Un millón de dólares en juego: hackers se negaron a revelar una vulnerabilidad de WhatsApp en Pwn2Own, alegando «no estar preparados»
De todos modos, Meta tendrá acceso a los datos.
Los investigadores del equipo Z3 renunciaron a demostrar una vulnerabilidad en WhatsApp en el torneo de hackers Pwn2Own Ireland 2025, aunque ese ataque podría haber valido el premio récord de $1 000 000. Según explicó Iniciativa Zero Day, el equipo decidió no mostrar el exploit públicamente, al considerar que la investigación estaba «poco preparada».
A pesar de ello, Meta está interesada en los resultados. Z3 entregará los detalles a los especialistas de la ZDI para un análisis preliminar, y luego serán enviados a los ingenieros de WhatsApp. Los organizadores subrayaron que coordinan el proceso de divulgación de la vulnerabilidad para que los desarrolladores puedan corregir el problema si se confirma.
La competición se celebró del 21 al 23 de octubre en Cork, Irlanda, y reunió a los mejores especialistas en seguridad. En total, los participantes ganaron $1 024 750, mostrando 73 nuevas vulnerabilidades zero-day.
Este año los hackers atacaron dispositivos en ocho categorías — desde impresoras y sistemas NAS de QNAP y Synology hasta altavoces inteligentes, cámaras, routers domésticos y teléfonos inteligentes de gama alta (iPhone 16, Galaxy S25 y Pixel 9). Por primera vez en la historia del torneo, los investigadores recibieron la misión de comprometer un smartphone a través del puerto USB físico, incluso con la pantalla bloqueada.
El principal patrocinador del concurso fue Meta, junto con QNAP y Synology. El organizador es la Iniciativa Zero Day de Trend Micro, creada para encontrar vulnerabilidades antes de que las exploten los atacantes. Tras la demostración, los fabricantes disponen de 90 días para publicar parches.
Ganadora fue el equipo Summoning Team, que obtuvo 22 puntos Master of Pwn y ganó $187 500. Lograron comprometer con éxito el Galaxy S25, varios dispositivos NAS de Synology y QNAP, la cámara CC400W y el sistema Home Assistant Green.
En segundo lugar — ANHTUD ($76 750 y 11,5 puntos), en tercer lugar quedó Synactiv ($90 000 y 11 puntos).
Uno de los episodios destacados fue el hackeo del Samsung Galaxy S25 por parte del equipo Interrupt Labs: los especialistas encontraron un error de validación de entrada que permitió activar la cámara y la geolocalización del dispositivo.
Según la ZDI, en el primer día de la competición los participantes mostraron 34 nuevas vulnerabilidades y ganaron $522 500; en el segundo, otros 22 exploits por un total de $267 500.
El siguiente torneo de la serie — Pwn2Own Automotive 2026 en Tokio, que de nuevo contará con el apoyo de Tesla.
¿Estás cansado de que Internet sepa todo sobre ti?