Un programa de recompensas por errores es un acuerdo ofrecido por muchos sitios web, organizaciones y desarrolladores de software mediante el cual las personas pueden recibir reconocimiento y compensación [ 1 ] por reportar errores , especialmente aquellos relacionados con vulnerabilidades de seguridad . [ 2 ] Si no se ofrece una recompensa financiera, se denomina programa de divulgación de vulnerabilidades . [ 3 ] [ 4 ]
Estos programas, que pueden considerarse una forma de pruebas de penetración colaborativas , [ 5 ] otorgan permiso a individuos no afiliados —llamados cazadores de recompensas por errores, [ 6 ] hackers éticos o de sombrero blanco [ 7 ] — para encontrar e informar sobre vulnerabilidades. [ 3 ] Si los desarrolladores descubren y corrigen errores antes de que el público general tenga conocimiento de ellos, los ciberataques que podrían haberlos explotado ya no son posibles. [ 3 ]
Los participantes en los programas de recompensas por detección de errores provienen de diversos países, y aunque la principal motivación es la recompensa económica, existen otras razones para participar. Los hackers podrían ganar mucho más dinero vendiendo vulnerabilidades de día cero no divulgadas a intermediarios, empresas de software espía o agencias gubernamentales, en lugar de al proveedor del software. Si buscan vulnerabilidades fuera del alcance de estos programas, podrían enfrentarse a problemas legales en virtud de las leyes de ciberdelincuencia . La magnitud de los programas de recompensas por detección de errores aumentó drásticamente a finales de la década de 2010.
Algunas grandes empresas y organizaciones gestionan y operan sus propios programas de recompensas por errores, entre ellas Microsoft, Facebook, Google, Mozilla , la Unión Europea [ 8 ] y el gobierno federal de los Estados Unidos [ 9 ] . Otras empresas ofrecen recompensas por errores a través de plataformas como HackerOne .
Historia
En 1851, Alfred Charles Hobbs recibió US$20,000 (ajustados por inflación) por abrir una cerradura. [ 10 ] En 1983, la empresa Hunter & Ready publicó un anuncio con el lema "Consigue un bug si encuentras un bug", ofreciendo recompensar a los hackers que descubrieran bugs en su sistema operativo VRTX con un automóvil Volkswagen Beetle . [ 11 ] [ 12 ] En 1995, Netscape lanzó su programa de recompensas por bugs para la versión beta de su navegador Netscape Navigator 2.0. [ 10 ] [ 13 ] [ 14 ] Posteriormente, otras empresas abrieron sus propios programas de recompensas por bugs. Estos se complementaron con plataformas de crowdsourcing que facilitaron a los profesionales la búsqueda de bugs. [ 10 ]
Motivación

A pesar del objetivo de los desarrolladores de entregar un producto que funcione completamente según lo previsto, prácticamente todo el software contiene errores. [ 15 ] [ 5 ] Si un error crea un riesgo de seguridad, se denomina vulnerabilidad , y si el proveedor no lo sabe, se denomina día cero . [ 16 ] [ 17 ] Las vulnerabilidades varían en su potencial de ser explotadas por actores maliciosos. Algunas no son utilizables en absoluto, mientras que otras pueden usarse para interrumpir el dispositivo con un ataque de denegación de servicio . Las más valiosas permiten al atacante inyectar y ejecutar su propio código, sin que el usuario lo sepa. [ 18 ] Los daños de un ataque pueden ser graves . [ 19 ]
Las organizaciones que buscan mejorar la seguridad prueban sus sistemas para ver si pueden ser vulnerados. [ 5 ] Muchas contratan servicios externos que realizan pruebas de penetración , pero esto no es suficiente para encontrar todas las vulnerabilidades, lo que motiva a algunas empresas a complementar con información de crowdsourcing. [ 3 ] Muchas empresas son escépticas respecto a los informes de terceros, [ 20 ] temen que estos programas aumenten la actividad maliciosa, cuesten demasiado dinero o generen informes fraudulentos. Por otra parte, los programas de recompensas por errores pueden ignorarse debido a la confianza en la seguridad de su aplicación o en favor de otras medidas de seguridad. [ 21 ] Algunos estudios han encontrado que el costo por vulnerabilidad encontrada es mucho menor a través de programas de recompensas que contratando ingenieros de software para buscar vulnerabilidades. [ 20 ]
Recompensas
El monto de la recompensa ofrecida varía según factores como el tamaño de la empresa, la dificultad de encontrar la vulnerabilidad y la gravedad de sus posibles efectos si se explota. [ 6 ] Los cazadores de recompensas por errores exitosos a menudo pueden ganar más que los desarrolladores de software . [ 22 ] Muchos programas de recompensas por errores se centran en aplicaciones web . [ 23 ]
En agosto de 2013, un estudiante palestino de informática informó sobre una vulnerabilidad que permitía a cualquier persona publicar un vídeo en una cuenta arbitraria de Facebook. Según la comunicación por correo electrónico entre el estudiante y Facebook, intentó informar de la vulnerabilidad mediante el programa de recompensas por errores de Facebook, pero los ingenieros de Facebook no lo entendieron. Posteriormente, explotó la vulnerabilidad utilizando el perfil de Facebook de Mark Zuckerberg , lo que provocó que Facebook se negara a pagarle la recompensa. [ 24 ]

Facebook comenzó a pagar a los investigadores que encuentran y reportan fallas de seguridad emitiéndoles tarjetas de débito personalizadas con la marca "White Hat" que pueden recargarse con fondos cada vez que los investigadores descubren nuevas fallas. [ 25 ]
En 2016, Uber sufrió un incidente de seguridad cuando un individuo accedió a la información personal de 57 millones de usuarios de Uber en todo el mundo. Supuestamente, el individuo exigió un rescate de 100 000 dólares para destruir los datos en lugar de publicarlos. En su testimonio ante el Congreso, el CISO de Uber indicó que la empresa verificó que los datos habían sido destruidos antes de pagar los 100 000 dólares. [ 26 ] El Director de Seguridad de la Información de Uber lamentó no haber revelado el incidente en 2016. Como parte de su respuesta, Uber colaboró con HackerOne para actualizar las políticas de su programa de recompensas por errores (bug bounty) y explicar la investigación y divulgación de vulnerabilidades de buena fe. [ 27 ]
Yahoo! fue duramente criticado por enviar camisetas de Yahoo! como recompensa a los investigadores de seguridad por encontrar e informar sobre vulnerabilidades de seguridad en Yahoo!. [ 28 ] Cuando Ecava lanzó el primer programa conocido de recompensas por errores para ICS en 2013, [ 29 ] [ 30 ] fueron criticados por ofrecer créditos de tienda en lugar de dinero en efectivo, lo que no incentiva a los investigadores de seguridad. [ 31 ] Ecava explicó que el programa estaba destinado a ser inicialmente restrictivo y se centraba en la perspectiva de seguridad humana para los usuarios de IntegraXor SCADA , su software ICS. [ 29 ] [ 30 ]
Algunos programas de recompensas por detección de errores exigen a los investigadores firmar un acuerdo de confidencialidad para recibir el pago o los beneficios de protección del programa. Esta práctica ha sido criticada por motivos éticos, ya que permite a la empresa ocultar el conocimiento de las vulnerabilidades. [ 32 ] [ 33 ] [ 34 ]
Informes
Debido a que las presentaciones están abiertas a cualquiera, una gran cantidad de informes (estimados en 50-70 por ciento para HackerOne , la plataforma más grande) son inválidos. [ 35 ] [ 36 ] Un estudio encontró que la mayor cantidad de informes fueron rechazados por vulnerabilidades previamente conocidas, seguidos de falsos positivos , fuera de alcance, duplicados y por falta de prueba de concepto . Otro estudio encontró que los programas de recompensas que ofrecían más dinero recibieron una mayor cantidad de informes válidos. [ 37 ] Una causa de los informes inválidos es que puede ser más fácil para los hackers enviar un informe que hacer trabajo adicional para verificar su solución. [ 38 ] Algunas plataformas de recompensas por errores, incluida HackerOne, han implementado medidas para reducir la cantidad de informes inválidos. [ 38 ] Los programas de recompensas por errores pueden ser solo por invitación para investigadores de seguridad confiables en lugar de públicos. [ 39 ] Para validar la vulnerabilidad y recibir un premio, el hacker generalmente tiene que crear un exploit para probar que la vulnerabilidad encontrada es un error de seguridad genuino . [ 6 ] Las vulnerabilidades más comúnmente reportadas en los programas de recompensas por errores incluyen inyección SQL , secuencias de comandos entre sitios (XSS) y fallas de diseño. [ 40 ]
Participantes
Los participantes en programas de recompensas por detección de errores provienen de diversos países. En una encuesta realizada a hackers en la plataforma HackerOne , el 19 por ciento indicó residir en Estados Unidos. [ 34 ] Cualquier persona puede realizar informes, independientemente de su nivel educativo y edad. [ 41 ] La mayoría de los informes provienen de un número relativamente pequeño de hackers. [ 42 ] El número de informantes y de informes aumentó drásticamente a finales de la década de 2010. [ 43 ]
Aunque la motivación más citada de los participantes en programas de recompensas por errores es la recompensa económica por reportar errores, [ 44 ] otros factores motivadores incluyen el potencial de reconocimiento, el desafío intelectual, el aprendizaje y las oportunidades laborales. [ 45 ] [ 3 ] [ 7 ] Un estudio de 2017 publicado en el Journal of Cybersecurity encontró que los programas de recompensas por errores más recientes atrajeron a más investigadores, a pesar de que los más antiguos ofrecían mayores recompensas económicas. [ 46 ]
Programas destacados
Corporativo
En octubre de 2013, Google anunció un cambio importante en su Programa de Recompensas por Vulnerabilidades. Anteriormente, se trataba de un programa de recompensas por errores que abarcaba muchos productos de Google. Sin embargo, con este cambio, el programa se amplió para incluir una selección de aplicaciones y bibliotecas de software libre de alto riesgo , principalmente aquellas diseñadas para redes o para funcionalidades de bajo nivel del sistema operativo . Las solicitudes que Google considerara que cumplían con las directrices serían elegibles para recompensas que oscilaban entre $500 y $3133,70. [ 47 ] [ 48 ] En 2017, Google amplió su programa para cubrir vulnerabilidades encontradas en aplicaciones desarrolladas por terceros y disponibles a través de Google Play Store. [ 49 ] El Programa de Recompensas por Vulnerabilidades de Google ahora incluye vulnerabilidades encontradas en productos de Google, Google Cloud, Android y Chrome, y recompensas de hasta $31 337. [ 50 ]
Microsoft y Facebook se asociaron en noviembre de 2013 para patrocinar The Internet Bug Bounty, un programa que ofrece recompensas por reportar hackeos y exploits para una amplia gama de software relacionado con Internet. [ 51 ] En 2017, GitHub y The Ford Foundation patrocinaron la iniciativa, que es administrada por voluntarios, incluyendo a Uber, Microsoft, [ 52 ] Adobe, HackerOne, GitHub, NCC Group y Signal Sciences. [ 53 ]
Gobierno
En marzo de 2016, Peter Cook anunció el primer programa de recompensas por detección de errores del gobierno federal de EE. UU., el programa "Hack the Pentagon". [ 54 ]
En 2019, la Comisión Europea anunció la iniciativa EU-FOSSA 2 de recompensas por la detección de errores para proyectos de código abierto populares, como Drupal , Apache Tomcat , VLC , 7-zip y KeePass . El proyecto fue facilitado conjuntamente por la plataforma europea de recompensas por la detección de errores Intigriti y HackerOne, y dio como resultado un total de 195 vulnerabilidades únicas y válidas. [ 55 ]
En 2025, el Gobierno de la República Checa lanzó su programa oficial de recompensas por detección de errores en la plataforma de hacking ético Hackrate. [ 56 ]
Plataformas
Hay algunas plataformas —la más grande es HackerOne— que ejecutan programas de recompensas por errores en nombre de los proveedores de software y pagan las recompensas establecidas por el proveedor. [ 8 ] Otras incluyen Cobalt , Bugcrowd y Synact. [ 57 ] [ 58 ] [ 59 ] Open Bug Bounty es un programa de recompensas por errores de seguridad colaborativo establecido en 2014 que permite a las personas publicar vulnerabilidades de seguridad de sitios web y aplicaciones web con la esperanza de obtener una recompensa de los operadores de sitios web afectados. [ 60 ]
Investigación
A partir de 2021La mayoría de las investigaciones cuantitativas sobre programas de recompensas por errores se han centrado en conjuntos de datos de acceso público. No se han publicado investigaciones sobre recompensas por errores en sistemas críticos para la seguridad , que se han conectado cada vez más a Internet. La mayor parte de la investigación existente es cuantitativa y está realizada por expertos en informática, con una falta de perspectivas multidisciplinarias que incorporen los conocimientos de campos como la economía, el derecho y la filosofía. [ 44 ]
Legalidad
El descubrimiento de vulnerabilidades es similar en muchos aspectos a un ciberataque . Las acciones incluso de hackers bienintencionados pueden infringir las leyes penales promulgadas para enjuiciar a los ciberdelincuentes. La mayoría de los hackers no son expertos en derecho y desconocen la legislación vigente en su jurisdicción. [ 61 ] Es común que quienes descubren vulnerabilidades reciban amenazas legales tras revelar una vulnerabilidad. [ 62 ]
Aunque casi todos los programas de recompensas por errores prometen un refugio seguro para los informes que cumplan con sus políticas, [ 61 ] si la vulnerabilidad descubierta no se incluye en un programa de recompensas por errores previamente establecido, la empresa involucrada podría denunciarla como un ciberataque ilegal. [ 61 ] [ 62 ] En China, algunos informantes de vulnerabilidades han sido arrestados y procesados, incluidos los líderes de WooYun , la plataforma de informes de vulnerabilidades más antigua y grande del país. [ 61 ]
Mercados de vulnerabilidad alternativos
Not all companies respond positively to disclosures, as they can cause legal liability and operational overhead. It is not uncommon to receive cease-and-desist letters from software vendors after disclosing a vulnerability for free.[63] Some individuals who find a previously unknown, zero-day vulnerability do not sell it to the vendor directly or indirectly via a third-party bug bounty program. According to one study, the most commonly cited reasons for not reporting a bug were threatening language on the website, lack of an obvious place to report, and lack of response to earlier bug reports.[64]
Discoverers can earn more money—more than US$1 million in some cases—by selling the vulnerability to brokers such as Zerodium, spyware companies such as NSO Group, governments, or intelligence agencies. Government agencies may use the vulnerability to cause a cyberattack, stockpile the vulnerability, or notify the vendor.[65][17][8] Some hackers also sell the vulnerability they found to a criminal group.[66] In 2015, the markets for government and crime were estimated at at least ten times larger than the bug bounty market.[65]
See also
References
- ↑Ding, Aaron Yi; De Jesus, Gianluca Limon; Janssen, Marijn (2019). "Ethical hacking for boosting IoT vulnerability management". Proceedings of the Eighth International Conference on Telecommunications and Remote Sensing. Ictrs '19. Rhodes, Greece: ACM Press. pp. 49–55. arXiv:1909.11166. doi:10.1145/3357767.3357774. ISBN 978-1-4503-7669-3. S2CID 202676146.
- ↑Weulen Kranenbarg, Marleen; Holt, Thomas J.; van der Ham, Jeroen (November 19, 2018). "Don't shoot the messenger! A criminological and computer science perspective on coordinated vulnerability disclosure". Crime Science. 7 (1): 16. doi:10.1186/s40163-018-0090-8. hdl:1871.1/8cdcfab0-9864-46c2-a7b7-a295c8ee511a. ISSN 2193-7680. S2CID 54080134.
- 1 2 3 4 5 6 Magalhães 2024 , pág. 236.
- ↑ Jackson 2021 , pág. 6.
- ^ Magalhães 2024 , pág. 235.
- 1 2 3 Lozano y Amir 2018 , pág. 5.
- ^ Laszka y otros. 2018 , pág. 138.
- ^ Magalhães 2024 , pág. 241.
- ↑ "El Pentágono se abrió a los hackers y corrigió miles de errores" . Wired . 10 de noviembre de 2017. Consultado el 25 de mayo de 2018 .
- 1 2 3 Jackson 2021 , pág. 3.
- ↑ "Póster VRTX - 102782474 - CHM" . www.computerhistory.org . Consultado el 20 de marzo de 2026 .
- ↑ Conger, Kate (19 de enero de 2017). "Hackeando al ejército" . TechCrunch . Consultado el 20 de marzo de 2026 .
- ↑ "La recompensa atrae a cazadores de insectos" . CNET . 13 de junio de 1997. Consultado el 17 de octubre de 2023 .
- ↑ Friis-Jensen, Esben (11 de abril de 2014). "La historia de los programas de recompensas por errores" . Cobalt.io . Archivado del original el 16 de marzo de 2020. Recuperado el 17 de octubre de 2023 .
- ↑ Ablon y Bogart 2017 , pág. 1.
- ↑ Ablon y Bogart 2017 , págs. iii, 2.
- 1 2 Sood y Enbody 2014 , pág. 1.
- ↑ Ablon y Bogart 2017 , pág. 2.
- ↑ Magalhães 2024 , págs .
- ^ Magalhães 2024 , págs. 239-240.
- ↑ Jackson 2021 , pág. 4.
- ↑ Lozano y Amir 2018 , pág. 12.
- ↑ Sinha 2019 , pág. 219.
- ↑ "Hackean la página de Facebook de Zuckerberg para demostrar una falla de seguridad" . CNN. 20 de agosto de 2013. Consultado el 17 de noviembre de 2019 .
- ↑ Mills, Elinor (31 de diciembre de 2011). "Tarjeta de débito ética de Facebook" . CNET.
- ↑ "Testimonio de John Flynn, Director de Seguridad de la Información de Uber Technologies, Inc." (PDF) . Senado de los Estados Unidos. 6 de febrero de 2018. Consultado el 4 de junio de 2018 .
- ↑ "Uber endurece su política de extorsión en el programa de recompensas por errores" . Threat Post. 27 de abril de 2018. Consultado el 4 de junio de 2018 .
- ↑ Osborne, Charlie. "Yahoo cambia su política de recompensas por errores tras el 'escándalo de la camiseta'"" . ZDNet .
- 1 2 Toecker, Michael (23 de julio de 2013). "Más sobre el programa de recompensas por errores de IntegraXor" . Digital Bond . Recuperado el 21 de mayo de 2019 .
- 1 2 Ragan, Steve (18 de julio de 2013). "Proveedor de SCADA enfrenta reacción pública negativa por programa de recompensas por errores" . CSO . Recuperado el 21 de mayo de 2019 .
- ↑ Rashi, Fahmida Y. (16 de julio de 2013). "Proveedor de SCADA criticado por programa de recompensas por errores 'patético'" . Security Week . Recuperado el 21 de mayo de 2019 .
- ↑ "Cómo Zoom manejó la vulnerabilidad muestra el lado oscuro de los programas de recompensas por errores" . ProPrivacy.com . Consultado el 17 de mayo de 2023 .
- ↑ Porup, JM (2 de abril de 2020). "Las plataformas de recompensas por errores compran el silencio de los investigadores y violan las leyes laborales, dicen los críticos" . CSO Online . Recuperado el 17 de mayo de 2023 .
- 1 2 Magalhães 2024 , p. 246.
- ↑ Laszka y otros. 2018 , pág. 139.
- ↑ Magalhães 2024 , pág. 237.
- ↑ Magalhães 2024 , págs .
- ^ Laszka y otros. 2016 , pág. 162.
- ↑ Lozano y Amir 2018 , pág. 8.
- ^ Magazinius y col. 2021 , pág. 97.
- ↑ Lozano y Amir 2018 , págs. 11–12.
- ^ Magazinius y col. 2021 , pág. 96.
- ^ Magazinius y col. 2021 , pág. 95.
- ^ Magazinius y col . 2021 , pág. 100.
- ↑ Libicki, Ablon y Webb 2015 , págs. 46–47.
- ↑ Maillart, Thomas; Zhao, Mingyi; Grossklags, Jens; Chuang, John (2017). "¿Con suficientes ojos, todos los errores son superficiales? Una revisión de Eric Raymond con programas de recompensas por errores". Journal of Cybersecurity . 3 (2): 81– 90. arXiv : 1608.03445 . doi : 10.1093/cybsec/tyx008 .
- ↑ Goodin, Dan (9 de octubre de 2013). "Google ofrece premios en efectivo 'leet' por actualizaciones de Linux y otros sistemas operativos" . Ars Technica . Consultado el 11 de marzo de 2014 .
- ↑ Zalewski, Michal (9 de octubre de 2013). "Más allá de las recompensas por vulnerabilidad" . Blog de seguridad en línea de Google . Recuperado el 11 de marzo de 2014 .
- ↑ "Google lanzó un nuevo programa de recompensas por la detección de errores para descubrir vulnerabilidades en aplicaciones de terceros en Google Play" . The Verge. 22 de octubre de 2017. Consultado el 4 de junio de 2018 .
- ↑ "Programa de recompensas por evaluación de vulnerabilidades" . Consultado el 23 de marzo de 2020 .
- ↑ Goodin, Dan (6 de noviembre de 2013). "Ahora hay un programa de recompensas por errores para toda Internet" . Ars Technica . Consultado el 11 de marzo de 2014 .
- ↑ Abdulridha, Alaa (18 de marzo de 2021). "Cómo hackeé Facebook: segunda parte" . infosecwriteups . Consultado el 18 de marzo de 2021 .
- ↑ "Facebook, GitHub y la Fundación Ford donan 300 000 dólares a un programa de recompensas por la detección de errores en la infraestructura de internet" . VentureBeat. 21 de julio de 2017. Consultado el 4 de junio de 2018 .
- ↑ "El Departamento de Defensa invita a especialistas verificados a 'hackear' el Pentágono" . DEPARTAMENTO DE DEFENSA DE EE. UU . Archivado del original el 3 de marzo de 2016. Consultado el 21 de junio de 2016 .
- ↑ "EU-FOSSA 2 - Resumen de recompensas por detección de errores" (PDF) .
- ^ "Ministerstvo pro místní rozvoj ČR - MMR nabízí odměny za odhalení bezpečnostních děr ve svých IT systémech" . mmr.gov.cz (en checo) . Consultado el 9 de octubre de 2025 .
- ↑ Sinha 2019 , págs. 3–4.
- ↑ Laszka y otros. 2016 , pág. 161.
- ↑ Lozano y Amir 2018 , pág. 7.
- ↑ Dutta, Payel (19 de febrero de 2018). "Open Bug Bounty: 100 000 vulnerabilidades corregidas e ISO 29147" . TechWorm . Recuperado el 10 de abril de 2023 .
- ^ Magalhães 2024 , pág .247.
- 1 2 Jackson 2021 , pág. 7.
- ↑ Strout 2023 , pág. 36.
- ↑ Magalhães 2024 , págs .
- ^ Libicki , Ablon y Webb 2015 , pág. 44.
- ↑ Libicki, Ablon y Webb 2015 , págs. 44, 46.
Fuentes
- Ablon, Lillian; Bogart, Andy (2017). Días cero, miles de noches: La vida y la época de las vulnerabilidades de día cero y sus explotaciones (PDF) . Rand Corporation. ISBN 978-0-8330-9761-3.
- Jackson, John (2021). Ciberseguridad corporativa: Identificación de riesgos y el programa de recompensas por detección de errores . John Wiley & Sons. ISBN 978-1-119-78252-0.
- Laszka, Aron; Zhao, Mingyi; Grossklags, Jens (2016). Eliminando los incentivos desalineados para la validación de informes en plataformas de recompensas por errores . Springer International Publishing. pp. 161–178 . ISBN 978-3-319-45741-3.
- Laszka, Aron; Zhao, Mingyi; Malbari, Akash; Grossklags, Jens (2018). Las reglas de participación para los programas de recompensas por errores . Saltador. págs. 138-159 . ISBN 978-3-662-58387-6.
- Libicki, Martin C.; Ablon, Lillian; Webb, Tim (2015). El dilema del defensor: Trazando un rumbo hacia la ciberseguridad (PDF) . Rand Corporation. ISBN 978-0-8330-8911-3.
- Lozano, Carlos A.; Amir, Shahmeer (2018). Bug Bounty Hunting Essentials: Guía rápida para ayudar a los hackers éticos a superar los programas de recompensas por errores . Packt. ISBN 978-1-78883-443-8.
- Magalhães, João Paulo (2024). «Bug Bounties: Aspectos éticos y legales». Desarrollos legales en ciberseguridad y campos relacionados . Springer International Publishing. pp. 235–250 . ISBN 978-3-031-41820-4.
- Magazinius, Ana; Mellegård, Niklas; Olsson, Linda (2021). Lo que sabemos sobre los programas de recompensas por errores: un estudio exploratorio de mapeo sistemático . Springer International Publishing. pp. 89–106 . ISBN 978-3-030-55958-8.
- Sinha, Sanjib (2019). Bug Bounty Hunting for Web Security: Find and Exploit Vulnerabilities in Web sites and Applications . Apress. ISBN 978-1-4842-5391-5.
- Sood, Aditya; Enbody, Richard (2014). Ataques cibernéticos dirigidos: ataques multietapa impulsados por exploits y malware . Syngress. ISBN 978-0-12-800619-1.
- Strout, Benjamin (2023). Manual del investigador de vulnerabilidades: Una guía completa para descubrir, informar y publicar vulnerabilidades de seguridad . Packt Publishing. ISBN 978-1-80324-356-6.
- Seguridad en Internet
- guerra cibernética
- competiciones
- Piratería informática (seguridad informática)