Curiosidades QA — Día 1 de 7 Esta semana publico una curiosidad por día sobre el mundo del testing y la calidad de software. Ver la serie completa →

$12 millones por romper cosas

En 2023, Google pagó más de 12 millones de dólares a investigadores de seguridad que encontraron vulnerabilidades en sus productos. Chrome, Android, Google Cloud — todo.

No estamos hablando de hackers en un sótano. Estamos hablando de profesionales — muchos de ellos freelancers — que dedican su tiempo a buscar bugs en productos ajenos. Y cobran por cada uno que encuentran.

Se llama Bug Bounty, y Google no es el único. Apple, Microsoft, Meta, Amazon — todas las grandes tienen programas así.

$12M+ Pagados por Google (2023)
632 Investigadores
68 Países

Cómo funciona un Bug Bounty

El concepto es simple:

  1. La empresa publica reglas — qué productos puedes testear, qué tipo de bugs pagan, qué está fuera de alcance
  2. Tú buscas vulnerabilidades — sin romper nada en producción, sin afectar usuarios reales
  3. Reportas lo que encuentras — con evidencia, pasos para reproducir, impacto estimado
  4. Si es válido, te pagan — desde unos cientos de dólares hasta más de $100,000 por vulnerabilidades críticas

¿Te suena familiar? Debería. Es exactamente lo que haces como QA — pero con un cheque al final.

Los números que sorprenden

No es un pasatiempo. Es una industria:

  • HackerOne (la plataforma más grande de bug bounty) ha pagado más de $300 millones en total a investigadores
  • El pago más alto reportado por un solo bug: $605,000 (Google, 2022)
  • Hay investigadores que ganan más de $500,000 al año solo con bug bounties
  • El bug más común que pagan: Cross-Site Scripting (XSS) — algo que cualquier QA puede aprender a detectar

¿Se puede vivir de esto? Sí. Hay personas en LATAM que lo hacen como trabajo principal. La barrera de entrada no es un título — es saber buscar donde nadie mira.

¿Qué tiene que ver esto contigo?

Si eres QA, ya tienes la habilidad más importante de un bug hunter: la mentalidad de romper cosas de forma sistemática.

La diferencia no está en las herramientas. Está en dónde miras:

  • Un QA funcional busca que el happy path funcione
  • Un QA con mentalidad bug hunter pregunta: ¿qué pasa si hago lo que nadie espera?

Inyectar un <script> en un campo de texto. Mandar una request con un token expirado. Subir un archivo de 0 bytes. Cambiar el ID de usuario en la URL.

Eso es lo que hacen los bug hunters. Y es lo que separa un reporte de “no funciona” de un reporte que vale $10,000.

La reflexión

Google no paga 12 millones porque sí. Lo hace porque sabe algo que muchas empresas ignoran: ningún equipo interno encuentra todos los bugs.

No importa qué tan bueno sea tu equipo de QA. Siempre hay un ángulo que no cubriste, un caso borde que no imaginaste, una combinación que no probaste.

Los mejores equipos de producto del mundo asumen que van a fallar — y construyen sistemas para que otros les ayuden a encontrar esas fallas.

Eso no es debilidad. Es la forma más inteligente de hacer calidad.

Mañana: ¿Qué pasa cuando Tesla actualiza 2 millones de autos a la vez y no puede hacer rollback? → Día 2