un millon de dolares por un exploit de whatsapp la nueva carrera por encontrar vulnerabilidades zero day

Un millón de dólares por un exploit de WhatsApp: la nueva carrera por encontrar vulnerabilidades zero-day

PorCarlos Ribeiro

En el mundo de la ciberseguridad, las cifras a veces hablan más que mil palabras. Y cuando alguien ofrece un millón de dólares por encontrar un agujero en una aplicación que usamos a diario, conviene prestar atención. Porque sí, has leído bien: un millón de dólares es lo que podrían llevarse los hackers que logren ejecutar código remotamente en WhatsApp sin interacción del usuario en el próximo evento Pwn2Own Irlanda 2025.

La caza del tesoro digital ha comenzado

Trend Micro, a través de su iniciativa Zero Day Initiative (ZDI), ha anunciado los objetivos y premios para el próximo evento de hacking Pwn2Own, que tendrá lugar en Cork, Irlanda, del 21 al 24 de octubre. Y este año, Meta (antes Facebook) ha subido considerablemente la apuesta como patrocinador.

No es casualidad. El año pasado ya ofrecieron 300.000 dólares por una vulnerabilidad en WhatsApp, pero nadie logró demostrar tal hazaña. Ahora, al multiplicar por más de tres la recompensa, el mensaje es claro: o nadie encontró nada el año pasado, o lo que encontraron era demasiado valioso como para entregarlo por esa cantidad.

La escala de recompensas en WhatsApp

La estructura de premios para WhatsApp es especialmente reveladora:

  • 1.000.000$ por un exploit de ejecución remota de código sin clic
  • 500.000$ por un exploit de ejecución remota que requiera un solo clic
  • 150.000$ por un exploit de toma de control de cuenta sin interacción
  • 130.000$ por acceso remoto al micrófono o transmisión de video sin interacción
  • 130.000$ por acceso a datos sensibles (con o sin clic)

¿Te das cuenta? La diferencia entre que un usuario tenga que hacer clic o no puede valer hasta medio millón de dólares. Y esto nos dice mucho sobre el valor real de las vulnerabilidades zero-day en el mercado actual.

Los smartphones también en el punto de mira

No solo WhatsApp está en la lista de objetivos. Los participantes pueden ganar hasta 300.000 dólares por encontrar exploits remotos en los últimos modelos de smartphones como el Pixel 9 o el iPhone 16. Curiosamente, un hack similar en un Samsung Galaxy vale considerablemente menos: 50.000 dólares.

Esta disparidad de precios podría reflejar tanto las diferencias en seguridad percibidas entre estos dispositivos como el interés específico de los organizadores en determinados sistemas operativos. Este año también se ha incluido USB como vector de ataque, expandiendo las posibilidades para los investigadores.

El Internet de las Cosas también bajo escrutinio

Las gafas inteligentes Meta Ray-Ban y el auricular Meta Quest VR también tienen precio: hasta 150.000 dólares por ejecución remota de código sin interacción. Otros dispositivos domésticos como NAS, altavoces inteligentes o cámaras de vigilancia también están en la lista, con recompensas que oscilan entre los 20.000 y los 100.000 dólares.

La categoría SOHO Smashup merece especial atención: aquí, los investigadores pueden ganar hasta 100.000 dólares si logran comprometer un dispositivo de red y luego moverse lateralmente para hackear otros equipos conectados. Este escenario refleja perfectamente lo que ocurriría en un ataque real a un hogar u oficina pequeña.

Por qué importan estos concursos de hacking

Pwn2Own no es solo un juego de hackers con premio. Estos eventos cumplen una función crucial en el ecosistema de seguridad:

  1. Descubrimiento responsable: Las vulnerabilidades se reportan a los fabricantes antes de hacerse públicas, permitiendo que se desarrollen parches.
  2. Incentivo económico: Ofrece a los investigadores una alternativa legal y lucrativa frente a la venta de exploits en mercados grises.
  3. Mejora de productos: Los fabricantes obtienen información valiosa sobre fallos de seguridad que podrían haber pasado desapercibidos.

El año pasado, Pwn2Own Irlanda repartió más de un millón de dólares por exploits en diversos dispositivos. Esta cantidad refleja el valor real que tiene la seguridad en el mundo digital actual.

La paradoja del millón de dólares

Puede parecer contradictorio: si una empresa ofrece un millón por encontrar un fallo, ¿no está admitiendo indirectamente que su producto tiene problemas? En realidad, ocurre lo contrario.

Las empresas que participan en estos programas demuestran su compromiso con la seguridad. Prefieren pagar grandes sumas a investigadores éticos antes que arriesgarse a que esas mismas vulnerabilidades zero-day sean descubiertas y explotadas por actores maliciosos.

Mientras escribo estas líneas, equipos de investigadores de todo el mundo ya están analizando cada línea de código de WhatsApp, buscando esa vulnerabilidad que podría valer un millón de dólares. Y aunque no todos ganen el premio gordo, nosotros, los usuarios, salimos ganando con cada fallo que se descubre y se parcheа.

Publicaciones Similares

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *