Hoy quiero hablar sobre cómo conseguí mi primera vulnerabilidad crítica, cómo hackeé la NASA sin ir a la cárcel, los errores que cometí al empezar en bug bounty y cómo tú puedes conseguir recompensas por hackear a las empresas legalmente antes de que los ciberdelincuentes lo hagan.
Este vídeo está diseñado para que cualquiera, sí, cualquiera, pueda seguirlo y conseguir su primera vulnerabilidad.
Además, voy a darte un regalo que te ayudará a conseguir tu primer trabajo en ciberseguridad.
Rellena el siguiente formulario y consigue acceso a los recursos mencionados en el vídeo de forma gratuita:
Escribe aquí tu nombre y tu email
Primero quiero que conozcas los errores que cometí al empezar en bug bounty, porque pueden ahorrarte mucho tiempo y dinero.
El primer error que cometí fue no ser constante.
Cuando empecé en bug bounty, tenía la idea equivocada de que encontrar vulnerabilidades era cuestión de suerte. Me obsesionaba con un programa en concreto, pero si después de unas horas no encontraba nada, me frustraba y pasaba a otro programa. Este enfoque me hizo perder tiempo y oportunidades.
Por una sencilla razón. Entender una aplicación web, sus funcionalidades y conexiones requiere tiempo.
La realidad es que el éxito en bug bounty no depende de golpes de suerte, sino de constancia y disciplina. Los TOP bug hunters no encuentran más vulnerabilidades porque sean más inteligentes o tengan herramientas más avanzadas, sino porque aplican una metodología sistemática y no abandonan a la primera señal de dificultad.
Debes planificar un tiempo específico cada día o semana para dedicarle tiempo. Da igual si son 30 minutos al día o unas horas el fin de semana. La persistencia te dará más y mejores resultados a largo plazo.
Otro error que cometí al empezar en bug bounty fue confiar demasiado en herramientas automatizadas sin entender los fundamentos detrás de cada vulnerabilidad.
Escaneaba aplicaciones con Nuclei, sqlmap y demás y esperaba que las herramientas hicieran el trabajo por mí. Si no encontraba nada, asumía que el programa estaba “seguro” y pasaba al siguiente.
Gran error.
Las herramientas son útiles, pero solo si sabes interpretarlas. No pueden detectar la lógica de negocio, vulnerabilidades encadenadas o comportamientos inesperados en una aplicación. Si solo confías en ellas, te perderás la mayoría de bugs importantes.
Aprendí que primero debía entender cómo funcionan las vulnerabilidades, cómo se explotan y en qué contexto pueden aparecer. Luego, usar herramientas para automatizar ciertas tareas, pero siempre con criterio.
De hecho, esto fue lo que me permitió conseguir la vulnerabilidad crítica en la NASA. Dejar de utilizar herramientas automáticas y pensar como un ciberdelincuente real.
Otro error, y posiblemente el que más dinero te hará perder, es el de analizar las aplicaciones desde una perspectiva demasiado técnica y no desde la mentalidad de un atacante.
Al principio, me limitaba a probar payloads genéricos, ejecutar escáneres y seguir un proceso mecánico. Pero los ciberdelincuentes no trabajan así.
Ellos buscan formas creativas de romper el sistema. Analizan cómo interactúan las funcionalidades, prueban flujos inesperados y combinan vulnerabilidades para maximizar el impacto.
Es muy importante pensar como un atacante.
Preguntarte: ¿Qué pasaría si…? ¿Cómo podría abusar de esta funcionalidad? ¿Hay una forma no prevista de explotar esto?
Y este error está 100% relacionado con el siguiente.
Si entras en bug bounty solo por el dinero, estás empezando mal.
Yo también caí en esa trampa. Veía las recompensas de otros hackers y pensaba: «Si ellos pueden, yo también». Pero la frustración se apoderaba de mí cuando no llegaban los reportes aceptados (y mucho menos las recompensas).
Por una sencilla razón: el dinero es una consecuencia, no el propósito.
Si solo buscas dinero rápido, te rendirás en cuanto no lo consigas. Pero si te enfocas en aprender, en mejorar tu pensamiento ofensivo y en desarrollar habilidades reales, los resultados llegarán solos.
En el Podcast que grabé con Archyxsec, uno de los TOP 100 hackers a nivel mundial, lo decía:
”Al principio no vas a ganar dinero” Y es posible que te retires antes de encontrar algo.
¿Y por qué no debes buscar únicamente el dinero?
Porque tomarás peores decisiones.
Cuando solo persigues dinero, te vuelves impaciente. Intentas encontrar vulnerabilidades rápidas y evidentes. Si no encuentras algo en pocos minutos, abandonas.
Ahora dime, ¿Cuántas personas pueden estar pensando en la misma vulnerabilidad que tú?
¿Y cuántas de ellas tienen más experiencia?
Si sigues este camino, terminarás frustrado y diciendo que esto no es para mí, que el bug bounty no funciona, que solo los expertos encuentran fallos… Y así, te convencerás de que rendirte es la única opción.
Cuando cambias el enfoque y te centras en ser mejor, en aprender algo nuevo cada día, el dinero deja de ser una preocupación. Llega solo, como una consecuencia de tu crecimiento.
Ponerse objetivos ambiciosos no es malo, pero si no son realistas, juegan en tu contra. Si tu meta es encontrar un bug crítico en tu primera semana, lo más probable es que termines desmotivado. En cambio, si te enfocas en mejorar cada día, en entender mejor una tecnología, aprender una nueva técnica o dominar una herramienta, las recompensas llegarán por sí solas.
Pero no basta con tener un objetivo, necesitas un plan.
No puedes decir: «Quiero encontrar un bug crítico en una semana», sin definir qué acciones concretas vas a llevar a cabo.
Te pongo un ejemplo:
Cuando empecé, me puse como objetivo encontrar mi primera vulnerabilidad en 30 días. Para lograrlo, decidí dedicarle 1 hora al día a bug bounty. Es decir, 30 horas en total.
¿El resultado?
No conseguí mi objetivo en 30 días… lo logré en 90. ¿Por qué? Porque no fui constante.
Si tus metas no van acompañadas de disciplina y acción, no importan. No se trata solo de lo que quieres, sino de lo que estás dispuesto a hacer para conseguirlo.
Y llegamos al último error…
El trabajo de un hacker ético no está en hackear una aplicación.
La única forma de demostrar tu trabajo es con el informe.
Y en bug bounty, tu capacidad para comunicar tus hallazgos es tan importante como la vulnerabilidad misma. No basta con decir «encontré un XSS en esta página». Tienes que explicar cómo llegaste a esa conclusión, por qué esa vulnerabilidad es crítica en el contexto de la aplicación y cómo un atacante podría explotarla.
Estos consejos te ayudarán a encontrar tu primera vulnerabilidad mucho más rápido.
Ahora, pasemos a qué vulnerabilidad encontré en la NASA y qué aprendí en todo el proceso.
Este logro no llegó de la noche a la mañana. Me llevó exactamente 32 horas activas distribuidas a lo largo de 3 meses. Antes de alcanzar este éxito, identifiqué otras vulnerabilidades, pero todas resultaron ser duplicadas, lo cual fue una lección en sí misma.
Las primeras vulnerabilidades que encontré fueron de information disclosure.
Básicamente, es una vulnerabilidad que revela información confidencial o sensible a usuarios no autorizados.
Todas resultaron ser duplicadas, y la razón es muy sencilla: es lo más fácil de buscar.
Tras varios reportes y ver que no conseguía resultados, abandoné la dependencia de herramientas automáticas y me concentré en el análisis lógico, lo que me permitió descubrir un RCE (Remote Code Execution) y tomar control completo de un servidor web que me permitía conectar con otros puntos y servicios de la NASA.
Ahora quiero compartirte mis 3 aprendizajes:
1️⃣ Primer aprendizaje: Valora tu tiempo activo.
A veces, sentimos que el esfuerzo invertido no produce resultados, pero cuando comienzas a medir el tiempo que dedicas a tareas específicas, obtienes una visión más clara y tangible de tu progreso. Tres meses pueden parecer mucho, pero si lo desglosas, 32 horas no son tantas. La clave es ser consciente de cómo distribuyes tu tiempo y mantener la perseverancia.
2️⃣ Segundo aprendizaje: Acepta que fallar es parte del proceso.
Incluso los TOP mundiales encuentran vulnerabilidades duplicadas. De cada cinco reportes, tres pueden serlo. Esto me enseñó la importancia de jugar con la ley de los grandes números: cuanto más intentas, más te acercas a lograr el éxito.
3️⃣ Tercer aprendizaje: Piensa diferente.
Al principio, estaba tan enfocado en encontrar una vulnerabilidad que seguía los caminos más obvios: usar herramientas automáticas y hacer revisiones superficiales. Sin embargo, el verdadero cambio vino cuando empecé a pensar como un ciberdelincuente, buscando causar el mayor impacto.
Por último, si te interesa el bug bounty, te recomiendo ver el episodio del podcast con Archy porque vas a aprender de la mano de uno de los mejores hackers de España y del mundo, cómo ha conseguido vivir 100% de esta disciplina.
Ahora pasemos a “Cómo empezar en bug bounty”.
Pero antes de profundizar, necesito que hagas algo. Tómate un momento y deja un comentario diciendo: «Empiezo mi camino en bug bounty». Quiero ser claro, esto no es solo otro comentario en YouTube, es tu compromiso público. Cuando consigas esa gran recompensa y créeme, lo harás, tendrás un registro de dónde comenzó todo.
Mi recomendación es empezar con VDPs. Que son programas en los que no dan recompensas monetarias pero si agradecimientos, regalos, etc.
El objetivo es crear una metodología y los VDPs son la mejor opción ya que no hay tanta competencia.
Vamos a utilizar la plataforma bugcrowd para comenzar.
Si quieres conocer el paso a paso para comenzar en este plataforma, aquí tienes el vídeo completo:
Únete a CiberInsider y prepárate para dar el primer paso a conseguir tu empleo en ciberseguridad
Al suscribirte, aceptas la política de privacidad de rinku.tech y recibir noticias, contenidos, comunicaciones relacionados con la web, gratuitos y premium.
