Red Hot Cyber

La ciberseguridad se comparte. Reconozca el riesgo, combátalo, comparta sus experiencias y anime a otros a hacerlo mejor que usted.
Buscar

¡WhatsApp en la mira! En Pwn2Own Irlanda 2025, se otorgará un premio de 1 millón de dólares por un exploit RCE sin clics.

Redazione RHC : 1 agosto 2025 14:15

La Iniciativa de Día Cero (ZDI) de Trend Micro ha anunciado una recompensa digna de un corredor de día cero.

Se ofrece una recompensa sin precedentes de 1.000.000 de dólares a quien desarrolle un exploit de ejecución remota de código (RCE) sin clics contra WhatsApp durante la edición 2025 de Pwn2Own Irlanda.

Esta recompensa récord, cofinanciada por Meta, marca el mayor premio individual jamás ofrecido en la historia de la competencia y destaca la importancia crucial de proteger la plataforma de mensajería más popular del mundo.

Puntos clave

  1. Recompensa récord de 1 millón de dólares por un exploit sin clics en WhatsApp
  2. Concurso dividido en 8 categorías: Inscripción hasta el 16 de octubre de 2025
  3. El aumento de la recompensa de $300,000 a $1,000,000 refleja la creciente amenaza de ataques por parte de estados-nación y mediante el uso de software espía.

Recompensas por exploits sin clic en WhatsApp

La colaboración entre Meta y Pwn2Own Ireland 2025 marca un cambio radical en la estrategia de las grandes tecnológicas para incentivar la investigación sobre las Vulnerabilidades críticas. Con más de tres mil millones de usuarios, WhatsApp es un objetivo prioritario para actores estatales y grupos de amenazas persistentes avanzadas (APT), que buscan vulnerarlo sin requerir la interacción del usuario.

El aumento de la recompensa, con respecto a los 300.000 dólares del año pasado, demuestra el creciente compromiso de Meta con la prevención proactiva de las amenazas más sofisticadas. En concreto, la recompensa de un millón de dólares se reservará para exploits de cero clic capaces de lograr la ejecución remota completa de código.

Se ofrecerán recompensas menores para vulnerabilidades que requieran una interacción mínima o que solo conduzcan a la escalada de privilegios, según lo especificado por la organización. Este sistema de recompensas escalonado busca estimular la investigación sobre toda la superficie de ataque de la aplicación, desde errores de corrupción de memoria hasta fallos lógicos en la gestión de mensajes.

Otras categorías de la competencia

Pwn2Own Ireland 2025 se celebrará en Cork del 21 al 24 de octubre e incluirá ocho categorías que reflejan el panorama actual de amenazas. Además de la categoría de mensajería, los investigadores podrán poner a prueba sus habilidades en:

  • Nuevos ataques a puertos USB en dispositivos móviles, que demuestran ataques de proximidad incluso contra dispositivos bloqueados.
  • La categoría SOHO Smashup, que otorga 100.000 dólares y 10 puntos «Master of Pwn» a quien logre encadenar exploits en dispositivos de red doméstica en 30 minutos;
  • Dispositivos domésticos inteligentes, sistemas NAS de QNAP y Synology, dispositivos de vigilancia y wearables tecnológicos meta, como gafas de sol Ray-Ban y auriculares Quest 3/3S.

Cada categoríarequiere exploits realistas, basados en superficies de ataque expuestas a la red, vectores de radiofrecuencia o escenarios de proximidad.

Registro y expectativas

El plazo de inscripción cierra a las 17:00 (hora irlandesa) del 16 de octubre de 2025. El orden de las demostraciones se determinará mediante un sorteo. En su edición de 2024, Pwn2Own Ireland otorgó vulnerabilidades por un valor total de 1.066.625 dólares, reconociendo más de 70 exploits de día cero únicos.

Gracias a la colaboración estratégica de Meta y a la ampliación de las categorías de la competición, Pwn2Own Ireland 2025 promete mostrar las técnicas de exploits más avanzadas, fortaleciendo la seguridad global mediante la divulgación responsable de vulnerabilidades.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli

Artículos destacados

¿Hubo terror en el vuelo de Ursula von der Leyen? ¡Aclaremos las cosas!
Di Giovanni Pollola - 02/09/2025

El 31 de agosto de 2025, el vuelo AAB53G, operado por un Dassault Falcon 900LX con matrícula OO-GPE y con la presidenta de la Comisión Europea, Ursula von der Leyen, despegó de Varsovia y aterrizó...

Violación de datos de Zscaler: Lecciones aprendidas sobre la evolución de las amenazas de SaaS
Di Ada Spinelli - 02/09/2025

La reciente confirmación por parte de Zscaler de una filtración de datos resultante de un ataque a la cadena de suministro constituye un caso práctico sobre la evolución de las amenazas contra eco...

¡Que comience la caza! Hackers aprovechan una falla de Citrix para infiltrarse en sistemas globales.
Di Redazione RHC - 30/08/2025

Se ha descubierto una falla crítica de día cero, clasificada como CVE-2025-6543, en los sistemas Citrix NetScaler. Esta vulnerabilidad ha sido explotada activamente por hackers maliciosos desde mayo...

Un exploit de WhatsApp sin necesidad de hacer clic permitía la vigilancia remota. Meta advierte a las víctimas
Di Redazione RHC - 30/08/2025

Una falla de seguridad en las apps de mensajería de WhatsApp para iOS y macOS de Apple ha sido corregida, según informó la compañía, tras ser probablemente explotada ampliamente junto con una vul...

Vulnerabilidades críticas en NetScaler ADC y Gateway. ¡Actualízate ahora! ¡Los ataques continúan!
Di Redazione RHC - 28/08/2025

NetScaler ha alertado a los administradores sobre tres nuevas vulnerabilidades en NetScaler ADC y NetScaler Gateway, una de las cuales ya se está utilizando en ataques activos. Hay actualizaciones di...