7 %).
  • Top 100 hunters all-time: $31.8M acumulado.
  • AI vulnerabilities +210 % YoY, prompt injection +540 %.
  • 1.121 programas con AI in scope (+270 %).
  • IDOR +29 %, IAC +18 %, mientras XSS y SQLi caen.
  • 70 % de hunters usan AI (Caido, ChatGPT, Claude) en su workflow 2025.
Fuentes: BleepingComputer — HackerOne $81M, HackerOne 2025 HPSR.

Roadmap 12 meses (2026)

Mes 1-2 — PortSwigger Web Security Academy

portswigger.net/web-security/learning-paths — 190+ labs, gratis. Ritmo 7 labs/día = 1 mes. Orden recomendado:
  1. Server-side: SQLi → Authentication → Path traversal → Command injection → Business logic → Information disclosure.
  2. SSRF (foco fuerte: paga muy bien — ver §5).
  3. Client-side: XSS → CSRF → CORS → Clickjacking.
  4. Advanced: Access control / IDOR → JWT → OAuth/SAML → GraphQL → Race conditions → Prototype pollution → HTTP request smuggling.
  5. Hacer “Mystery labs” semanalmente para simular caza real.

Mes 3-4 — VDPs gratuitos (10 con URL exacta)

Repo curado (200+ programas): github.com/projectdiscovery/public-bugbounty-programs.

Mes 5-6 — Programas pequeños (€50-€500)

Patchstack (WordPress plugins), Hostinger, programas españoles y europeos en Intigriti. Filtrar por bounty mínimo bajo.

Mes 7-12 — Programas serios

Shopify, GitLab pagado, Uber. Aplicar a privados conforme suba reputación HackerOne (>500 reputación abre invitaciones).

Top 10 vulnerabilidades pagadas 2024-2025

Basado en HPSR HackerOne 2025 + reports disclosed:

Severidad → bounty (HackerOne medio plataforma)

Bugcrowd usa VRT propio en lugar de CVSS: Bugcrowd VRT. Reports públicos disclosed (formación): github.com/reddelexc/hackerone-reports.

Reconnaissance moderno 2026

Stack ProjectDiscovery (de facto)

GitHub recon

Tillson Galloway “GitHub Recon Checklist 2025”:
  • trufflehog — verifica que el secret sigue vivo (mejor que gitleaks para bug bounty real). Soporta S3, Docker, Slack.
  • gitleaks — más rápido para barrer.
  • “Oops commits” — Sharon Brizinov sacó $25K en 2025 escaneando dangling commits del GitHub Archive.
  • Dorks útiles: org:target "api_key", org:target filename:.env, "target.com" password.

Históricos

  • gau + waybackurls para URLs archivadas.
  • unfurl para extraer params únicos.

JS analysis

  • LinkFinder — extrae endpoints/params de JS bundles.
  • JSluice (TomNomNom) — sucesor mejor: extrae secrets/URLs por uso, no sólo regex.
  • SecretFinder — complementa.

Subdomain takeover / dangling DNS

SentinelOne reportó >1.250 instancias en clientes en 2024-2025. Templates nuclei subdomain-takeover/ cubren GitHub Pages, Heroku, Vercel, S3, Shopify. Lista mantenida: github.com/EdOverflow/can-i-take-over-xyz.

Tu primer CVE en open-source

Selección de proyecto

  • Stars 100-5.000 (suficientemente serio, no auditado a muerte).
  • Último commit <6 meses (mantenido).
  • Sin SECURITY.md fuerte, sin CVEs previos: indica que nadie ha auditado.
  • Lenguaje que dominas (PHP, JS, Python encajan perfecto).
  • Filtrar por: paquete con >10K downloads/semana en npm/PyPI = mayor impacto reportado.

Clases de fallo “first-CVE” típicos 2025

Tools clave:

Proceso CNA

Si el producto tiene CNA propio debes ir por ellos. MITRE/GitHub rechazan duplicados. Disclosure timeline estándar:
  • 90 días (Project Zero).
  • +30 días prorrogable si hay parche en preparación.
  • CERT-EU/Northwave usan política 90+30.

Supply chain pentesting

Fuentes: Checkmarx — repo-jacking, Wiz — tj-actions changed-files supply chain.

Cómo redactar un report aceptado

Estructura HackerOne validada

  1. Title[Vuln type] in [endpoint] allows [impact]. Ejemplo: “Reflected XSS in /search?q= allows session theft”.
  2. Summary — 2-3 frases: qué es, dónde, qué consigue el atacante.
  3. Steps to reproduce — numerados, copy-paste cURL/Burp request, screenshots por paso.
  4. Proof of concept — GIF/video ≤2min. Hosted en HackerOne (no externos).
  5. Impact — escenario concreto: “Atacante puede [X] resultando en [pérdida de Y]”. CVSS calculado.
  6. Suggested mitigation — opcional, suma puntos.

Disparadores instantáneos de “Informative” / “N/A”

⚠️ Lista de descalificación instantánea
Estos hallazgos son rechazo casi seguro a menos que aportes chain o impacto demostrado:
  • Logout CSRF (universalmente rechazado).
  • Missing security headers sin demo de impacto.
  • Self-XSS sin pivote.
  • Open redirect sin chain.
  • Vulns en scope explícitamente excluido (LEER policy).
  • Tabnabbing puro sin chain.
  • Banner grabbing / version disclosure aislado.
  • DoS sin accept-risk del programa.

Apelar severidad

No discutas tono — añade datos. Demuestra escenario de explotación más amplio, encadena con otra vuln, calcula CVSS con vector justificado. Pide reasignación citando casos similares de la propia política.

Disputas, fraude y horror stories 2024-2026

Bug colisiones (duplicates)

  • Política universal: first-come, first-served, decide timestamp del report.
  • Protección: reportar inmediatamente, guardar capturas con metadata, no compartir POC en privado antes de reportar.
  • Si llega marcado dup pero aportas variante novel, pide partial bounty con argumento técnico.
  • Nunca testees fuera de scope.
  • Guarda toda comunicación.
  • Para CVEs OS: usa GitHub Security Advisory privado primero (ventana 90 días), nunca post público antes del fix sin acuerdo.
  • Considera VPN dedicada y cuenta separada para trabajo de hunt.

Recursos persistentes


Recursos relacionados