792.750 dólares en un día y 56 vulnerabilidades críticas: así va Pwn2Own Ireland 2025

792.750 dólares en un día y 56 vulnerabilidades críticas: así va Pwn2Own Ireland 2025

Desde un hack de un segundo hasta complejas cadenas de cinco vulnerabilidades: participantes exhiben maestría al más alto nivel.

image

En el segundo día de Pwn2Own Ireland 2025, los participantes demostraron impresionantes resultados, descubriendo 56 nuevas vulnerabilidades zero-day y ganando en total 792 750 dólares. Esta es ya la segunda fase del concurso, que se celebra en la ciudad irlandesa de Cork, donde expertos en seguridad compiten por encontrar vulnerabilidades críticas en dispositivos y software populares.

Una de las actuaciones más destacadas fue el hackeo exitoso del dispositivo Samsung Galaxy S25, en el que un equipo de dos personas — Ken Gannon de Mobile Hacking Lab y Dimitrios Valsamaras de Summoning Team — usó una compleja cadena de cinco fallos. Por ese ataque les asignaron 50 000 dólares y 5 puntos en la clasificación Master of Pwn. Aunque el equipo PHP Hooligans logró comprometer en un segundo el NAS QNAP TS-453E, la vulnerabilidad que usaron ya figuraba en el programa, por lo que el resultado no constituyó una nueva entrada.

Otros participantes que atacaron QNAP TS-453E, Synology DS925+ y el puente Philips Hue también recibieron 20 000 dólares cada uno. Entre ellos se encuentran Chumi Cai de CyCraft Technology, así como representantes de Verichains Cyber Force y Synacktiv Team. Además, en el segundo día se explotaron con éxito vulnerabilidades hasta entonces desconocidas en la impresora Canon imageCLASS MF654Cdw, en el sistema de automatización doméstica Home Automation Green, en la cámara Synology CC400W, en el NAS Synology DS925+, en el enchufe inteligente de Amazon y en la impresora Lexmark CX532adwe.

Tras dos días de concurso, lidera el equipo Summoning Team, que ha ganado 167 500 dólares y sumado 18 puntos. El primer día de la competición también fue productivo: los participantes mostraron 34 vulnerabilidades y recibieron en total 522 500 dólares. Según las normas del concurso, los fabricantes de los dispositivos disponen de 90 días para corregir las vulnerabilidades detectadas antes de su divulgación pública por el proyecto ZDI.

El día final de Pwn2Own, previsto para el 24 de octubre, incluye nuevos intentos de ataque contra el Samsung Galaxy S25, así como contra varios dispositivos de almacenamiento e impresión. Se espera especial atención a la demostración de un exploit de clic cero con ejecución remota de código en WhatsApp — potencialmente la apuesta más cara con un premio de 1 millón de dólares. El participante llamado Eugene del equipo Z3 pretende intentar este ataque.

El concurso se celebra con el apoyo de las empresas Meta, Synology y QNAP. El programa de 2025 incluye ocho categorías que abarcan los smartphones insignia (Samsung Galaxy S25, iPhone 16, Pixel 9), electrónica para el hogar y la oficina, mensajería, dispositivos para el hogar inteligente, sistemas de videovigilancia y electrónica portátil, incluidas las unidades Meta Quest 3/3S y las gafas inteligentes Ray-Ban.

Este año los organizadores ampliaron los vectores de ataque permitidos, incluyendo la explotación de vulnerabilidades mediante conexión USB a smartphones bloqueados. Al mismo tiempo, los protocolos inalámbricos habituales como Wi‑Fi, Bluetooth y NFC siguen permitidos junto con el acceso físico.

El año pasado, en una edición similar de Pwn2Own en Irlanda, los participantes recibieron en total 1 078 750 dólares por descubrir más de 70 vulnerabilidades. Entonces el equipo ganador fue Viettel Cyber Security, que recibió 205 000 dólares por ataques exitosos contra dispositivos QNAP, Sonos y Lexmark.

En enero de 2026 el proyecto ZDI volverá a Tokio con la versión automotriz del concurso Pwn2Own Automotive, organizada en el marco de la feria Automotive World. De nuevo contará con el apoyo de Tesla.

Las huellas digitales son tu debilidad, y los hackers lo saben

¡Suscríbete y descubre cómo borrarlas!