Concurso Pwn2Own paga un millón de dólares por un exploit de WhatsApp
En su próximo concurso de hacking Pwn2Own Irlanda 202, Zero Day Initiative ofrece una recompensa de un millón de dólares a investigadores de seguridad que demuestren un exploit de WhatsApp sin necesidad de hacer clic.
Meta, junto con Synology y QNAP, copatrocinan el concurso Pwn2Own Irlanda 2025, que se celebrará del 21 al 24 de octubre en Cork, Irlanda. La recompensa récord se centra en encontrar vulnerabilidades que permiten la ejecución de código sin interacción del usuario en la plataforma de mensajería utilizada por más de tres mil millones de personas en todo el mundo.
También tendran premios en efectivo menores por otros exploits de WhatsApp. Esta categoría fue introducida el año pasado, pero nadie la intentó. Quizás un número más grande les dé la motivación necesaria.
El concurso incluye ocho categorías dirigidas a teléfonos móviles, aplicaciones de mensajería, equipos de redes domésticas, dispositivos inteligentes para el hogar, impresoras, sistemas de almacenamiento en red, equipos de vigilancia y tecnología wearable, incluyendo las gafas inteligentes Ray-Ban y los auriculares Quest 3/3S de Meta, así como los smartphones insignia Samsung Galaxy S25, Google Pixel 9 y Apple iPhone 16.
La ZDI también ha ampliado los vectores de ataque para la categoría móvil, incluyendo la explotación de puertos USB en dispositivos móviles, lo que requiere que los concursantes vulneren teléfonos bloqueados mediante conexiones físicas. Los protocolos inalámbricos tradicionales, como Wi-Fi, Bluetooth y la comunicación de campo cercano (NFC), siguen siendo métodos de ataque válidos.
El plazo de inscripción finaliza el 16 de octubre a las 17:00 h (hora estándar de Irlanda). El orden del concurso se determinará mediante un sorteo. La Iniciativa Día Cero gestiona el evento para identificar vulnerabilidades antes de que los actores maliciosos puedan explotarlas, coordinando la divulgación responsable con los proveedores afectados.
Tras la explotación de las vulnerabilidades durante los eventos Pwn2Own, los proveedores tienen 90 días para publicar actualizaciones de seguridad antes de que la Iniciativa de Día Cero de Trend Micro las divulgue públicamente.
El evento Pwn2Own Ireland del año pasado otorgó 1.078.750 dólares por más de 70 vulnerabilidades Zero-Day únicas, y Viettel Cyber Security recaudó 205.000 dólares por las vulnerabilidades detectadas en NAS de QNAP, altavoces Sonos e impresoras Lexmark.