Redazione RHC : 24 octubre 2025 10:26
En el segundo día de la competición Pwn2Own Ireland 2025, los participantes lograron un éxito impresionante: descubrieron 56 nuevas vulnerabilidades de día cero y obtuvieron un total de 792.750 dólares. Esta es la segunda fase de la competición, celebrada en Cork, Irlanda, donde especialistas en seguridad compiten para identificar vulnerabilidades críticas en dispositivos y software populares.
Una de las actuaciones más notables fue el exitoso hackeo de un dispositivo Samsung Galaxy S25, en el que un equipo de dos personas, Ken Gannon del Mobile Hacking Lab y Dimitrios Valsamaras del Summoning Team, explotaron una compleja combinación de cinco fallas .
Por este ataque, recibieron un premio de $50,000 y 5 puntos en la clasificación de Master of Pwn . Aunque el equipo PHP Hooligans logró hackear un dispositivo NAS QNAP TS-453E en un segundo, la vulnerabilidad explotada ya se había utilizado en el programa, por lo que su logro no estableció un nuevo récord.
Otros participantes que atacaron el QNAP TS-453E, el Synology DS925 + y el puente Philips Hue también recibieron 20.000 dólares cada uno. Entre ellos se encontraban Chumi Tsai de CyCraft Technology, así como representantes de Verichains Cyber Force y Synacktiv Team. Además, el segundo día, se explotaron con éxito vulnerabilidades previamente desconocidas en la impresora Canon imageCLASS MF654Cdw, el sistema de domótica Home Automation Green, la cámara Synology CC400W, el NAS Synology DS925+, el enchufe inteligente de Amazon y la impresora Lexmark CX532adwe.
Tras dos días de competición, el Equipo de Invocación se mantiene a la cabeza, con una ganancia de 167.500 $ y una puntuación de 18. El primer día de competición también fue productivo : los participantes descubrieron 34 vulnerabilidades y recibieron un total de 522.500 $. Según las bases del concurso, los fabricantes de dispositivos tienen 90 días para corregir las vulnerabilidades descubiertas antes de que el proyecto ZDI las haga públicas.
El último día de Pwn2Own, programado para el 24 de octubre, presentará nuevos intentos de atacar el Samsung Galaxy S25, así como varios dispositivos de almacenamiento e impresión. Un punto destacado es la demostración de un ataque de ejecución remota de código sin clic en WhatsApp, potencialmente la oferta más valiosa, con un premio de un millón de dólares. Un participante llamado Eugene, del Equipo Z3, planea intentar este ataque.
El concurso cuenta con el apoyo de Meta, Synology y QNAP . El programa de 2025 incluye ocho categorías, que incluyen smartphones emblemáticos (Samsung Galaxy S25, iPhone 16, Pixel 9), electrónica para el hogar y la oficina, aplicaciones de mensajería, dispositivos inteligentes para el hogar, sistemas de videovigilancia y wearables, como los auriculares Meta Quest 3/3S y las gafas inteligentes Ray-Ban.
Este año, los organizadores han ampliado los vectores de ataque permitidos para incluir la explotación de vulnerabilidades mediante conexiones USB a smartphones bloqueados. Sin embargo, se siguen utilizando protocolos inalámbricos estándar como Wi-Fi, Bluetooth y NFC junto con el acceso físico.
El año pasado, en una competición similar de Pwn2Own en Irlanda, los participantes recibieron un premio total de 1.078.750 dólares por identificar más de 70 vulnerabilidades. El equipo de Viettel Cyber Security resultó vencedor, llevándose 205.000 dólares por atacar con éxito dispositivos QNAP, Sonos y Lexmark.
En enero de 2026, ZDI regresará a Tokio con una versión para coches de la competición Pwn2Own Automotive, que se celebrará en el marco de la feria Automotive World. Tesla volverá a apoyarla.
RedazioneEn los últimos días, algunos usuarios han recibido una notificación diciendo que sus dispositivos Gemini Advanced han sido «actualizados del modelo de la generación anterior al 3.0 Pro, el modelo...
La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha emitido una alerta global con respecto a la explotación activa de una falla crítica de ejecución remota de c�...
El lunes 20 de octubre, el Canal 4 transmitió un documental completo presentado por un presentador de televisión creativo impulsado completamente por inteligencia artificial. » No soy real. Por pri...
El ecosistema ruso del cibercrimen ha entrado en una fase de profunda transformación, provocada por una combinación de factores: una presión internacional sin precedentes por parte de los organismo...
Investigadores de seguridad han descubierto vulnerabilidades en un sitio web de la FIA que contenía información personal confidencial y documentos relacionados con los pilotos, incluido el campeón ...
