Vivo del Bug Bounty y respondo preguntas
22-ago-2023 19:57
#1
|
Pues eso, para el que no sepa en que consiste el Bug Bounty es básicamente reportar vulnerabilidades a cambio de dinero. Hay distintas plataformas pero la más famosa y la que utilizo yo es hackerone, que se encarga de hacer de intermediario entre las empresas y los hackers. Cada empresa tiene su scope, son las condiciones que ponen para determinar lo que puedes o no puedes hacer, y un rango de las recompensas que ofrecen dependiendo de la criticidad de las vulnerabilidades que se encuentren. Antes de lanzarme definitivamente a dedicarme únicamente al Bug Bounty trabajé como pentester en una empresa donde cobraba 32K. No estaba mal, se me hacía ameno porque cada día había que hacer cosas distintas, y con el resto del equipo muy bien donde a día de hoy sigo manteniendo relación con muchos. Simplemente hubo un momento donde empecé a pensar maneras para sacar un pequeño sobresueldo al mes y di con el Bug Bounty. Me mantuve unos meses sacando de los bountys entre 500-800 dolares mensuales. Así durante un tiempo hasta que me empezó a llamar más la atención, mejoraba mi metodología, sacaba más vulns... Y vi que necesitaba dedicarle mucho más tiempo para sacarle el máximo partido. Me arriesgué, dejé el trabajo, me di de alta como autónomo y a darle caña. Ahora trabajo cómodo desde casa, ahorrándome la hora de ida y de vuelta que tenía que hacer para ir a mi anterior curro. Destacar que no es ni mucho menos dinero fácil, se necesita mucha formación previa, constancia, y frustrarse lo menos posible cuando sacas duplicados (un duplicado es que uno ha reportado la misma vulnerabilidad que tú antes y es a él a quien le dan la recompensa), que sobretodo al principio es muy normal. Mis ingresos van variando, obviamente dependo de lo que saque. Unos meses 2000, otros 1500, 4800, 3000, en abril 20.000 porque encontré una crítica, en enero 50.000 (la vuln más alta que he encontrado hasta la fecha). Así llevo año y medio. |
22-ago-2023 20:05
#6
|
Pues eso, para el que no sepa en que consiste el Bug Bounty es básicamente reportar vulnerabilidades a cambio de dinero. Hay distintas plataformas pero la más famosa y la que utilizo yo es hackerone, que se encarga de hacer de intermediario entre las empresas y los hackers. Cada empresa tiene su scope, son las condiciones que ponen para determinar lo que puedes o no puedes hacer, y un rango de las recompensas que ofrecen dependiendo de la criticidad de las vulnerabilidades que se encuentren.
Antes de lanzarme definitivamente a dedicarme únicamente al Bug Bounty trabajé como pentester en una empresa donde cobraba 32K. No estaba mal, se me hacía ameno porque cada día había que hacer cosas distintas, y con el resto del equipo muy bien donde a día de hoy sigo manteniendo relación con muchos. Simplemente hubo un momento donde empecé a pensar maneras para sacar un pequeño sobresueldo al mes y di con el Bug Bounty. Me mantuve unos meses sacando de los bountys entre 500-800 dolares mensuales. Así durante un tiempo hasta que me empezó a llamar más la atención, mejoraba mi metodología, sacaba más vulns... Y vi que necesitaba dedicarle mucho más tiempo para sacarle el máximo partido. Me arriesgué, dejé el trabajo, me di de alta como autónomo y a darle caña. Ahora trabajo cómodo desde casa, ahorrándome la hora de ida y de vuelta que tenía que hacer para ir a mi anterior curro. Destacar que no es ni mucho menos dinero fácil, se necesita mucha formación previa, constancia, y frustrarse lo menos posible cuando sacas duplicados (un duplicado es que uno ha reportado la misma vulnerabilidad que tú antes y es a él a quien le dan la recompensa), que sobretodo al principio es muy normal. Mis ingresos van variando, obviamente dependo de lo que saque. Unos meses 2000, otros 1500, 4800, 3000, en abril 20.000 porque encontré una crítica, en enero 50.000 (la vuln más alta que he encontrado hasta la fecha). Así llevo año y medio. Shur, dame tips, porque estoy igual que tú. Pero empezando, únicamente he encontrado 2 y las 2 duplicadas que no me han contado ![]() ¿Cómo eliges el programa al principio en el que participar? ¿Sueles trabajar en programas privados para ganar esa pasta? De verdad que a esto le estoy dedicando un cojon de horas. Tengo muchos scripts para automatizarme la parte inicial. ¿Lo que has hecho ha sido elegir 3-4 empresas y con un hosting en la nube escanearlas constantemente hasta que saquen un subdominio nuevo y asi ser el primero? Todo lo que miro está ultra securizado. Esas webs webs no se parecen en nada a las que audito en el curro... ![]() ![]() Si no quieres responder por aqui, pq te da cosa puedes mandarme mp. O incluso un TG si buscas un compi de batallas
|
22-ago-2023 20:16
#7
|
Teniendo conocimientos de informatica y redes, como te inicias en el mundo del bug bounty?? Gracias y un saludo |
22-ago-2023 21:00
#10
|
¿Que consejos darías para empezar en el mundo del Bug Bounty? Dando por hecho los conocimientos técnicos. ¿Que plataforma recomiendas? ¿Cómo funciona el tema de los programas privados? ¿Nos puedes contar si tienes montado algo para automatizar procesos (info gathering, escaneos, etc)? ¿Trabajas con máquinas desde la nube o con máquinas virtuales en local? Gracias! |
22-ago-2023 21:04
#11
| Y como encuentras los códigos sobre los que detectas vulnerabilidades?? Te los ofrece la página esa hackerone? Como te registras? |
22-ago-2023 21:05
#12
| Interesante, gracias shur. ¿Podrías poner un ejemplo de alguna vulnerabilidad interesante descubierta por tí? (Ya parcheada) |
22-ago-2023 21:14
#13
|
Que guapo shur, la verdad que algún día me gustaría dedicarme a eso también De momento me he sacado la certificación CPTS de hackthebox y estoy buscando mi primer trabajo como Pentester Como recomiendas empezar? Igual que hiciste tú pasando desde un trabajo a hacerlo de forma autónoma? O lo harías de forma diferente? |
22-ago-2023 21:40
#15
| Me alegro que te haya salido bien la jugada shur, por curiosidad hace falta dominar algún lenguaje concreto o algún stack para ese mundillo? |
22-ago-2023 21:42
#16
| Me habia imaginado que te ganabas la vida cazando bichos para revenderlos o algo asi |
22-ago-2023 22:27
#18
|
Que guapo shur, la verdad que algún día me gustaría dedicarme a eso también
De momento me he sacado la certificación CPTS de hackthebox y estoy buscando mi primer trabajo como Pentester Como recomiendas empezar? Igual que hiciste tú pasando desde un trabajo a hacerlo de forma autónoma? O lo harías de forma diferente? |
22-ago-2023 22:28
#19
| Reglados el grado medio de SMR y el superior de ASIR. Te da unas bases de informática en general, redes s.o... pero nada que ver, en este campo hay que ser autodidacta |
22-ago-2023 22:31
#23
|
Que bueno Shur! Puedes compartir en que consistían las de 20k y 50k? Es mucha pasta para que sea algo simple, enhorabuena por el curro. |
22-ago-2023 22:32
#24
| Si sacas esas cantidades haciendo el bien, supongo que haciendo el mal sacarías diez veces mas, no? O es un poco mito? |
22-ago-2023 22:34
#26
|
Interesante. Empresas de todo el mundo? Sabes el nombre de la empresa a la que le buscas fallos? Alguna española? |
22-ago-2023 22:44
#30
| Si, en la propia plataforma están el nombre de las empresas que hay en ellas con su respectivo scope. Desde empresas no muy conocidas hasta Paypal, visa, playstation, tinder, coinbase, yahoo, tiktok... hasta pornhub |

