La verdad es que nos parece lógico que aparezcan nuevas plataformas nacionales. De hecho, que nazcan proyectos como Grayback es señal de que el mercado empieza a moverse.

Y eso es positivo.

Pero también creemos que es importante hablar de la pregunta incómoda:

¿Puede una plataforma española competir de verdad?

Llevamos más de un año construyendo Secur0 y hubo una pregunta que durante mucho tiempo no supimos responder bien:
¿En qué se diferencia realmente Secur0 de gigantes como Hackerone, Bugcrowd, YesWeHack, Intigriti …?

La verdad es que, más allá de su fuerza comercial, tampoco está claro qué los diferencia entre ellos.

La conclusión incómoda a la que llegamos es que competir frontalmente contra ellos no tiene sentido estratégico… al menos, no hoy.

Intentar ser el “HackerOne español” sería ingenuo. En Secur0 no estamos aquí para autoengañarnos: preferimos construir paso a paso, con madurez y estrategia.

El problema no es la competencia. Es la madurez del mercado.

El bug bounty no es un servicio que se venda por precio.
Ni por ser “plataforma española”.
Ni por cercanía cultural.

Es una decisión que implica: equipos legales, procesos internos complejos, gestión de riesgo reputacional y capacidad de respuesta real ante vulnerabilidades. Y, sobre todo, madurez en seguridad.

La realidad es que pocas empresas en España están preparadas para lanzar un programa público de bug bounty serio.

Esa es la conversación real.

Lo que aprendimos

Al principio también nos planteamos si debíamos ir directamente a vender BBP a grandes empresas. Después de hablar con fundadores de otras plataformas locales de bug bounty, como Defend Denmark, CyberDart… y también con iniciativas españolas como Epic Bounties y CazHack, nos dimos cuenta de que no podíamos intentar vender solo bug bounty desde el primer día o íbamos a morir en el intento esperando un contrato con una gran empresa.

Decidimos empezar con 3.000 € y escalar desde ahí, creciendo paso a paso hasta formar el equipo de 15 personas que somos hoy. Dani y yo no queríamos ir “a por todas” como el modelo tradicional de una startup sin antes tener una base sólida.

Por eso nuestra estrategia ha sido clara: pentesting continuo, subir el nivel técnico en cada ejercicio, acompañar a los equipos internos y mejorar procesos de gestión de vulnerabilidades, en definitiva, construir madurez real.

Cuando el cliente esté preparado, entonces sí tendrá sentido hablar de bug bounty. Esto es un proceso de años, y estamos cómodos con eso.

¿Y qué implica esto para la comunidad hacker?

No vamos a competir públicamente con plataformas como HackerOne o Intigriti en volumen o recompensas millonarias. Nuestros programas visibles se centran en pentesters junior, estudiantes y quienes buscan su primera vulnerabilidad, con un enfoque en aprendizaje y mejora continua.

Al mismo tiempo, para los mejores hackers de nuestra comunidad habrá oportunidades privadas, adaptadas a su nivel, con retos y recompensas competitivas. De esta manera, aseguramos que quienes demuestran talento puedan seguir creciendo y contribuir mientras ayudamos a formar a la próxima generación de pentesters y bug hunters.

En Secur0 no buscamos retener talento: buscamos potenciarlo y darle las herramientas para llegar más lejos.

Entonces, ¿qué significa la aparición de Grayback?

Que el mercado de bug bounty en español se está moviendo.

Si Grayback atrae empresas nuevas o ayuda a educar sobre bug bounty, es bueno para todos. Por eso desde Secur0 queremos felicitar a David Padilla y su equipo por lanzar Grayback y les deseamos mucha suerte.

Nosotros seguimos con nuestro camino: construir madurez, formar talento y acompañar a la comunidad.

El Community Fund

El Community Fund se financia de dos maneras: con las aportaciones de los clientes de Defend Iceland y con las de la comunidad de hackers éticos.

La contribución de los clientes se basa en la recompensa económica que se paga por las vulnerabilidades de seguridad. A esos pagos se les añade una tarifa fija del 10 %, que constituye la aportación del cliente al fondo cada vez que paga por una vulnerabilidad.

Por su parte, los hackers éticos también pueden realizar contribuciones voluntarias al fondo con parte de sus recompensas.

El fondo se destina a pagar por vulnerabilidades detectadas en entidades sin ánimo de lucro, protegiendo datos confidenciales e infraestructuras críticas.

Modelo abierto

El Community Fund no es lo único admirable de Defend Iceland. La plataforma también destaca por su modelo de transparencia total, compartiendo a través de un dashboard público el estado de la plataforma:

• Recompensas pagadas

• Estado del Community Fund

• Tiempo medio para aceptar una vulnerabilidad

• Desglose de las vulnerabilidades

• Cantidad media pagada según criticidad

Una transparencia admirable que permite a la comunidad y a los clientes seguir de cerca el impacto real de sus contribuciones.

Defend Denmark

Tras el éxito de Defend Iceland, el modelo se está expandiendo a Dinamarca con Defend Denmark, liderado por Emil Hørning. La plataforma lleva menos de un año en funcionamiento, pero ya cuenta con una comunidad activa de hackers éticos.

En definitiva, tanto Defend Iceland como Defend Denmark son ejemplos increíbles de cómo conectar a la comunidad de hackers y motivar a las empresas a contribuir a la seguridad digital de una nación. Les deseamos el mejor de los éxitos.


¿Crees que este modelo funcionaría con las empresas españolas? ¿Estarían dispuestas a contribuir un 10 % de los bounties al Community Fund?

El 6 de noviembre de 2024, Secur0 se constituye bajo el nombre “HACK 4 BOUNTY, S.L” (después de que nos rechazarán 15 nombres desde el registro mercantil). Hace justo un año empezamos esta locura con la idea de traer el bug bounty y crowdsourced pentesting a más empresas españolas y crear una comunidad de hackers éticos.

Nuestro MVP

No sabíamos por dónde empezar, así que empezamos con una comunidad de Discord, 5 startups de impacto social, un formulario para reportar vulnerabilidades y 3 flippers zero para los estudiantes que más vulnerabilidades reportarán.

Con esto, nos lanzamos el 29 de noviembre a dar una charla en el IES El Caáveral para los estudiantes del curso de especialización de ciberseguridad y fue todo un éxito. Justo 2 meses después estábamos haciendo lo mismo en la Universidad de Cádiz, pero esta vez después de hacerlo en 26 centros antes, con 242 estudiantes en la comunidad y 80 vulnerabilidades reportadas en estas startups. Esta charla fue bastante especial porque la impartió Pedro José Navas, el estudiante que ganó nuestra primera competición con más de 300 puntos en CVSS acumulado.

Wayra, APTE, Madrid Emprende y la Cámara de Comercio de Madrid

Secur0 es nuestra primera empresa y hemos tenido que ir aprendiendo todo sobre la marcha. Pero sin Wayra, APTE y la Cámara de Comercio de Madrid todo hubiera sido más complicado, ya que durante diferentes programas o formaciones nos han apoyado y lo siguen haciendo donde más lo necesitamos: legal y fiscal, ventas, marketing, operaciones…

Formación junto de hacking y CTFs junto a INCIBE Emprende

En marzo empezamos a dar formación de hacking ético y CTFs con IMMUNE Technology Institute y meses después haríamos lo mismo con Wayra, El Club del Emprendimiento, Sherpa Tribe, Universidad de Salamanca... INCIBE Emprende

Ya llevamos más de 200 talleres en 100 centros educativos distintos y es algo que nos hace mucha ilusión, debido a que no solo estamos formando a los futuros hackers de nuestra red, sino que también les estamos dando oportunidades con otras acciones como Hack Royale.

Lanzamiento de la plataforma

En agosto lanzamos la plataforma y desde entonces estamos creciendo un montón:

• Hemos realizado alguna modalidad de hacking ético a 27 empresas

• Encontrado 500+ vulnerabilidades

• Tenemos 900+ hackers en la comunidad y 495 en la plataforma

Hack Royale

Y septiembre más de lo mismo:

• Hemos incorporado a 6 personas al equipo

• Lanzado Hack Royale nuestra competición de hacking con 25.000€ en premios

• Cerrado un acuerdo con Chema Alonso para esta competición

Futuro

Tenemos 2 objetivos claros para lo que queda de año y el 2026:

• Validar el modelo que ya tenemos validado en mediana empresa con grandes empresas españolas

• Y lo mismo con los partners, conseguir partners con grandes empresas que ya sabemos que nos ha funcionado con pequeñas consultoras

Si crees que nos puedes ayudar con algo de esto o cualquier cosa, mi correo siempre está abierto

javier@secur0.com

Queríamos aprovechar para dar gracias a todas las personas y clientes que nos habéis ayudado en este año y obviamente a los hackers por confiar en nosotros.

Suscríbete ahora

Hoy tenemos un notición en Secur0, Chema Alonso se une como padrino de la competición para potenciar e impulsar la visibilidad del trabajo de los hackers.

¿Qué significa esto para Hack Royale?

Hack Royale es nuestra competición en la que los futuros mejores hackers de España se enfrentan por ganar 25.000€. Pero desde el inicio nació para ser mucho más que una simple competición. Nuestro objetivo es claro: potenciar el talento, ofrecer formación en entornos reales y generar un impacto social tangible. Con el apoyo de Chema vamos a darle todavía más foco a estos pilares y crear más oportunidades para nuestra comunidad hacker.

La comunidad, en el centro

Esto no va de Chema. No va de Secur0. Ni siquiera va solo de Hack Royale. Va de vosotros, nuestra comunidad de hackers.

Lo que buscamos con este movimiento es claro: daros más oportunidades.

Con Chema Alonso como padrino, Hack Royale entra en una nueva fase. Esto es solo el principio.

El reciente anuncio de Crowdfense sobre la recompensa de $350,000 por un RCE en la última versión estable de NGINX ha vuelto a abrir el debate sobre el mercado de los Zero Days y los brokers.

Antes de ponernos al lío, hay que entender qué es un Zero Day y por qué vale tanto dinero.

¿Qué es un Zero Day?

Según INCIBE, un Zero Day es un tipo de vulnerabilidad que acaba de ser descubierta y que aún no tiene un parche que la solucione. La principal amenaza reside en que, hasta que se lanza dicho parche correctivo y los usuarios lo instalan en sus equipos, los atacantes tienen vía libre para explotar la vulnerabilidad y sacar provecho del fallo de seguridad.

¿Qué es Crowdfense y de dónde salen los $350,000?

Crowdfense es la plataforma líder en la adquisición de vulnerabilidades de día cero. Ofrecen los pagos más altos del sector, con recompensas que van desde 10.000 hasta 7 millones de dólares.

La respuesta de dónde sale este dinero es algo más compleja, pero para resumir, los clientes de Crowdfense son principalmente clientes institucionales internacionales, incluidos gobiernos, agencias de inteligencia y fuerzas del orden, e integradores de sistemas. Estas entidades utilizan los exploits adquiridos para la recopilación de inteligencia, la recopilación de información e investigaciones.

Por esta razón, las vulnerabilidades que más se pagan son las de aplicaciones de mensajería, debido a su enorme base de usuarios y el valor estratégico de poder acceder a comunicaciones privadas:

Aquí llega el dilema, reportar al fabricante o vender al broker

Siguiendo el caso de WhatsApp, el programa de Meta paga hasta $300,000 por las vulnerabilidades más críticas. Sin embargo, esta cifra está muy por debajo de los 5 millones de dólares que ofrece Crowdfense por un exploit similar.

Este contraste refleja el dilema al que se enfrentan los investigadores: reportar la vulnerabilidad al fabricante y garantizar que se corrija para proteger a los usuarios, o venderla a un broker y obtener una recompensa mucho mayor, dejando la explotación en manos de clientes institucionales y gubernamentales. La decisión implica no solo una cuestión económica, sino también consideraciones de ética, impacto en la seguridad y reputación profesional.

¿Y tú qué harías reportar al fabricante o vender al broker?

Reportar una vulnerabilidad debería ser algo sencillo.
Encuentras la vulnerabilidad, la documentas, la envías y la empresa te da las gracias.

Pero si llevas tiempo en esto, sabes que la mayoría de las veces ocurre justo lo contrario. Te ignoran, te cuestionan o incluso te amenazan con denunciarte, y una acción de buena fe acaba convirtiéndose en una situación hostil. Aquí es donde entra en juego el Safe Harbor, o Puerto Seguro en español.

¿Qué es el Safe Harbor y por qué debería importarte como hacker ético?

En pocas palabras, Safe Harbor es un conjunto de compromisos y garantías que protegen a los investigadores que reportan vulnerabilidades de buena fe y siguiendo las políticas de la empresa en cuestión.

No hay mejor forma de entender la importancia del Safe Harbor que viendo cómo la falta de protección puede acarrear problemas legales. En el repositorio de amenazas legales a investigadores de seguridad de disclose.io se documentan casos reales donde empresas han actuado de manera desproporcionada contra investigaciones realizadas de buena fe.

Estos son solo algunos ejemplos de las numerosas denuncias que sufren los investigadores de seguridad. No se trata de casos aislados, sino de una realidad que demuestra cómo la ausencia de un marco legal claro y protector pone en riesgo la seguridad jurídica de los investigadores y desincentiva la colaboración.

Disclose.io

Disclose.io nace como un proyecto independiente que busca estandarizar las buenas prácticas de Safe Harbor para proteger la investigación en ciberseguridad realizada de buena fe.

Su objetivo es ofrecer recursos abiertos y gratuitos para ayudar a empresas y organizaciones a crear o mejorar sus programas de divulgación de vulnerabilidades. También promueve un sello reconocible que identifica a quienes participan en esta iniciativa global.

El proyecto es público y está en GitHub, donde cualquiera puede consultarlo, adaptarlo o contribuir. Gracias a esta transparencia, disclose.io se ha convertido en un estándar internacional en buenas prácticas de divulgación responsable.

Nuestro compromiso con los hackers

Desde Secur0 hemos adaptado el estándar de disclose.io a la normativa española y europea, reflejando así nuestro compromiso con ofrecer los estándares más altos de seguridad y protección a nuestra red de hackers éticos.

Nuestra versión adaptada ha sido elaborada con el respaldo de asesoría legal especializada, garantizando su cumplimiento con la normativa española y europea.

Más allá de disclose.io: ISO/IEC 29147 y 30111

En Secur0 no solo nos basamos en disclose.io para proteger a nuestra comunidad de hackers éticos y clientes. También seguimos las normas ISO/IEC 29147 y 30111.

• ISO/IEC 29147: Norma que establece requisitos y recomendaciones para los proveedores sobre la divulgación de vulnerabilidades en productos y servicios.

• ISO/IEC 30111: Norma que establece requisitos y recomendaciones sobre cómo procesar y remediar las vulnerabilidades potenciales notificadas en un producto o servicio.

Si quieres estar al tanto del crecimiento de Secur0 y del bug bounty en España, no olvides suscribirte a esta newsletter.

En España hay cientos de personas con talento para la ciberseguridad, pero muy pocos espacios donde aprender practicando en condiciones reales, donde conectar con empresas que valoren ese talento o donde simplemente poder destacar sin tener que hacer CTFs o resolver retos diseñados más para entretener que para formar.

Por eso nace Hack Royale I.
Una competición diferente.

Hecha desde dentro del sector, con tres objetivos muy claros:

Talento

La competición está totalmente enfocada en mejorar la empleabilidad de los participantes.

Conectando a los participantes con vacantes de empresas, otorgando un certificado por cada vulnerabilidad encontrada y finalizando en una feria de empleo presencial.

Formación

Aprende hackeando en entornos reales.

Nada de CTFs ni laboratorios vulnerables. Hackea a empresas reales, de forma legal.

Impacto

Hackea con propósito social

No regales tu tiempo a gobiernos extranjeros o empresas multimillonarias que te pagan con camisetas o bebidas energéticas.

En esta competición estarás ayudando a mejorar la ciberseguridad de las startups, ONGs, fundaciones y proyectos open source españoles que más lo necesitan.

¿Cómo funciona?

• Inicio: se abre la inscirpción el 1 de septiembre de 2025.

• Semifinales: los primeros 100 equipos pasan a la siguiente fase. Cada día laboral se elimina un equipo.

• Finalistas: los 15 mejores equipos llegan a la fase final en mayo.

• Premios: 25.000 € a repartir entre los 5 primeros (10k, 6k, 4k, 3k, 2k).

¿Te interesa participar? ¡Únete a nuestra comunidad de Discord para no perderte nada!

Discord

España lo ha vuelto a hacer. El equipo nacional se ha proclamado campeón por segundo año consecutivo en la Ambassador World Cup organizada por HackerOne.

¿Qué es la Ambassador World Cup?

La Ambassador World Cup es una competición por equipos, similar a la Copa Mundial de la FIFA, pero en el ámbito de la ciberseguridad. En ella participan 42 equipos, cada uno representando a un país, que compiten para encontrar vulnerabilidades en los sistemas de las empresas participantes.

Este año ha sido una edición récord:

• 1 año de preparación

• 42 equipos participantes

• 766 hackers involucrados

• 6 rondas intensas de competición

La competición tuvo lugar del 6 al 9 de mayo en Dubái, uniendo a los mejores bug bounty hunters del mundo. Durante esos días, los hunters estuvieron reportando vulnerabilidades en entornos de empresas como Adobe, OKX, entre otras.

España obtuvo el primer puesto en la competición, demostrando una vez más el alto nivel y la calidad del talento en ciberseguridad que existe en el país. En el podio, España fue seguida por Egipto, Grecia y Países Bajos.

🇪🇸 Talento nacional

Más allá del título, esta victoria refleja el creciente ecosistema de hackers éticos que existe en nuestro país. Desde jóvenes talentos formándose en plataformas de bug bounty, hasta profesionales que participan en sus ratos libres.

Lo que realmente destaca en España no es solo el talento individual, sino la comunidad sólida y comprometida que han construido. Una comunidad que se mueve por el interés de compartir conocimientos, colaborar y levantar el nivel de toda la industria. Ese espíritu de colaboración es lo que impulsa sus éxitos y asegura que el futuro de la ciberseguridad en España sea cada vez más prometedor.

Si estás empezando en el mundo del bug bounty o ya llevas tiempo:

¡únete a nuestra comunidad en Discord!

Este mes no podíamos dedicar la newsletter de Secur0 a otro tema que no fuera la IA aplicada al bug bounty. Hace apenas tres semanas, Alias Robotics presentó Cybersecurity AI (CAI) una IA “lista” para el Bug Bounty.

“En 2028, la mayoría de las acciones de ciberseguridad serán autónomas, con humanos teleoperando.”

Así empieza el paper de CAI, con una declaración ambiciosa—y para muchos, cuestionable— que ha provocado revuelo entre varios profesionales del bug bounty y pentesting con los que hemos hablado desde Secur0. Según esta publicación en LinkedIn de Endika Gil Ugarte, CEO de Alias Robotics, esta predicción se basa en estimaciones de Gartner. Sin embargo, el paper no proporciona datos concretos que respalden dicha afirmación.

La importancia del Open Source

CAI es la primera solución open source en un mercado marcado por el secretismo en torno a la eficacia real de estas IAs. A diferencia de soluciones closed source como XBOW, Zeropath, Pentest Copilot, Runsybil, Zynap, Terra o Staris, que no permiten acceso al código y ofrecen poca transparencia sobre cómo funcionan, se agradece que desde Alias Robotics hayan decidido hacer a CAI de código abierto. Esto no solo hace que CAI siga mejorando por los cambios propuesto por la comunidad, sino que también nos da la oportunidad de entender de verdad cómo funciona una IA diseñada para buscar vulnerabilidades.

Principios éticos detrás de CAI

Alias Robotics deja muy claro los dos principios éticos detrás de CAI, que son democratizar la IA de ciberseguridad y asegurar la transparencia en las capacidades de seguridad de la IA. Además, mencionan repetidamente en el paper que uno de sus objetivos es eliminar los “lock-in“ impuestos por las plataformas de Bug Bounty más dominantes como Hackerone o Bugcrowd, permitiendo que medianas y pequeñas empresas tengan acceso a una seguridad comparable a la que ofrecen estos programas.

Aunque actualmente están muy lejos de conseguir este objetivo (y CAI chupe muchos tokens 😉), desde Secur0 compartimos esta misma visión. Nos alegra ver que hay otras empresas trabajando en solucionar este problema desde otro enfoque completamente diferente.

Europa vs Estados Unidos, 2,5M€ vs 20M$

El proyecto CAI ha recibido 2,5 millones de euros del Consejo Europeo de Innovación y el coste estimado del proyecto es de 3,5 millones, mientras que XBOW su competidor más conocido ha levantado 20 millones de dólares en una ronda liderada por Sequoia Capital.

La diferencia actual entre ambas empresas es considerable, 36 vulnerabilidades validadas en Hackerone por XBOW frente a 1 por CAI. Además, XBOW es totalmente privado, mientras que CAI es open-source.

¿Interesados en la parte técnica?

Desde Secur0 creemos que aún estamos lejos de ver una IA al nivel de un bug hunter. Dicho esto, estamos ilusionados de ver como mejora CAI, y ojalá llegue a convertirse en una herramienta utilizada por miles de hunters y pentesters. Os animamos a probarla y formar vuestra propia opinión.

• Paper

• Github

• Discord de CAI y ya que estamos Discord de Secur0 😉

🇪🇸 Innovación española

Si alguno no lo sabe, Alias Robotics es una empresa española con sede en Vitoria, y nos parece fundamental enseñar que en España también hay innovación en IA. Porque sino, luego nos pensamos que todo tiene que pasar en EE. UU. (además, así tienen algo que regular los 80 trabajadores de AESIA 😉).

Como comentamos antes, desde Secur0 nos alegra ver una empresa española intentar solucionar los problemas actuales de las plataformas de Bug Bounty y apoyaremos en todo lo posible su desarrollo.

Me encantaría saber tu opinión sobre CAI y la IA aplicada al bug bounty en general. Te leo por correo.

javier@secur0.com

Este artículo es un homenaje a la Agencia de Ciberseguridad de Catalunya (ACC) por todas sus iniciativas tan pioneras y sobre todo por impulsar el bug bounty en la administración pública española.

Si bien los programas de bug bounty son habituales en las empresas privadas, aún no son una práctica común en el sector público. En 2016 tuvo lugar el primer programa de bug bounty del gobierno de EE.UU., "Hack the Pentagon", una iniciativa que resultó exitosa y que sigue activa hasta el día de hoy. En la UE, los Países Bajos han sido pioneros desde 2013, pero no fue hasta 2019, con el bug bounty EU-FOSSA 2, cuando la UE lanzó un programa destinado a detectar errores en el software de código abierto utilizado por las instituciones europeas.

En España, en diciembre de 2020, la ACC, junto con la Dirección General de Atención Ciudadana, fueron pioneras en la puesta en marcha de una prueba piloto de bug bounty sobre un conjunto de activos de la Generalitat de Cataluña. Durante dos semanas, un número reducido de reconocidos profesionales de la ciberseguridad participaron de manera altruista mediante una invitación personal y exclusiva.

A partir de esta experiencia positiva, la Agencia ha incorporado el Bug Bounty como una herramienta para mejorar la seguridad de los sistemas de información del sector público de Cataluña.

Licitación 2025 sobre Bug Bounty

El pasado 17 de marzo la ACC publicó el anuncio en la “Plataforma de serveis de contractació pública (PSCP)”. Con un valor estimado del contrato de 140.000€ +IVA, que se repartirá de la siguiente manera:

50.000€ para la plataforma adjudicataria del contrato

90.000€ a repartir entre los hackers que encuentren las vulnerabilidades.

Os invito a leer el pliego de cláusulas administrativas (58 páginas) y el pliego de prescripciones técnicas (28 páginas) porque tiene mucha chicha y tenemos la suerte de poder leerlo aquí.

¿Cómo ves tú el futuro del bug bounty en la administración pública española?, me encantaría saber tu opinión, te leo por correo

javier@secur0.com

Antes de responder esta pregunta, es importante entender qué son los programas de divulgación de vulnerabilidades.

Nacen de la idea “see something, say something”.

Los VDPs, por sus siglas en inglés “Vulnerability Disclosure Policies”, son programas establecidos por organizaciones para que investigadores, hackers éticos o cualquier persona interesada pueda reportar vulnerabilidades de seguridad de manera responsable, sin percibir compensación económica.

Pero… tienen muchos problemas, como cuando tienen el mismo alcance en programas de pago y VPDs, el ranking, tiempos de respuesta, pero, sin duda, el principal problema es el siguiente:

Trabajo gratis para empresas que facturan millones.

El principal problema de los programas de divulgación de vulnerabilidades es que empresas que facturan millonadas, se aprovechan del trabajo gratuito de expertos. Sin ir más lejos a día de hoy en Hackerone hay 209 VDPs y en Bugcrowd 187, donde los únicos que ganan dinero son las plataformas y las empresas por recibir bugs de manera gratuita.

Un claro ejemplo de este problema es Red Bull, una empresa que en 2024 facturó 11 227 mil millones de euros y ha recibido un total de 8981 reportes. De ellos, ha aceptado 2191, es decir, han encontrado más de 2.000 vulnerabilidades pagando solo con unas cuantas latas. Como Red Bull, hay un montón de empresas que facturan millones y te pagan con merchandising (SWAG).

Dicho esto, Secur0 tiene y tendrá VDPs.

Debido a que estamos centrados en la formación, creemos firmemente que los VDPs cumplen una función muy valiosa. Por ejemplo, permiten que un profesor de formación profesional o universitario enseñe hacking en empresas reales y no solo en entornos simulados.

Actualmente tenemos cinco programas de VDP con startups de impacto social que no pueden permitirse invertir en ciberseguridad. En estos programas, hay 300 hackers de 36 centros educativos buscando vulnerabilidades en estas startups.

A partir del 15 de mayo, vamos a mejorar nuestros VDPs y solo aceptaremos ONGs y proyectos 100% open source con full disclosure. Nuestro objetivo es que no deis vuestro tiempo gratis a empresas con ánimo de lucro y que podáis divulgar sin restricciones una vez se haya solucionado la vulnerabilidad.

Desde el punto de la plataforma, no incentivaremos los VDPs con puntos y nunca haremos VDPs privados.

Tenemos claro que queremos mejorar los VDP actuales. ¿Echas en falta algo en nuestra propuesta? Te leo por correo.

javier@secur0.com

“El tamaño del mercado mundial de plataformas Bug Bounty es de 1 520 millones de USD en 2024 y se espera que alcance los 4 950 millones de USD en 2032, creciendo a una tasa de crecimiento anual compuesta (CAGR) de alrededor del 15,94%” (Business Research Insights, 2024).

Business Research Insights atribuye su predicción a que las organizaciones necesitan “probar regularmente su infraestructura informática”, dada la “constante evolución de su infrastructura” y el hecho de que “un hacker podría destruir la reputación de una empresa en minutos”.

Nosotros desde Secur0, pensamos que el mercado crecerá por las siguientes tres razones:

1. Aumento del número de ciberataques

Como todos sabemos, los ciberataques no paran de crecer desde hace años y 2024 no nos ha dejado indiferentes.

Se prevé que el coste mundial de la ciberdelincuencia alcance los 10,29 billones de dólares anuales en 2025. Si se midiera como un país, la ciberdelincuencia sería la tercera mayor economía del mundo después de Estados Unidos y China.

El coste medio mundial de una filtración de datos en 2024 fue de 4,88 millones de dólares, un 10 % más que el año pasado y el total más alto de la historia.

El pago medio por un ransomware en 2024 es de 2,73 millones de dólares, casi un aumento de un millón de dólares con respecto a 2023.

Podría seguir llenando este artículo con cifras alarmantes, pero creo que todos entendemos la magnitud del problema.

2. Aumento de las superficies de ataque

Es una realidad que las empresas cada vez tienen más superficie de ataque y las dos principales razones son las siguientes:

• La transformación digital de las empresas avanza rápidamente, como lo demuestra el Plan Financiero Multianual de la Unión Europea 2021-2027, que destina 7 600 millones de euros para impulsar la transformación digital de la sociedad, la economía y las administraciones públicas de sus Estados miembros.

• El trabajo remoto no deja de crecer, según un estudio de Statista el 28% de los empleados trabaja de manera remota o híbrida, alcanzando el 67% en las empresas tecnológicas.

3. Aumento de las obligaciones de cumplimiento

Los organismos reguladores, como NIST, ENISA y CISA, abogan por una política de divulgación de vulnerabilidades obligatoria y recomiendan programas de bug bounty, conforme a las normas ISO 29147 e ISO 30111. Algunos ejemplos son:

• La CRA exige que se apliquen políticas coordinadas de divulgación de vulnerabilidades (políticas CVD o VDP) para facilitar la notificación externa de vulnerabilidades.

• La norma PCI-DSS 4.0 / 6.3.1 recomienda los programas de bug bounty como una posible solución para evaluar las vulnerabilidades del software desarrollado internamente.

Tendencias del bug bounty

• La queridísima inteligencia artifical sigue ganando terreno, no solo en el proceso de búsqueda de vulnerabilidades, sino también en la creación de programas de bug bounty. Huntr, es la primera plataforma de bug bounty 100% enfocada en AI/ML, actualmente cuenta con más de 240 programas de pago.

• Por otro lado, el Hardware Hacking ha mostrado un crecimiento notable. Según el informe de 2024 de BugCrowd, el 81% de los hackers de hardware se encontraron con una nueva vulnerabilidad que nunca antes habían visto en los últimos 12 meses. Además, el 64% de ellos considera que actualmente existen más vulnerabilidades en hardware que hace un año.

  

  ---

Y tú, ¿cómo ves el futuro del bug bounty? Te leo por correo

javier@secur0.com

Suscríbete ahora

La newsletter “Secur0 - Bug Bounty con Ñ” surge como un homenaje a “Infosec - Ciberseguridad con Ñ”, creada por el gran Nacho García Egea.

Esta newsletter mensual nace con un objetivo claro, mantenerte informado sobre todo lo relacionado con el bug bounty. Y qué mejor manera de arrancar que conociendo sus raíces, explorando cómo nació el concepto de recompensar a los hackers éticos por encontrar vulnerabilidades.

1983, Get a bug if you find a bug

El origen de los programas de bug bounty se remonta a 1983 , cuando una startup de Silicon Valley llamada Hunter & Ready ofrecía un Volkswagen Beetle como recompensa a los investigadores que encontraran vulnerabilidades en su sistema operativo Versatile Real-Time Executive (VRTX).

1995, Netscape lanza el primer programa de bug bounty

No obstante, el primer programa de Bug Bounty moderno, tal y como lo conocemos hoy en día, no surgió hasta 1995, cuando la compañia Netscape decidió recompensar a cualquier investigador que reportara fallos sobre su navegador Netscape Navigator 2.0.

Matt Horner, Vicepresidente de marketing de Netscape, destacó en su momento: "Al recompensar a los usuarios por identificar e informarnos rápidamente de los errores, este programa fomentará una revisión amplia y abierta de Netscape Navigator 2.0 y nos ayudará a seguir creando productos de la máxima calidad."

2002, IDefense se convierte en intermediario de bug bounties

Como el modelo de bug bounty de Netscape no consiguió atraer a otros proveedores, la empresa de seguridad IDefense se convirtió en el primer intermediario de bug bounties. Su programa “vulnerability contributor program” ofrecía a los investigadores hasta 400 dólares por informarles de vulnerabilidades en software de otras empresas. IDefense actuaba entonces como intermediario entre el investigador y los vendedores de software.

2004, Mozilla Firefox bug bounty program

En 2004, Mozilla Fundation implementó su propio programa de bug bounty para su navegador Firefox, pagaban 500 dólares por vulnerabilidad tanto en la versión estable como en las versiones beta. Incentivando a los investigadores a reportar fallos antes de que afectaran a un mayor número de usuarios. Este programa fue todo un éxito debido a la gran comunidad de contribuidores open source con los que contaban. Aquí puedes encontrar el anuncio oficial de este programa.

2005 — Zero Day Initiative

La Zero Day Initiative (ZDI) se creó para fomentar el reporte de vulnerabilidades de día cero de forma privada a los proveedores afectados, recompensando económicamente a los investigadores. En la actualidad, el ZDI es el programa de bug bounty independiente de proveedores más grande del mundo. No revenden ni redistribuyen las vulnerabilidades adquiridas a través de ZDI.

2010, Google bug hunters

El bug bounty empieza a despegar con el lanzamiento del programa de bug bounty del gigante técnológico. A principios del mismo año, Google había lanzado un programa similar para el proyecto de código abierto Chromium. Debido a que fue todo un éxito, este nuevo progrma incluía toda las aplicaciones web de Google. Este programa sigue en marcha y han pagado un total de 58.760.845 dólares a 3672 hackers desde entonces, siendo el pago más grande de 605.000 dólares.

2011, Facebook whitehat program

Facebook siguió los pasos de Google y lanzó su propio programa whitehat, con la particularidad de que no había limite en la cantidad máxima pagada por una vulnerabilidad. A día de hoy el límite es de 300.000 dólares para algunas ejecuciones remotas de código (RCE). Facebook se caracteriza por organizar eventos de hacking en vivo anualmente con los mejores hackers del programa.

2012, Nace Hackerone

Hackerone fue fundada en 2012 por los expertos en seguridad Jobert Abma, Michiel Prins, Alex Rice y Merijn Terheggen. Revolucionando la manera en la que se gestionan los programas de bug bounty, facilitando a las empresas a llegar a más hackers y reduciendo la complejidad de gestión, haciendo el triaje de las vulnerabilidades y gestionando los pagos, entre otras muchas cosas.

A partir de este momento, plataformas como Bugcrowd, Intigriti, YesWeHack y Secur0 😉 surgieron, convirtiéndose en la opción más común para las empresas que tienen programas de bug bounty. Hoy en día, son pocas las compañías que optan por gestionar sus programas de bug bounty de manera independiente, ya que estas plataformas ofrecen soluciones más completas y especializadas.

Futuro del bug bounty

El futuro del bug bounty está lleno de posibilidades, con cada vez más empresas adoptando este modelo. En la edición de la newsletter del mes que viene indagaremos en como vemos el futuro del bug bounty desde Secur0. Pero antes, quiero saber como te gustaría que fuera el futuro de bug bounty.

Mándame un mail a javier@secur0.com

¿Qué crees que debe mejorar en la industria del bug bounty? ¿Cómo imaginas el futuro de los programas y plataformas? Escríbeme, contestaré a todos los correos.