La competición de hacking
Pwn2Own Berlin 2026 ha concluido, y los investigadores de seguridad han ganado 908.750
dólares tras explotar 39 vulnerabilidades Zero-Day y encontrar algunas
colisiones de errores.
Los investigadores de seguridad pueden ganar más de 1.000.000 de dólares en
efectivo y premios hackeando productos con todos los parches de seguridad
instalados en las categorías de navegador web, aplicaciones empresariales,
entornos nativos de la nube/contenedores, virtualización, escalada de
privilegios local, servidores, inferencia local y LLM.
La competición de hacking Pwn2Own Berlin 2026 tuvo lugar en la conferencia
OffensiveCon
del 14 al 16 de mayo y se centra en las tecnologías empresariales y la
inteligencia artificial.
Según las
reglas de Pwn2Own, todos los dispositivos objetivo contaban con todas las actualizaciones de
seguridad instaladas y ejecutaban las últimas versiones del sistema operativo.
Día 1
En el primer día de Pwn2Own Berlin 2026, investigadores de seguridad obtuvieron 523.000 dólares en premios tras explotar 24 vulnerabilidades de día cero.
El logro más destacado del día fue el de Cheng-Da Tsai (también conocido como Orange Tsai), del equipo de investigación DEVCORE, quien recibió 175.000 dólares en premios tras encadenar cuatro fallos lógicos para lograr una evasión del entorno aislado en Microsoft Edge.
Windows 11 también fue hackeado tres veces por Angelboy y TwinkleStar03 (que trabajan con el programa de prácticas de DEVCORE), Marcin Wiązowski y Kentaro Kawane, de GMO Cybersecurity, quienes ganaron 30.000 dólares cada uno por demostrar nuevas vulnerabilidades de día cero que permitían la escalamiento de privilegios.
Valentina Palmiotti (chompie), de IBM X-Force Offensive Research (XOR), también obtuvo 20.000 dólares tras rootear Red Hat Linux para estaciones de trabajo y otros 50.000 dólares por una vulnerabilidad de día cero en NVIDIA Container Toolkit.
Otros intentos exitosos incluyen a k3vg3n, quien encadenó 3 errores para derribar LiteLLM (40.000 dólares); Satoki Tsuji y haehae, quienes explotaron vulnerabilidades de día cero en NVIDIA Megatron Bridge (20.000 dólares); Compass Security y maitai of Doyensec, de Doyensec, quienes hackearon el agente de codificación Codex de OpenAI (cada uno con 40.000 dólares); haehae, quien lanzó un Chroma zero-day (20.000 dólares); y STARLabs SG, quien explotó una vulnerabilidad de día cero en LM Studio (40.000 dólares).
Fuente: ZeroDayIniciative