La competencia de piratería Pwn2Own Ireland 2025 finalizó con investigadores de seguridad recaudando $1,024,750 en premios en efectivo después de explotar 73 vulnerabilidades de día cero.
En Pwn2Own Ireland 2025, los competidores Productos específicos en ocho categorías.incluidas impresoras, sistemas de almacenamiento en red, aplicaciones de mensajería, dispositivos domésticos inteligentes, equipos de vigilancia, equipos de redes domésticas, teléfonos inteligentes emblemáticos (Apple iPhone 16, Samsung Galaxy S25 y Google Pixel 9) y tecnología portátil (incluidas las gafas inteligentes Ray-Ban de Meta y los auriculares Quest 3/3S).
El concurso de este año también amplió la superficie de ataque para incluir la explotación del puerto USB en teléfonos móviles, lo que requiere que los investigadores pirateen los dispositivos bloqueados a través de una conexión física. Sin embargo, los protocolos inalámbricos tradicionales como Bluetooth, Wi-Fi y NFC (comunicación de campo cercano) siguieron siendo vectores de ataque válidos.
El concurso de piratería, copatrocinado por Meta junto con QNAP y Synology, se llevó a cabo del 21 al 23 de octubre en Cork, Irlanda.
Equipo de invocación ganó la edición de este año de Pwn2Own Irlanda con 22 puntos Master of Pwn y $187,500 ganados durante el evento de tres días después de piratear el Samsung Galaxy S25, el Synology DiskStation DS925+ NAS, el Home Assistant Green, la unidad Synology ActiveProtect Appliance DP320 NAS, la cámara Synology CC400W y el dispositivo NAS QNAP TS-453E.
El equipo ANHTUD aseguró la segunda posición con $76,750 y 11.5 puntos Master of Pwn, mientras que el equipo Synactiv obtuvo el tercer lugar con $90,000 en premios y 11 puntos Master of Pwn.
El primer día de Pwn2Own Irlanda, los hackers explotó 34 días cero únicos y recaudó $522,500 en premios en efectivo. El segundo día del evento, demostró otras 22 vulnerabilidades únicas de día cero por $267.500.
Lo más destacado del último día fue el Samsung Galaxy S25 siendo pirateado por el equipo de Interrupt Labs a través de un error de validación de entrada incorrecta, quien ganó 5 puntos Master of Pwn y $50,000 después de habilitar también el seguimiento de ubicación y la cámara en el proceso.
Si bien el Equipo Z3 también estaba programado para hoy para demostrar una ejecución remota de código Zero-Click de WhatsApp de día cero, elegible para una recompensa de $1 millónellos se retiró de la competencia. Eligieron revelar sus hallazgos de forma privada a los analistas de ZDI antes de compartir su investigación con el equipo de ingeniería de Meta.
La Zero Day Initiative (ZDI) organiza este concurso de piratería para identificar vulnerabilidades de seguridad antes de que los actores de amenazas puedan explotarlas en ataques y coordinar la divulgación responsable con los proveedores afectados.
Después de que los días cero sean explotados en Pwn2Own, los proveedores tienen 90 días para lanzar parches antes de que la Iniciativa Día Cero de Trend Micro los revele públicamente.
En enero de 2026, el ZDI estará una vez más en la feria de tecnología Automotive World en Tokio, Japón. para el tercer concurso Pwn2Own Automotivenuevamente patrocinado por Tesla
El 46% de los entornos tenían contraseñas descifradas, casi el doble que el 25% del año pasado.
Obtenga ahora el Informe Picus Blue 2025 para obtener una visión completa de más hallazgos sobre tendencias de prevención, detección y filtración de datos.
