La competición de hacking ético organizada por Zero Day Initiative se celebrará en octubre en Cork y premiará con sumas millonarias a quienes logren explotar vulnerabilidades en móviles, dispositivos conectados y apps de mensajería
Meta ha decidido apostar fuerte por la ciberseguridad de sus servicios y se convierte en patrocinador destacado del Pwn2Own Ireland 2025, ofreciendo hasta 1 millón de dólares por una explotación crítica de WhatsApp que permita ejecución remota de código sin interacción del usuario (0-click RCE). El evento, organizado por la Zero Day Initiative (ZDI) de Trend Micro, se celebrará entre los días 21 y 24 de octubre en Cork, Irlanda.
En su anuncio oficial, ZDI confirmó: “Estamos encantados de anunciar que Meta copatrocina este año el evento y tiene muchas ganas de ver grandes exploits para WhatsApp. Están tan comprometidos que ofrecen 1.000.000 de dólares por una vulnerabilidad 0-click que permita ejecutar código en WhatsApp”.
Categorías y recompensas: del móvil a los dispositivos inteligentes
El concurso abarca ocho categorías distintas:
- Teléfonos móviles
- Mensajería (centrado en apps como WhatsApp)
- SOHO Smashup (routers domésticos y dispositivos conectados)
- Dispositivos de hogar inteligente
- Impresoras
- Sistemas NAS
- Sistemas de videovigilancia
- Wearables (dispositivos portables)
Además del premio máximo, se ofrecen otras recompensas destacadas:
- 500.000 dólares por un exploit de WhatsApp con ejecución remota de código mediante un solo clic (one-click RCE).
- 150.000 dólares por una toma de cuenta sin interacción (zero-click account takeover).
- 150.000 dólares por RCE sin clic en gafas inteligentes Ray-Ban o auriculares Quest.
- 30.000 dólares por self jailbreak en dispositivos wearables.
SOHO Smashup y nuevos vectores USB
ZDI ha confirmado el regreso de la categoría SOHO Smashup, centrada en routers y dispositivos de redes domésticas, que este año incluirá retos de mayor dificultad y menos dispositivos participantes. El objetivo: concienciar sobre la seguridad en un entorno donde el teletrabajo ha difuminado las fronteras tradicionales de las redes corporativas.
Un ataque exitoso que logre comprometer dos dispositivos SOHO en menos de 30 minutos será premiado con 100.000 dólares.
También se ha incorporado un nuevo vector de ataque por USB dentro de la categoría móvil, ampliando el espectro de vectores posibles.
WhatsApp en el punto de mira
WhatsApp, una de las aplicaciones de mensajería más utilizadas del mundo, será el gran foco del evento. Meta ha reforzado su interés en proteger su ecosistema ofreciendo la recompensa más alta jamás propuesta en esta categoría dentro de Pwn2Own. El objetivo es detectar fallos de seguridad antes de que puedan ser explotados por actores maliciosos fuera del ámbito controlado.
Resultados esperados y antecedentes
En la edición de 2024, celebrada también en Irlanda, los participantes descubrieron más de 70 nuevas vulnerabilidades y obtuvieron un total de 1.066.625 dólares en premios. Con el incremento de las recompensas y la inclusión de nuevas categorías, se espera que la edición de este año supere dicha cifra.
El evento se ha consolidado como una de las competiciones de ciberseguridad más relevantes del calendario internacional, y Meta, al igual que otras grandes tecnológicas, recurre a este tipo de iniciativas para reforzar sus defensas mediante el hacking ético y la divulgación responsable de fallos.
vía: securityaffairs
