Os debemos una corrección y preferimos contarla de frente. Repasando a fondo los reportes del Bug Summit nos dimos cuenta de que algunos que eran válidos se nos colaron como duplicados, y al revisarlo bien vimos que s3ntinl tendría que haber estado en segunda posición.El fallo fue nuestro. Revisar en directo y a contrarreloj es lo que tiene, pero el error lo cometimos nosotros y nos toca arreglarlo lo más justo posible.
Para ello hemos aplicado las siguientes medidas:
— s3ntinl sube a segundo, donde le tocaba, y le pagamos sus 1.250 €.
— Esto no le quita nada a nadie. b0fill3 sigue en su segundo puesto y con su premio, igual que el resto del top 5.
— No repartimos el mismo dinero de otra forma. Ponemos 1.250 € más de nuestro bolsillo. Lo que iban a ser 5.000 € en premios pasan a ser 6.250 €, y lo asumimos sin problema porque el error es nuestro.
Para la próxima ya nos lo llevamos aprendido:
— Abriremos una ventana de apelación de 48 horas cuando publiquemos resultados, por si nos volvemos a equivocar.
— Cada reporte lo van a revisar dos personas de triaje en lugar de una.
Nuestra idea siempre es la misma, ser justos con los hackers y no esconder los fallos aunque nos cuesten dinero. Preferimos eso a dejar un resultado mal.
Dos plataformas. Un evento. Una comunidad.
Nos hace mucha ilusión anunciar que Secur0, la plataforma de bug bounty, será patrocinador oficial de CyberFightClub, que se celebrará del 8 al 10 de julio en Melilla.
Como parte de este compromiso con la comunidad, Secur0 aportará 2.500 € en premios para los participantes del evento.
Además, el evento contará con el apoyo de Grayback, uniendo esfuerzos para seguir impulsando el bug bounty y la investigación en ciberseguridad.
Un evento. Dos plataformas. Una comunidad.
https://t.co/fuhmrxqSqw
Nos vemos en #CyberFightClub.
#CyberSecurity #BugBounty #CyberFightClub #Melilla #Secur0 #Grayback #Hackers #SecurityResearch #InfoSec
🏆 Ya tenemos a los ganadores del Bug Summit
5.000€ en premios y 48 vulnerabilidades reales encontradas en directo. Varias acabarán siendo CVEs que asignaremos en Secur0.
🥇 Antonio Rivera (@ariverapoblet ) — 2.000€
🥈 Alejandro Bofill (b0fill3) — 1.250€
🥉 Robert Mihaila (RM_00) — 900€
4️⃣ Jerónimo Vicente (akuno) — 550€
5️⃣ Javier Rieiro (PyUs3r) — 300€
Mención especial para Antonio, primero con 13 reportes válidos y 92.3 de CVSS acumulado. Brutal.
Gracias a todos por participar en una competición más.
¿Te lo perdiste? La siguiente empieza el 4 de julio 👇
https://t.co/fuhmrxrqg4
El pasado sábado, durante el Bug Summit, tuvimos la oportunidad de sentarnos a hablar con tres miembros de la Selección Española de Bug Bounty:
Jorge Cerezo
Alexandro Bindreiter
Ángel Montés Gabaldón
Lo que empezó como una conversación sobre hacking acabó convirtiéndose en una charla muy interesante sobre lo que supone representar a España en un Mundial de Bug Bounty.
También nos contaron cómo funciona realmente la competición desde dentro, cómo se seleccionan los integrantes del equipo y qué papel juega la colaboración entre hackers cuando compites contra algunos de los mejores investigadores de seguridad del mundo.
Muchas veces vemos los resultados, las clasificaciones o los hallazgos, pero pocas veces conocemos las historias, el trabajo y las personas que hay detrás.
Si te interesa la ciberseguridad, el Bug Bounty o simplemente quieres descubrir cómo se vive un Mundial de Hacking desde dentro, creo que te va a gustar esta entrevista.
🎥 Ya disponible en el canal de YouTube de Secur0:
https://t.co/gH7dRr7sEl
Gracias a Jorge, Alexandro y Angel por compartir su experiencia y por representar a España en una competición de este nivel.
Último ponente confirmado para mañana: Xoán Otero 🐛
Cierra el cartel del Bug Summit con una charla que va de algo que todos hemos sufrido: cómo reportar un bug y vivir para contarlo.
Suena a broma, pero cualquiera que haya intentado reportar una vulnerabilidad sabe que de broma tiene poco.
Encuentras el fallo y ahí empieza lo difícil.
¿A quién avisas? ¿Qué convierte tu hallazgo en una vulnerabilidad con CVE? ¿Quién lo valida y por qué tarda tanto?
Xoán, pentester y triager en Secur0, se mete justo en ese barro.
Va a contar cómo de roto está hoy el sistema, qué pintan INCIBE y ENISA en todo esto, y cómo va a funcionar nuestro CNA ahora que somos CVE Numbering Authority.
𝗦𝗶 𝗮𝗹𝗴𝘂𝗻𝗮 𝘃𝗲𝘇 𝗵𝗮𝘀 𝗲𝗻𝗰𝗼𝗻𝘁𝗿𝗮𝗱𝗼 𝘂𝗻 𝗯𝘂𝗴 𝘆 𝗻𝗼 𝗵𝗮𝘀 𝘀𝗮𝗯𝗶𝗱𝗼 𝗾𝘂𝗲́ 𝗵𝗮𝗰𝗲𝗿 𝗰𝗼𝗻 𝗲́𝗹, esta charla es para ti.
Es mañana sábado 20 de junio, de 16:00 a 16:30, en La Nave (Madrid), dentro de la Feria de Empleo de Ciberseguridad + Bug Summit.
Te dejo toda la info aquí 👇
https://t.co/1D6Do8wFoi
Sentamos a un hacker frente a dos CISOs en la misma mesa 🍿
Hacker vs CISOs: ofensiva, bug bounty y divulgación responsable. Sin postureo.
Uno piensa en el impacto. El otro, en el riesgo y la reputación. Ahí está lo interesante.
🔴 Cristian Fernández (Copo)
🛡️ Nacho García Egea (Global CISO de Gigas)
🔵 Jesús Valverde (CISO de MR Informática)
Buenas noticias desde Secur0: ya somos CNA.
Esto significa que ahora podemos asignar CVEs oficialmente y gestionar todo el proceso de divulgación desde un mismo flujo: triaje, validación, coordinación y publicación cuando aplica.
Ser CNA no significa asignar un CVE a cada incidencia que se reporta como vulnerabilidad. Sigue siendo un proceso coordinado y opcional, alineado con el alcance de CNA de Secur0.
Para equipos que trabajan con VDP, bug bounty o coordinated disclosure, esto ayuda a reducir tiempos, mejorar la coordinación y simplificar la gestión de vulnerabilidades.
¿Y qué significa esto para los hackers de la comunidad?
Básicamente, menos fricción y burocracia. Si reportáis una vulnerabilidad en nuestros programas que cumpla los requisitos para un CVE, nosotros mismos nos encargamos de asignarlo y gestionarlo de forma directa. Tiempos de espera más cortos para que se os reconozca el trabajo y podáis sumar ese CVE a vuestro portfolio.
Anuncio completo: https://t.co/8hZj7V7DxS
#CNA #CVE #BugBounty #VDP #SecurityResearch #CyberSecurity #Secur0
Seguimos desvelando el cartel del #BugSummit y este nombre viene con una charla que promete dar mucho que hablar.
El próximo 20 de junio subirá al escenario de La Nave Juan Antonio Rodríguez Bautista @sec_jota, más conocido como Jotita3, una de las caras más reconocidas del panorama nacional del Bug Bounty y alguien que ha demostrado, una y otra vez, cómo pequeños fallos pueden convertirse en grandes compromisos de seguridad.
En su ponencia, "𝗔𝗰𝗰𝗼𝘂𝗻𝘁 𝗧𝗮𝗸𝗲𝗼𝘃𝗲𝗿: 𝗘𝗹 𝗮𝗿𝘁𝗲 𝗱𝗲 𝗰𝗼𝗻𝘃𝗲𝗿𝘁𝗶𝗿 𝗯𝘂𝗴𝘀 𝗲𝗻 𝗰𝘂𝗲𝗻𝘁𝗮𝘀 𝗿𝗼𝗯𝗮𝗱𝗮𝘀", compartirá casos reales de Bug Bounty donde vulnerabilidades descubiertas en entornos reales terminaron derivando en compromisos completos de cuentas.
Analizaremos fallos directos y escenarios más elaborados que permitieron tomar el control de cuentas, entendiendo el impacto real, la causa raíz detrás de cada hallazgo y las lecciones aprendidas durante el proceso.
Casos reales, metodologías prácticas y la visión de alguien que ha vivido este tipo de hallazgos desde dentro.
Será, sin duda, una de esas charlas imprescindibles para cualquiera que quiera entender cómo un bug aparentemente inofensivo puede acabar convirtiéndose en un Account Takeover.
Si quieres aprender de quienes viven el hacking en primera línea, la cita es el próximo 20 de junio.
Consigue tu entrada aquí 👉https://t.co/1D6Do8wFoi
#BugSummit2026 #BugBounty #AccountTakeover #Ciberseguridad #EthicalHacking #TechConference
Hemos tenido que al jefe a hacer estas cosas, para poder enseñaros la feria de empleo junto con las jornadas de Hacking en vivo con 5000 euros de premios y ponencias de hackers top de España.
Que tendremos en Madrid el sábado 20.
https://t.co/1D6Do8wFoi
#hacker#ciberseguridad #hacking
¿Y si el trabajo sucio del hacking lo hiciera la máquina mientras tú controlas la jugada desde la playa?
El próximo 20 de junio sube al escenario de La Nave Miguel Segovia, que viene a demostrar que el hacking tradicional ya ha mutado.
En su charla, "Hackeando en prosa: Explotación de APIs con agentes de IA y lenguaje natural", Miguel lanzará en directo un agente de IA semiautónomo capaz de auditar, cazar BAC/IDORs y explotar APIs. La idea es clara: el trabajo repetitivo para la máquina y el control estratégico para ti.
Nada de teoría sobre el futuro de la IA en ofensiva. Pura práctica de cómo orquestar un agente para encontrar lo que antes te llevaba horas a mano.
Será una de las charlas que marcan por dónde va el hacking de los próximos años.
Si quieres ver hasta dónde llega la automatización ofensiva con lenguaje natural, la cita es el 20 de junio. Consigue tu entrada aquí 👉 https://t.co/1D6Do8wFoi
#BugSummit2026 #BugBounty #AI #APIsecurity #Ciberseguridad #OffensiveSecurity
¿Te vienes a calentar antes del Bug Summit del 20 de junio?
La Agencia de Ciberseguridad de la Comunidad de Madrid lanza 𝗛𝟯𝗔𝗟𝗧𝗛 𝗛𝟰𝗖𝗞, 𝘂𝗻 𝗖𝗧𝗙 𝗱𝗲𝘀𝗮𝗿𝗿𝗼𝗹𝗹𝗮𝗱𝗼 𝗽𝗼𝗿 𝗔𝗶𝗿𝗯𝘂𝘀 en el que tu equipo rastrea a ciberdelincuentes que atacan servicios de salud.
Está abierto a todos los niveles: estudiantes (universidad, FP, grado o máster), perfiles junior y seniors con recorrido en hacking ético y seguridad ofensiva.
Cómo participar:
→ Forma tu equipo de 4 a 6 personas
→ Inscríbete: https://t.co/6OSFlLkZJT
→ 18 de junio, de 09:30 a 17:00 h
Y un extra: por el simple hecho de participar, te llevas un 20% de descuento para el Bug Summit. Quedes en el puesto que quedes.
Nos vemos en La Nave.
#Ciberseguridad #CTF #HackingEtico #BugSummit
El lado del mal - Feria de Empleo Ciberseguridad & Bug Summit con Hacking en Directo. 20 de Junio en Madrid https://t.co/JIAphDBquw #Evento#BugHunting#Hacking#Hackers
🚨 Cerramos la semana con una gran noticia.
Se suman a la Feria de Empleo en Ciberseguridad:
👉 Actitud TI
👉 @plenoil
👉 @s2grupo
👉 @Tarlogic
Cuatro empresas que están buscando talento real, cara a cara. Y la semana que viene anunciamos más 👀
📍 20 de junio · La Nave, Madrid
🎟️ Entrada gratuita
Pilla la tuya antes de que se agoten https://t.co/1D6Do8wFoi
#Ciberseguridad #Empleo #BugSummit #Hacking
Carlos Polop sube al escenario del #BugSummit y viene a demostrar que la IA ha matado la forma tradicional de hacer ciberseguridad ofensiva.
Carlos, creador de @hacktricks_live, nos planteará una pregunta incómoda en su charla "Offensive Security Research Is Dead; Long Live Offensive Security Researchers":
¿Qué pasa cuando automatizas la búsqueda de vulnerabilidades y detectas cientos de 0-days al mes en macOS, pero los programas de bug bounty de gigantes como Apple colapsan y no responden al ritmo necesario?
Y ojo, porque Carlos traerá demos en directo de algunos de esos bugs que Apple parece estar ignorando.
Si quieres aprender de uno de los grandes referentes de la ciberseguridad actual, la cita es el 20 de junio en La Nave.
Consigue tu entrada aquí 👉https://t.co/1D6Do8xddQ
🐛 Seguimos desvelando el cartel del #BugSummit y este nombre nos hace especial ilusión.
El próximo 20 de junio sube al escenario de La Nave @Eriik451 , parte del equipo que ganó el Hack Royale. Un crack que sabe de lo que habla.
En su ponencia "GET /paid: bugs fuera del manual" nos va a enseñar casos reales de explotación web: bypasses, cadenas poco evidentes y hallazgos que sobre el papel parecen menores… pero que acaban teniendo impacto real.
Nada de teoría de manual. Pura práctica de quien ha estado ahí encontrando (y escalando) lo que otros pasan por alto.
Será una de las charlas que no te puedes perder durante la jornada.
🎟️ Consigue tu entrada aquí 👉https://t.co/1D6Do8wFoi
¿Cuál ha sido el bug "fuera del manual" que más os ha sorprendido encontrar?
#BugBounty #Ciberseguridad #EthicalHacking
¿El bug bounty es una estafa?
@alexbindrei , nuestro tercer ponente confirmado para la Feria de Empleo y un profesional de referencia en el sector nos aportará una visión tan honesta como necesaria sobre la ciberseguridad actual.
En su intervención, Alexandro desmontará los mitos y las falsas expectativas que a menudo se generan en las redes sociales para mostrar la realidad técnica y analítica del sector. Abordará la importancia de las habilidades de comunicación, la gestión de la frustración, el impacto real de la inteligencia artificial en el día a día y la hoja de ruta idónea para quienes buscan consolidarse en este ámbito.
Una ponencia imprescindible para comprender el ecosistema del hacking ético desde la perspectiva de la experiencia y el rigor profesional.
Si te interesa el Bug Bounty, no te puedes perder el evento que estamos montando junto a los mejores profesionales del sector. Te dejamos más información por aquí: https://t.co/1D6Do8wFoi