En 24 horas se destruyó la confianza en el mejor software corporativo: 20 vulnerabilidades y casi 700 000 dólares

En el segundo día del concurso de hacking Pwn2Own Berlin 2025, los participantes obtuvieron una suma impresionante — 435 mil dólares — por demostrar vulnerabilidades desconocidas previamente en productos populares como Microsoft SharePoint, VMware ESXi, Oracle VirtualBox, Red Hat Enterprise Linux y Mozilla Firefox. El evento, que se celebra en el marco de la conferencia OffensiveCon, reunió a los mejores expertos en ciberseguridad, decididos a descubrir fallos críticos en sistemas corporativos.

El exploit más valioso del día fue presentado por Nguyen Hoang Thach de STARLabs SG, quien ganó 150 mil dólares por encontrar una vulnerabilidad de desbordamiento de enteros (integer overflow) en la plataforma de virtualización VMware ESXi. Este logro se convirtió en uno de los momentos más destacados de la segunda fase del concurso, demostrando el alto nivel de amenazas que enfrenta la virtualización empresarial.

Otro logro importante vino de la mano de Dinh Ho Anh Khoa de Viettel Cyber Security, quien mostró una compleja cadena de ataque contra Microsoft SharePoint, combinando una omisión de autenticación con una vulnerabilidad de deserialización insegura. Por su presentación recibió una recompensa de 100 mil dólares.

También se destacaron otros exploits relevantes. Edouard Bochin y Tao Yan, del equipo de Palo Alto Networks, ejecutaron un ataque de escritura fuera de los límites permitidos (out-of-bounds write) en el navegador Mozilla Firefox. Gerrard Tai de STARLabs SG obtuvo privilegios root en Red Hat Enterprise Linux mediante una vulnerabilidad del tipo use-after-free. Además, investigadores de Viettel Cyber Security lograron escapar de una máquina virtual Oracle VirtualBox al sistema anfitrión utilizando otra variante de escritura fuera de los límites.

Merece especial atención la nueva categoría del concurso dedicada a la inteligencia artificial. El equipo de Wiz Research presentó un exploit de día cero basado en una vulnerabilidad use-after-free en Redis, mientras que los investigadores de Qrious Secure llevaron a cabo un ataque complejo contra el servidor Nvidia Triton Inference Server, combinando cuatro fallos en una sola cadena.

El primer día del evento también fue exitoso: los participantes ganaron 260 mil dólares por vulnerar Windows 11, Red Hat Linux y Oracle VirtualBox. El monto total entregado en los dos primeros días alcanzó los 695 mil dólares, con 20 vulnerabilidades únicas de día cero demostradas.

Tabla de clasificación de Pwn2Own (ZDI)

Pwn2Own Berlin 2025 está centrado en productos de nivel empresarial y, por primera vez, ha introducido una categoría específica para soluciones basadas en inteligencia artificial. A lo largo del certamen se repartirán más de un millón de dólares. Los concursantes pueden presentar exploits en diversas categorías: navegadores web, escaladas locales de privilegios, soluciones de servidor, aplicaciones empresariales, entornos en la nube y contenedores, así como sistemas automotrices.

A pesar de la presencia de estaciones de prueba con Tesla Model Y 2025 y Model 3 2024, no se recibieron propuestas para vulnerar los vehículos eléctricos dentro del concurso. Sin embargo, en la jornada final, los participantes aún deberán intentar comprometer Windows 11, Oracle VirtualBox, VMware ESXi y Workstation, así como software de Nvidia, incluyendo Triton Inference Server y Container Toolkit.

Todas las vulnerabilidades demostradas en Pwn2Own se reportan a los fabricantes, quienes disponen de 90 días para publicar correcciones. Tras ese plazo, la iniciativa Zero Day Initiative de Trend Micro divulga los detalles técnicos de los exploits, poniéndolos a disposición de la comunidad para su análisis y defensa.