Los especialistas en ciberseguridad tienen un incentivo histórico para poner a prueba sus habilidades: la Zero Day Initiative (ZDI) anunció una recompensa de hasta un millón de dólares para quien logre demostrar un exploit de ejecución remota de código (RCE) en WhatsApp sin que el usuario haga nada.
Este tipo de ataque es conocido como "zero-click" y el monto ofrecido es la mayor recompensa individual en la historia del concurso Pwn2Own, gracias a la colaboración de Meta que sumó este año como copatrocinadora del evento.
Esta edición Pwn2Own se realizará del 21 al 24 de octubre en Cork, Irlanda. Se trata de la segunda vez seguida que la ciudad es sede de la competencia. En la edición anterior entregó más de un millón de dólares en premios por más de 70 vulnerabilidades de día cero únicas.
La categoría de mensajería, que incluye el desafío de WhatsApp se incluyó en 2024 pero quedó desierta porque ningún equipo se animó a participar. Los organizadores de ZDI ironizaron con el tema: "Tal vez un número con dos comas proporcione la motivación necesaria" para que los investigadores se sumen al reto.
El objetivo de este reto es que los hackers o investigadores de seguridad encuentren un fallo en WhatsApp que permita tomar control del teléfono de otra persona de forma totalmente automática, sin que la víctima haga nada: ni abrir un enlace, ni descargar un archivo, ni interactuar con un mensaje.
Este tipo de exploit es considerado de los más complejos y peligrosos, ya que puede comprometer un dispositivo con solo recibir un mensaje malicioso, sin que el usuario lo note.
Meta, que invierte constantemente en programas de bug bounty (programa que paga a hackers éticos por encontrar fallos de seguridad), busca con esta iniciativa reforzar su compromiso con los más de 2.000 millones de usuarios activos de WhatsApp.
Los fallos "zero-click" se han usado en ataques que apuntan a personas específicas, permitiendo controlar su dispositivo, ver información privada y espiar mensajes sin que se den cuenta.
Aunque el premio millonario por WhatsApp es el más resonante, Pwn2Own 2025 incluye ocho categorías que abarcan dispositivos y tecnologías presentes tanto en el hogar como en entornos corporativos:
Cada categoría tiene su rango de premios -desde u$s50.000 hasta u$s300.000- según la complejidad e impacto del exploit.
El concurso Pwn2Own, organizado por la Zero Day Initiative, es un referente mundial para identificar fallos en software y hardware de uso masivo. Los investigadores y hackers éticos muestran sus hallazgos en vivo ante un jurado, y luego los fabricantes reciben la información técnica para corregir las vulnerabilidades.
Esto fue clave para solucionar fallas críticas antes de que sean explotadas a gran escala, reduciendo riesgos para millones de usuarios. En otras ediciones, los investigadores lograron descubrir vulnerabilidades en navegadores, sistemas operativos y dispositivos IoT, que luego fueron corregidas por los fabricantes.