PWN2OWN, el concurso anual de piratería informática, concluyó recientemente en la Conferencia Offensivecon en Berlín, Alemania, que se celebró entre el 15 y el 17 de mayo de 2025. El evento, organizado por la Iniciativa de Día Zero de Trend Micro (ZDI), marcó la primera edición europea de la renombrada competencia de piratería.
En una notable exhibición de destreza de ciberseguridad, los investigadores de PWN2Own Berlin 2025 obtuvieron colectivamente $ 1,078,750 descubriendo y explotando 28 vulnerabilidades previamente desconocidas, conocidas como exploits de día cero, en múltiples categorías, incluida la virtualización, el navegador web, las aplicaciones empresariales, el servidor, la escalera local del privilegio (EOP), la nube/contenedor, el Automotivo, Automotor.
¿Qué es PWN2own?
PWN2OWN es una competencia de piratería donde los piratas informáticos éticos, los expertos en ciberseguridad y varios otros concursantes apuntan a los últimos y más utilizados dispositivos móviles, mostrando su capacidad para descubrir y explotar las vulnerabilidades críticas de día cero.
Aquellos que tienen éxito no solo ganan recompensas en efectivo, sino que también pueden mantener los dispositivos que se han comprometido.
See also: ¿Quieres hacer que iTunes funcione más rápido? ¡Es fácil!
Después del evento de piratería, los proveedores de tecnología reciben 90 días para abordar las vulnerabilidades informadas. Una vez que termina este período, ZDI revela públicamente los defectos, independientemente de si se ha lanzado un parche.
Lo más destacado de la competencia
Día 1
En Día 1 De PWN2Own Berlin 2025, se demostraron varios exploits exitosos, lo que le dio a los investigadores un total de $ 260,000. La recompensa única más alta del día de $ 60,000, junto con 6 puntos Master of PWN, fue para Billy y Ramdhan de Star Labs, quienes usaron un error de la UAF para escapar del escritorio Docker y ejecutar código en el sistema subyacente.
Además, la prisión de Team Break aprovechó un desbordamiento entero para escapar de Oracle Virtualbox y ejecutar código en el sistema operativo host, ganando $ 40,000 y 4 Puntos Master of PWN.
Día 2
Día 2 de PWN2own Berlín vio un total de $ 435,000 otorgados por varias exploits exitosas, lo que eleva el total de el concurso a $ 695,000. El día contó con 20 vulnerabilidades únicas de 0 días con Nguyen Hoang Thach de Starlabs SG haciendo historia de PWN2OWN mediante el uso de un solo desbordamiento entero para explotar VMware ESXI, asegurando el pago más alto del día de $ 150,000.
Además, Viettel Cyber Security demostró una poderosa combinación de bypass de autenticación y deserialización insegura para comprometer a Microsoft SharePoint, ganando $ 100,000.
Día 3
En Día 3 De PWN2Own Berlin 2025, varios equipos entregaron hazañas exitosas en una variedad de plataformas, lo que contribuyó a un total de $ 383,750 en recompensas. El Bayeto de Corentin de las tácticas inversas obtuvo la recompensa única más alta del día, $ 112,500, así como 11.5 Master of PWN Points por un exploit ESXi parcialmente colisionado que incluía un desbordamiento entero único.
Del mismo modo, Thomas Bouzerar y Etienne Helluy-Lafont de Synacktiv obtuvieron $ 80,000 y 8 puntos Master of PWN por usar un desbordamiento de búfer basado en el montón para explotar la estación de trabajo VMware.
Resumen general de PWN2Own Berlín 2025
La competencia de piratería PWN2Own Berlin 2025 de tres días vio a los concursantes revelar 28 exploits únicos de día cero, siete de las cuales provienen de la categoría de IA, y ganaron un combinado de $ 1,078,750.
Star Labs SG dominó la competencia y se llevó a casa el maestro del título de PWN que les ganó $ 320,000 en pagos y un total de 35 puntos por sus hazañas. Viettel Cyber Security llegó en segundo lugar con un pago de $ 155,000 y 15.5 puntos.
Fueron seguidos por tácticas inversas en tercer lugar en la clasificación que obtuvo un pago total de $ 112,500 y 11.25 puntos.