Cualquier aplicación o dispositivo que usemos en nuestro día a día, podría tener alguna vulnerabilidad que comprometa la seguridad. Esto es algo que puede dar facilidades a los atacantes para robar datos personales, contraseñas o incluso tomar el control de un equipo. Para detectar estos fallos, en muchos casos son las propias marcas las que ofrecen una recompensa. Esto es lo que ocurre con WhatsApp, que va a pagar grandes cifras a quien detecte alguna vulnerabilidad.
Concretamente, se trata del concurso de hacking Pwn2Own. La Zero Day Initiative (Iniciativa de Día Cero) ofrece interesantes recompensas si algún investigador de seguridad demuestra con un exploit de WhatsApp que permita atacar sin necesidad de hacer clic. El evento, Pwn2Own Irlanda 2025, puede ser testigo de un nuevo millonario.
Grandes recompensas por detectar fallos en WhatsApp
La Zero Day Initiative, a través de su web, lanzó un comunicado el pasado 31 de julio informando de diferentes recompensas para quienes detecten fallos de día cero. Es así como se conocen a las vulnerabilidades que son desconocidas para los desarrolladores de software o para los responsables de un dispositivo y no tiene aún parche para corregirlas.
Pertenece a Trend Micro, una de las empresas más importantes a nivel global relacionadas con la ciberseguridad. La iniciativa Zero Day (ZDI, por sus siglas en inglés) nació en 2005 con el objetivo de ayudar a detectar y notificar vulnerabilidades de día cero y poder ayudar a mejorar la seguridad. Desde entonces, son muchas las recompensas de este tipo que han dado.
La recompensa máxima que dan, en este caso, es de un millón de dólares (unos 870.000€, al cambio actual) a quien detecte una vulnerabilidad de ejecución remota de código, sin necesidad de hacer clic. Esto significa que el atacante podría explotar ese fallo, sin necesidad de que la víctima tenga que interactuar. Esto hace que una vulnerabilidad sea más grave, puesto que no necesita de ese error humano, como puede ser tener que abrir un enlace, poner la contraseña donde no corresponde, etc.
Pero no es la única recompensa que dan por detectar algún fallo de WhatsApp. También pagan 500.000 dólares por detectar una vulnerabilidad de ejecución remota de código, pero esta vez con interacción de la víctima. Otras recompensas van desde los 50.000 hasta los 150.000 dólares. Te dejamos el cuadro con todas las recompensas, publicado por Zero Day Initiative.
Dispositivos de todo tipo
Pero en Pwn2Own Irlanda 2025 no solo va a haber la posibilidad de detectar vulnerabilidades de WhatsApp, sino también de otros mucho dispositivos y aplicaciones. En total hay ocho categorías y van a estar dirigidas a teléfonos móviles (modelos punteros, principalmente, como el Samsung Galaxy S25, Google Pixel 9 o iPhone 16), aplicaciones de mensajería, equipos de redes domésticas, dispositivos inteligentes para el hogar, impresoras, sistemas de almacenamiento en red, equipos de vigilancia y tecnología wearable.
Este evento se celebra en Cork, al sur de Irlanda, del 21 al 25 de octubre. Se celebra cada año y en la edición pasada dieron algo más de un millón de dólares en premios, al detectar más de 70 vulnerabilidades de día cero que afectaban a dispositivos muy variados. Cualquiera puede participar, aunque hay que inscribirse previamente y el plazo finaliza el 16 de octubre. Puedes ver todas las normas en la web oficial de Zero Day Initiative.
Pero, ¿qué pasa con estas vulnerabilidades que se detectan en este evento? Como podrás imaginar, no las hacen públicas de inmediato, ya que los atacantes podrían aprovecharlas. Desde la organización, informan rápidamente a las marcas de dispositivos o a los proveedores de software, para que puedan lanzar parches. A los 90 días, independientemente de si han sacado o no actualizaciones, hacen públicas estas vulnerabilidades.
0 Commentaires