Estos días ha salido Grayback, una nueva plataforma de bug bounty en español, y muchas personas nos han preguntado qué pensamos desde Secur0.

La verdad es que nos parece lógico que aparezcan nuevas plataformas nacionales. De hecho, que nazcan proyectos como Grayback es señal de que el mercado empieza a moverse.

Y eso es positivo.

Pero también creemos que es importante hablar de la pregunta incómoda:

¿Puede una plataforma española competir de verdad?

Llevamos más de un año construyendo Secur0 y hubo una pregunta que durante mucho tiempo no supimos responder bien:
¿En qué se diferencia realmente Secur0 de gigantes como Hackerone, Bugcrowd, YesWeHack, Intigriti …?

La verdad es que, más allá de su fuerza comercial, tampoco está claro qué los diferencia entre ellos.

La conclusión incómoda a la que llegamos es que competir frontalmente contra ellos no tiene sentido estratégico… al menos, no hoy.

Intentar ser el “HackerOne español” sería ingenuo. En Secur0 no estamos aquí para autoengañarnos: preferimos construir paso a paso, con madurez y estrategia.

El problema no es la competencia. Es la madurez del mercado.

El bug bounty no es un servicio que se venda por precio.
Ni por ser “plataforma española”.
Ni por cercanía cultural.

Es una decisión que implica: equipos legales, procesos internos complejos, gestión de riesgo reputacional y capacidad de respuesta real ante vulnerabilidades. Y, sobre todo, madurez en seguridad.

La realidad es que pocas empresas en España están preparadas para lanzar un programa público de bug bounty serio.

Esa es la conversación real.

Lo que aprendimos

Al principio también nos planteamos si debíamos ir directamente a vender BBP a grandes empresas. Después de hablar con fundadores de otras plataformas locales de bug bounty, como Defend Denmark, CyberDart… y también con iniciativas españolas como Epic Bounties y CazHack, nos dimos cuenta de que no podíamos intentar vender solo bug bounty desde el primer día o íbamos a morir en el intento esperando un contrato con una gran empresa.

Decidimos empezar con 3.000 € y escalar desde ahí, creciendo paso a paso hasta formar el equipo de 15 personas que somos hoy. Dani y yo no queríamos ir “a por todas” como el modelo tradicional de una startup sin antes tener una base sólida.

Por eso nuestra estrategia ha sido clara: pentesting continuo, subir el nivel técnico en cada ejercicio, acompañar a los equipos internos y mejorar procesos de gestión de vulnerabilidades, en definitiva, construir madurez real.

Cuando el cliente esté preparado, entonces sí tendrá sentido hablar de bug bounty. Esto es un proceso de años, y estamos cómodos con eso.

¿Y qué implica esto para la comunidad hacker?

No vamos a competir públicamente con plataformas como HackerOne o Intigriti en volumen o recompensas millonarias. Nuestros programas visibles se centran en pentesters junior, estudiantes y quienes buscan su primera vulnerabilidad, con un enfoque en aprendizaje y mejora continua.

Al mismo tiempo, para los mejores hackers de nuestra comunidad habrá oportunidades privadas, adaptadas a su nivel, con retos y recompensas competitivas. De esta manera, aseguramos que quienes demuestran talento puedan seguir creciendo y contribuir mientras ayudamos a formar a la próxima generación de pentesters y bug hunters.

En Secur0 no buscamos retener talento: buscamos potenciarlo y darle las herramientas para llegar más lejos.

Entonces, ¿qué significa la aparición de Grayback?

Que el mercado de bug bounty en español se está moviendo.

Si Grayback atrae empresas nuevas o ayuda a educar sobre bug bounty, es bueno para todos. Por eso desde Secur0 queremos felicitar a David Padilla y su equipo por lanzar Grayback y les deseamos mucha suerte.

Nosotros seguimos con nuestro camino: construir madurez, formar talento y acompañar a la comunidad.