{"id":135,"date":"2020-07-14T16:03:47","date_gmt":"2020-07-14T16:03:47","guid":{"rendered":"https:\/\/santanasystemgroup.com\/blog\/?p=135"},"modified":"2025-12-16T22:17:10","modified_gmt":"2025-12-16T22:17:10","slug":"bug-bounty-como-funciona-el-mundo-del-hacking-etico-y-la-caceria-de-vulnerabilidades","status":"publish","type":"post","link":"https:\/\/fysoweb.com\/Blog\/2020\/07\/14\/bug-bounty-como-funciona-el-mundo-del-hacking-etico-y-la-caceria-de-vulnerabilidades\/","title":{"rendered":"Bug Bounty: c\u00f3mo funciona el mundo del Hacking \u00c9tico y la cacer\u00eda de vulnerabilidades"},"content":{"rendered":"\n\n\n\n\n<p>Dentro de un entorno corporativo, la realizaci\u00f3n de pruebas de penetraci\u00f3n es una pr\u00e1ctica que se utiliza desde hace mucho tiempo para auditar la seguridad de las aplicaciones y de la red. Si bien este tipo de actividades generalmente se realizan desde el marco de un empleo en relaci\u00f3n de dependencia o de consultor\u00eda y mediante la firma de un contrato, desde hace algunos a\u00f1os, y cada vez con m\u00e1s frecuencia, es com\u00fan que las compa\u00f1\u00edas publiquen&nbsp;<strong>programas de recompensa<\/strong>, m\u00e1s conocidos como&nbsp;<strong>Bug Bounty<\/strong>, a trav\u00e9s de plataformas como&nbsp;<a href=\"https:\/\/hackerone.com\/bug-bounty-programs\" target=\"_blank\" rel=\"noreferrer noopener\">HackerOne<\/a>&nbsp;o&nbsp;<a href=\"https:\/\/www.bugcrowd.com\/bug-bounty-list\/\" target=\"_blank\" rel=\"noreferrer noopener\">BugCrowd<\/a>, entre otras.<\/p>\n\n\n\n<p>A trav\u00e9s de estas plataformas las empresas interesadas en auditar sus servicios logran conectar con&nbsp;<a href=\"https:\/\/www.welivesecurity.com\/la-es\/2017\/05\/31\/como-convierto-en-ethical-hacker\/\">hackers \u00e9ticos<\/a>&nbsp;de cualquier lugar del planeta dispuestos a poner a prueba la seguridad de sus servicios. Cualquiera puede inscribirse y participar de estos programas de Bug Bounty, ya sea como un hobby o como una actividad lucrativa. Las empresas cuando abren sus programas detallan el alcance del mismo y fijan distintos premios para quienes encuentren fallos, generalmente de seg\u00fan la gravedad de los mismos.<\/p>\n\n\n\n<p>El pago promedio para vulnerabilidades cr\u00edticas en 2018 fue de USD 3,384 con un incremento interanual del 48%. En este escenario, HackerOne desembols\u00f3 en el a\u00f1o 2018 un total de USD 19 millones a sus miembros por el pago de recompensas. Si bien adem\u00e1s del factor econ\u00f3mico hay una motivaci\u00f3n por aprender y por los desaf\u00edos en s\u00ed, seg\u00fan datos de una encuesta realizada por HackerOne en 2018, los hackers \u00e9ticos que se dedican mayormente a participar de programas de bug bounty logran&nbsp;<a href=\"https:\/\/www.welivesecurity.com\/la-es\/2018\/02\/05\/pagar-busqueda-bugs\/\" target=\"_blank\" rel=\"noreferrer noopener\">obtener hasta 2.7 veces m\u00e1s dinero que el salario que percibe un ingeniero de software<\/a>&nbsp;que se dedica a tiempo completo. De hecho, a principio de 2019 un joven argentino de 19 a\u00f1os se convirti\u00f3 en la&nbsp;<a href=\"https:\/\/www.welivesecurity.com\/la-es\/2019\/03\/06\/joven-argentino-lleva-ganados-un-millon-de-dolares-a-traves-de-programas-de-bug-bounty\/\" target=\"_blank\" rel=\"noreferrer noopener\">primera persona en ganar m\u00e1s de un mill\u00f3n de d\u00f3lares a trav\u00e9s de HackerOne<\/a>.<\/p>\n\n\n\n<p>Respecto a la cantidad de usuarios en esta plataforma, en 2019 hab\u00edan registrados m\u00e1s de 300,000 hackers, cifra que representa un aumento del 100% con respecto al a\u00f1o anterior.<\/p>\n\n\n\n<p>Como referencia de las sumas de dinero que llegan a pagarse en algunos,&nbsp;<a href=\"https:\/\/www.google.com\/about\/appsecurity\/android-rewards\/\" target=\"_blank\" rel=\"noreferrer noopener\">Google anunci\u00f3 un programa de Bug Bounty para sus tel\u00e9fonos Pixel<\/a>&nbsp;que ofrece hasta 1.5 millones de d\u00f3lares para quienes encuentren vulnerabilidades cr\u00edticas. De todas formas, si est\u00e1s reci\u00e9n comenzando con esta actividad, no esperes que tus ganancias se acerquen a esas cifras en un corto plazo.<\/p>\n\n\n\n<h3><strong>Ventajas de los programas de Bug Bounty<\/strong><\/h3>\n\n\n\n<p>Los programas de bug bounty permiten a cualquier persona, con o sin conocimientos t\u00e9cnicos previos,&nbsp;<a href=\"https:\/\/www.welivesecurity.com\/la-es\/2017\/05\/31\/como-convierto-en-ethical-hacker\/\" target=\"_blank\" rel=\"noreferrer noopener\">aumentar su nivel de experiencia en hacking \u00e9tico<\/a>. A su vez, permite a profesionales de otros campos obtener una perspectiva diferente sobre los problemas que pueden afectar a las aplicaciones, desde un marco pr\u00e1ctico.<\/p>\n\n\n\n<p>Se trata de una muy buena herramienta de aprendizaje y, en l\u00edneas generales, ha sido de gran ayuda en cuanto a la generaci\u00f3n de una mayor conciencia sobre la importancia del desarrollo de aplicaciones seguras. Tambi\u00e9n inspir\u00f3 el ingreso de mucha gente al campo de la seguridad inform\u00e1tica y ayuda a incrementar la seguridad en general, ya que miles de fallos de seguridad se han solucionado a trav\u00e9s de estas actividades.<\/p>\n\n\n\n<h3><strong>Consejos para quienes est\u00e1n comenzando con los programas de bug bounty<\/strong><\/h3>\n\n\n\n<ul><li><strong>Empezar de a poco<\/strong>: Si no tienes experiencia previa, quiz\u00e1s sea una muy buena idea comenzar con un solo tipo de vulnerabilidad, por ejemplo, XSS, y luego comenzar a incorporar nuevas habilidades. Encontrar primero una vulnerabilidad que realmente te divierta e interese es importante.<\/li><li><strong>No pensar solo en el dinero<\/strong>: Lo m\u00e1s probable es que en un principio no sea posible ganar dinero. Si solo tienes esto en mente, puede que pases por alto ciertos detalles importantes y que no te tomes el tiempo necesario para hacer las cosas de la mejor forma. Lo ideal es poder dedicar tiempo suficiente para aprender y que disfrutes la actividad.<\/li><li><strong>Hacer reportes claros<\/strong>: Si has descubierto una vulnerabilidad, es importante que sepas reportarla de forma eficiente. Algo en lo que las personas de ambos lados coinciden (bug hunters y empresas) es acerca de la importancia de la elaboraci\u00f3n de informes claros que indiquen paso por paso c\u00f3mo se puede reproducir la vulnerabilidad y que expliquen el uso que un atacante podr\u00eda darle a la misma, ya que esta informaci\u00f3n influye en que los hallazgos sean tenidos en cuenta.<\/li><li><strong>Tomarse el tiempo de ir a fondo<\/strong>: Si has descubierto una vulnerabilidad, es recomendable que dediques el tiempo necesario para intentar ver todos los caminos que la misma abre para un atacante. Por ejemplo, si la vulnerabilidad fue introducida por un equipo de desarrollo de una determinada empresa, es posible que se repita en otros sitios. Investigar todas las posibilidades aumenta las chances de que seamos exitosos a la hora de convencer a la empresa de que lo que encontramos es serio.<\/li><li><strong>Tomar la ruta menos usada<\/strong>: Si reci\u00e9n est\u00e1s comenzando en el mundo del bug bounty es poco probable que encontremos vulnerabilidades en aplicaciones de empresas muy grandes, que seguramente ya han pasado por varias etapas de pentesting y que ya han sido sometidas a la auditor\u00eda de muchos otros cazadores de bugs. Es recomendable evitar frustraciones y empezar por donde otros quiz\u00e1s no hayan mirado todav\u00eda.<\/li><li><strong>Estudia y practica<\/strong>: La \u00fanica forma de progresar en el mundo del Bug Bounty es dedicando tiempo. Es necesario practicar, leer reportes que hayan elaborado otras personas y estudiar las distintas metodolog\u00edas. Por suerte, hay mucha gente en la comunidad que est\u00e1 dispuesta a compartir lo que sabe y eso es algo que definitivamente deber\u00edas aprovechar. Seg\u00fan unos de los&nbsp;<a href=\"https:\/\/www.hackerone.com\/sites\/default\/files\/2019-02\/the-2019-hacker-report_3.pdf\">reportes<\/a>&nbsp;de HackerOne, el 81% de los cazadores que participan de estos programas dijo haber aprendido por cuenta propia a trav\u00e9s de Internet, mientras que apenas el 6% dijo haber realizado un curso formal.<\/li><\/ul>\n\n\n\n<p>Realizar bug bounties puede ser una experiencia de aprendizaje muy importante. Ver vulnerabilidades en aplicaciones reales nos dar\u00e1 una idea de cu\u00e1les son los errores comunes que los desarrolladores de software cometen. De a poco te obligar\u00e1 a aprender de nuevas tecnolog\u00edas con las que quiz\u00e1s nunca hab\u00edas tenido que lidiar antes, expandiendo tu base de conocimiento. Si eres un Pentester, te dar\u00e1 una nueva perspectiva que ser\u00e1 \u00fatil a tu trabajo.<\/p>\n\n\n\n<h3><strong>Sitios y recursos recomendados para aprender sobre hacking \u00e9tico<\/strong><\/h3>\n\n\n\n<p><em>Sitios para aprender hacking \u00e9tico<\/em><\/p>\n\n\n\n<ul><li><a href=\"https:\/\/www.hacker101.com\/\" target=\"_blank\" rel=\"noreferrer noopener\">Hacker 101<\/a>: plataforma de HackerOne que ofrece recursos educativos 100% gratuitos.<\/li><li><a href=\"https:\/\/www.hacksplaining.com\/\" target=\"_blank\" rel=\"noreferrer noopener\">Hacksplaining<\/a>: un proyecto que ofrece entrenamientos de seguridad dirigido a desarrolladores.<\/li><li><a href=\"https:\/\/www.hackthissite.org\/\" target=\"_blank\" rel=\"noreferrer noopener\">Hack This Site!<\/a>: una iniciativa que ofrece un campo de entrenamiento para que usuarios puedan probar y explorar sus habilidades.<\/li><\/ul>\n\n\n\n<p><em>Libros recomendados<\/em><\/p>\n\n\n\n<ul><li><a href=\"https:\/\/www2.owasp.org\/www-project-web-security-testing-guide\/assets\/archive\/OWASP_Testing_Guide_v2.pdf\" target=\"_blank\" rel=\"noreferrer noopener\">OWASP Testing Guide<\/a>&nbsp;\u2013 OWASP Foundation<\/li><li><a href=\"https:\/\/www.amazon.com\/Web-Application-Hackers-Handbook-Exploiting\/dp\/1118026470\" target=\"_blank\" rel=\"noreferrer noopener\">The Web Application Hackers Handbook<\/a>&nbsp;\u2013 Dafydd Stuttard &amp; Marcus Pinto<\/li><li><a href=\"https:\/\/www.amazon.com\/Mastering-Modern-Web-Penetration-Testing-ebook\/dp\/B01GVMSTEO\" target=\"_blank\" rel=\"noreferrer noopener\">Mastering Modern Web Penetration Testing<\/a>&nbsp;\u2013 Prakhar Prasad<\/li><\/ul>\n\n\n\n<p>Adem\u00e1s, compartimos algunos enlaces a otros art\u00edculos publicados en WeLiveSecurity en los que encontrar\u00e1s recursos \u00fatiles y de inter\u00e9s.<\/p>\n\n\n\n<ul><li><a href=\"https:\/\/www.welivesecurity.com\/la-es\/2016\/12\/29\/recursos-hacker-etico\/\" target=\"_blank\" rel=\"noreferrer noopener\">10 recursos para convertirte en un gran hacker \u00e9tico<\/a><\/li><li><a href=\"https:\/\/www.welivesecurity.com\/la-es\/2018\/07\/03\/recursos-espanol-aprender-seguridad-informatica\/\" target=\"_blank\" rel=\"noreferrer noopener\">Recursos en espa\u00f1ol para aprender sobre seguridad inform\u00e1tica<\/a><\/li><li><a href=\"https:\/\/www.welivesecurity.com\/la-es\/2016\/05\/19\/donde-empiezo-aprender-seguridad-informatica\/\" target=\"_blank\" rel=\"noreferrer noopener\">\u00bfPor d\u00f3nde empezar a aprender de seguridad inform\u00e1tica?<\/a><\/li><li><a href=\"https:\/\/www.welivesecurity.com\/la-es\/2018\/08\/09\/bugcrowd-university-plataforma-educativa-gratuita-investigadores-seguridad\/\" target=\"_blank\" rel=\"noreferrer noopener\">Bugcrowd University: plataforma educativa gratuita para investigadores en seguridad<\/a><\/li><li><a href=\"https:\/\/www.welivesecurity.com\/la-es\/category\/cursos-online-gratuitos-seguridad\/\" target=\"_blank\" rel=\"noreferrer noopener\">Cursos online gratuitos de seguridad inform\u00e1tica<\/a><\/li><\/ul>\n\n\n\n\n","protected":false},"excerpt":{"rendered":"","protected":false},"author":2,"featured_media":291,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"pagelayer_contact_templates":[],"_pagelayer_content":"","footnotes":""},"categories":[2],"tags":[],"class_list":["post-135","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia"],"_links":{"self":[{"href":"https:\/\/fysoweb.com\/Blog\/wp-json\/wp\/v2\/posts\/135","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/fysoweb.com\/Blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/fysoweb.com\/Blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/fysoweb.com\/Blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/fysoweb.com\/Blog\/wp-json\/wp\/v2\/comments?post=135"}],"version-history":[{"count":2,"href":"https:\/\/fysoweb.com\/Blog\/wp-json\/wp\/v2\/posts\/135\/revisions"}],"predecessor-version":[{"id":292,"href":"https:\/\/fysoweb.com\/Blog\/wp-json\/wp\/v2\/posts\/135\/revisions\/292"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/fysoweb.com\/Blog\/wp-json\/wp\/v2\/media\/291"}],"wp:attachment":[{"href":"https:\/\/fysoweb.com\/Blog\/wp-json\/wp\/v2\/media?parent=135"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/fysoweb.com\/Blog\/wp-json\/wp\/v2\/categories?post=135"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/fysoweb.com\/Blog\/wp-json\/wp\/v2\/tags?post=135"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}