La Zero Day Initiative (ZDI) de Trend Micro ha anunciado una recompensa sin precedentes de 1 millón de dólares para el Pwn2Own Ireland 2025. El premio se otorgará a quien logre un exploit de ejecución remota de código (RCE) sin clic en la aplicación de mensajería WhatsApp.
Esta recompensa récord, copatrocinada por Meta, es el mayor pago individual en la historia del concurso y resalta la importancia de asegurar la plataforma de mensajería más usada del mundo, con más de 3 mil millones de usuarios.
Recompensas en la Categoría de Mensajería
La colaboración de Meta con Pwn2Own Ireland 2025 representa un cambio estratégico en cómo las grandes empresas de tecnología incentivan la investigación de vulnerabilidades. Debido a su inmensa popularidad, WhatsApp se ha convertido en un objetivo atractivo para grupos de amenazas avanzadas (APTs) y actores de estados-nación que buscan capacidades de explotación sin interacción del usuario.
El significativo aumento de la recompensa —de los 300,000 dólares del año pasado a 1 millón de dólares— subraya el compromiso de Meta con la investigación de seguridad proactiva, enfocada en vulnerabilidades que permiten a los atacantes comprometer dispositivos sin ninguna interacción del usuario.
Aunque el premio de 1 millón de dólares es para un exploit de RCE sin clic, se ofrecen premios menores para otras vulnerabilidades en WhatsApp, como aquellas que requieren una mínima interacción del usuario o que escalan privilegios en lugar de comprometer el sistema completamente.
Otras Categorías de Pwn2Own Ireland 2025
El concurso, que se llevará a cabo del 21 al 24 de octubre en Cork, Irlanda, contará con ocho categorías distintas, incluyendo:
- Dispositivos móviles: Nuevos vectores de ataque a través de USB que requieren ataques de proximidad física.
- SOHO Smashup: Encadenamiento de exploits en dispositivos de redes domésticas.
- Dispositivos inteligentes para el hogar.
- Sistemas de almacenamiento en red (NAS) de QNAP y Synology.
- Sistemas de vigilancia.
- Tecnología portátil de Meta: Incluyendo las gafas Ray-Ban Smart Glasses y los auriculares Quest 3/3S.
La inscripción para el evento cierra el 16 de octubre de 2025. El año pasado se otorgaron más de 1 millón de dólares en recompensas por más de 70 vulnerabilidades de día cero, lo que establece un alto estándar para la competencia de este año.
