29 fallos, un millón de dólares y ni un intento contra Tesla: así fue el Pwn2Own 2025

El concurso Pwn2Own 2025 concluyó en Berlín, consolidándose como una de las demostraciones más importantes de vulnerabilidades de día cero en tecnologías corporativas. Durante los tres días del evento, los participantes ganaron un total de 1.078.750 dólares al demostrar 29 fallos y registrar varios casos de colisión de errores entre equipos.

Como es tradición, solo se atacaron dispositivos completamente actualizados con las versiones más recientes de sus sistemas operativos. Este año, las categorías objetivo incluyeron sistemas de inteligencia artificial, navegadores, soluciones de virtualización, escalado de privilegios, servidores, plataformas en la nube y contenedores, así como software automotriz. Aunque Tesla puso a disposición unidades de prueba del Model Y 2025 y del Model 3 2024, no se registraron intentos de ataque contra estos dispositivos.

Ya en el primer día los concursantes obtuvieron 260.000 dólares por sus demostraciones exitosas. En el segundo día, los premios alcanzaron los 435.000 dólares tras el hallazgo de 20 vulnerabilidades. El último día sumó otros 383.750 dólares gracias a ocho nuevas fallas, incluyendo complejas cadenas de explotación. Según las reglas del concurso, los fabricantes tienen 90 días para corregir los fallos antes de que la información se haga pública.

El equipo ganador fue STAR Labs SG, que acumuló 35 puntos y 320.000 dólares en premios. A lo largo de los tres días, sus miembros lograron vulnerar Red Hat Enterprise Linux, Docker Desktop, Windows 11, el hipervisor VMware ESXi y Oracle VirtualBox. El mayor premio individual, de 150.000 dólares, fue otorgado a Nguyen Hoang Thach por un exploit basado en un desbordamiento de entero en VMware ESXi.

Clasificación final de Pwn2Own Berlin 2025 (ZDI)

El segundo puesto fue para el equipo Viettel Cyber Security. Sus miembros demostraron vulnerabilidades que permitían escapar de una máquina invitada en Oracle VirtualBox hacia el sistema anfitrión, así como una cadena de ataques que incluía bypass de autenticación y deserialización insegura para comprometer Microsoft SharePoint.

En tercer lugar quedó el equipo Reverse Tactics, que presentó una cadena de fallos en VMware ESXi basada en desbordamiento y uso de una variable no inicializada. Esto les permitió ganar 112.500 dólares el último día del concurso.

La empresa Mozilla ya lanzó actualizaciones de emergencia para sus navegadores Firefox y Firefox ESR, corrigiendo dos vulnerabilidades de día cero mostradas durante la competencia (CVE-2025-4918 y CVE-2025-4919). Los parches se publicaron en las versiones Firefox 138.0.4, ESR 128.10.1, ESR 115.23.1, así como en la edición para Android.