zero days y polemica la retirada que ensombrecio el pwn2own ireland 2025

Zero-days y polémica: la retirada que ensombreció el Pwn2Own Ireland 2025

PorCarlos Ribeiro

En el mundo de la ciberseguridad, pocas cosas generan tanta expectación como un exploit de WhatsApp valorado en un millón de dólares. Pero a veces, las grandes promesas acaban en grandes decepciones, como ha ocurrido en el reciente Pwn2Own Ireland 2025, donde la retirada de última hora de un investigador ha dejado más preguntas que respuestas.

El festival de las vulnerabilidades que repartió más de un millón de dólares

El Pwn2Own, organizado por Zero Day Initiative (ZDI) de Trend Micro, es el equivalente a los Juegos Olímpicos para los cazadores de vulnerabilidades. Este año no ha defraudado en términos de hallazgos: 73 fallos de seguridad previamente desconocidos y premios por valor de 1.024.750 dólares.

Entre los dispositivos más castigados estuvieron el router QNAP Qhora-322 y el NAS QNAP TS-453E, cuya combinación permitió a un equipo llevarse el premio gordo de 100.000 dólares. El Samsung Galaxy S25, a pesar de ser un buque insignia recién salido del horno, también cayó ante los hackers, que encontraron dos cadenas de exploit valoradas en 50.000 dólares cada una.

No se salvaron tampoco los dispositivos domésticos inteligentes. Desde altavoces Sonos hasta enchufes de Amazon, pasando por impresoras Lexmark y Canon, todos mostraron sus debilidades ante los ojos expertos de los participantes.

La gran ausencia: el millón de dólares que nunca llegó

Pero el verdadero protagonista del evento fue alguien que nunca apareció en escena. Un investigador conocido como Eugene (o 3ugen3) del Team Z3 debía presentar un exploit de WhatsApp valorado en un millón de dólares. Lo extraordinario de esta vulnerabilidad era su naturaleza «zero-click», es decir, no requería interacción del usuario para ejecutar código remoto.

Inicialmente, ZDI explicó que había «complicaciones de viaje y vuelos retrasados», pero mantenía la esperanza de que Eugene presentara su trabajo. Sin embargo, la realidad fue muy distinta: el investigador se retiró por completo de la competición.

«Team Z3 ha retirado su participación sobre WhatsApp ya que no sentían que su investigación estuviera lista para una demostración pública», explicó Dustin Childs, responsable de ZDI. Una explicación que, para quienes conocemos el mundillo, suena a eufemismo técnico para decir «no funcionaba como se esperaba».

Entre bastidores: ¿qué ha pasado realmente?

El caso ha generado un cóctel de decepción y especulación en la industria. ¿Existía realmente el exploit? ¿Era tan potente como se anunciaba? La comunidad de seguridad, acostumbrada a ver demostraciones espectaculares en estos eventos, no ha tardado en cuestionar la viabilidad técnica del supuesto hallazgo.

Lo cierto es que Eugene, aparentemente de origen chino, ha mantenido un perfil bajo tras el incidente. Cuando fue contactado por SecurityWeek, se limitó a describir Pwn2Own como un «evento increíble» y afirmó: «Decidimos mantener todo privado entre Meta, ZDI y yo mismo. Sin comentarios». Añadió que había firmado un NDA (acuerdo de confidencialidad) que le impedía compartir detalles.

¿Una oportunidad perdida o un farol descubierto?

Lo interesante es que, a pesar de la retirada, Meta (propietaria de WhatsApp) sigue interesada en esta investigación. ZDI ha confirmado que están facilitando la divulgación coordinada para que los ingenieros de Meta puedan abordar los problemas si resultan ser válidos.

Este giro inesperado plantea varias posibilidades. La primera, y más benévola, es que Eugene realmente encontró algo importante pero no lo suficientemente estable como para demostrarlo en público. La segunda, más escéptica, sugiere que el exploit podría no haber sido tan sólido como se promocionaba.

En mi experiencia cubriendo eventos de seguridad, he visto cómo algunos investigadores descubren bugs legítimos pero sobrestiman su impacto. Un pequeño fallo en la cadena de explotación puede ser la diferencia entre un ataque devastador y una prueba de concepto inviable.

El mercado de los zero-days: cuando una vulnerabilidad vale un millón

Para poner en contexto la magnitud de lo ocurrido, hay que entender el valor actual de los zero-days. Una vulnerabilidad de este tipo en una aplicación con la penetración de WhatsApp (más de 2.000 millones de usuarios) es el equivalente digital a encontrar una mina de oro.

Los zero-days, aquellas vulnerabilidades desconocidas incluso para los desarrolladores del software, son la moneda más valiosa en el mundo de la ciberseguridad. No tienen parche porque nadie (excepto el descubridor) sabe que existen, lo que las hace ideales tanto para defensa como para ataque.

El futuro de Pwn2Own y la divulgación responsable

Este incidente probablemente llevará a ZDI a revisar sus protocolos de verificación previa. La organización podría empezar a solicitar pruebas más contundentes antes de anunciar públicamente las participaciones de alto perfil.

Y es que el caso de Eugene no es un hecho aislado en la historia de Pwn2Own. En ediciones anteriores hemos visto cómo exploits prometedores fallaban en el momento crucial, aunque rara vez con premios tan elevados en juego.

Mientras tanto, el certamen ya mira al futuro con nuevas competiciones anunciadas, como un evento de hacking en la nube con 4,5 millones de dólares en premios y el Pwn2Own Automotive 2026, que ofrecerá más de 3 millones para quienes logren vulnerar la seguridad de los vehículos modernos.

La carrera entre hackers y desarrolladores continúa, y cada evento como este nos recuerda la fragilidad de la tecnología que usamos a diario. Porque al final, sea en WhatsApp o en un router doméstico, las vulnerabilidades están ahí, esperando a ser descubiertas… o parcheadas.

Publicaciones Similares

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *