¡¿Un millón de dólares por hackear WhatsApp?! La búsqueda de vulnerabilidades ha comenzado

Los organizadores del mayor concurso de hacking Pwn2Own anunciaron una recompensa que inmediatamente cambió el foco de toda la industria: se otorgará un millón de dólares por demostrar una vulnerabilidad completa de tipo zero-click en WhatsApp. Es la suma más alta en la historia del certamen, y esta vez se ofrece por un exploit que no requiere ninguna acción por parte del usuario. Dado que la audiencia del mensajero supera los tres mil millones de personas, las posibles consecuencias de una vulnerabilidad de este tipo pueden ser colosales.

El concurso Pwn2Own Ireland 2025 se celebrará del 21 al 24 de octubre en la ciudad irlandesa de Cork. Los principales patrocinadores de este año son Meta, así como los fabricantes de hardware Synology y QNAP. Según los organizadores de Zero Day Initiative, WhatsApp fue incluido en el programa del concurso el año pasado, pero entonces nadie se atrevió a atacarlo. Ahora, con una recompensa de seis cifras en juego, los participantes podrían sentirse más motivados.

Además del premio principal, también se ofrecerán otras recompensas por exploits en WhatsApp —de menor cuantía, pero aún significativas. El programa general de Pwn2Own abarca ocho categorías, incluyendo smartphones, aplicaciones de mensajería, routers y dispositivos del “hogar inteligente”, impresoras, sistemas de almacenamiento, cámaras de videovigilancia y dispositivos portátiles. Entre los gadgets que serán puestos a prueba se encuentran las gafas Ray-Ban Smart Glasses y los visores de realidad virtual Quest 3/3S de Meta, así como los smartphones insignia Samsung Galaxy S25, Google Pixel 9 y iPhone 16.

Un añadido interesante es la ampliación de los vectores de ataque permitidos en la categoría móvil. Ahora, además de los canales inalámbricos —Wi-Fi, Bluetooth y NFC— también se permiten ataques a través de USB. Es decir, los participantes podrán conectar directamente smartphones bloqueados e intentar acceder a ellos mediante la interfaz física, sin depender únicamente de protocolos de red.

Las inscripciones estarán abiertas hasta el 16 de octubre inclusive, y el orden de participación se determinará por sorteo. Como siempre, las vulnerabilidades descubiertas se remitirán a los proveedores para su corrección, quienes dispondrán de 90 días para lanzar actualizaciones antes de que se revelen públicamente los detalles técnicos. Esta norma permanece inalterada y tiene como objetivo garantizar que los errores potencialmente peligrosos sean corregidos a tiempo, antes de que puedan ser explotados por actores maliciosos.

El evento del año pasado en Irlanda trajo a los participantes un total de más de un millón de dólares por más de 70 vulnerabilidades 0-day únicas. La mayor suma fue para Viettel Cyber Security —205 mil dólares por exploits en dispositivos de almacenamiento QNAP, altavoces Sonos e impresoras Lexmark. Ahora, con la nueva recompensa por un exploit en WhatsApp, la escala de las posibles victorias solo puede aumentar.