En el uso cotidiano de aplicaciones y dispositivos, es posible que encontremos vulnerabilidades que pongan en riesgo nuestra seguridad. Estos fallos pueden facilitar a los atacantes el acceso a datos personales, contraseñas o incluso el control de nuestros dispositivos. Para identificar estas brechas, muchas veces son las propias empresas las que ofrecen recompensas. Un ejemplo de esto es WhatsApp, que está dispuesto a pagar cifras considerables a quienes descubran alguna vulnerabilidad.
En concreto, esto se enmarca en el concurso de hacking Pwn2Own. La Zero Day Initiative (Iniciativa de Día Cero) ofrece atractivas recompensas si algún investigador de seguridad logra demostrar un exploit en WhatsApp que permita un ataque sin interacción del usuario. El evento, Pwn2Own Irlanda 2025, podría ser testigo de la aparición de un nuevo millonario.
Recompensas significativas por hallar fallos en WhatsApp
La Zero Day Initiative, a través de su sitio web, publicó un comunicado el 31 de julio, informando sobre diferentes recompensas para quienes logren detectar fallos de día cero. Estas vulnerabilidades desconocidas para los desarrolladores de software y que aún no tienen un parche son precisamente las que se están buscando.
Esta iniciativa pertenece a Trend Micro, una de las empresas líderes en ciberseguridad a nivel mundial. La iniciativa Zero Day (ZDI) fue creada en 2005 con el propósito de detectar y notificar vulnerabilidades de día cero, contribuyendo así a mejorar la seguridad. Desde su inicio, se han otorgado numerosas recompensas por este tipo de hallazgos.
La recompensa más alta en este caso asciende a un millón de dólares (aproximadamente 870.000€ al cambio actual) para quien logre detectar una vulnerabilidad de ejecución remota de código, sin requerir clic por parte de la víctima. Esto implica que un atacante podría explotar el fallo sin necesidad de que el usuario interactúe, lo que lo convierte en un riesgo mayor, ya que no depende de un error humano, como abrir un enlace o ingresar la contraseña en un sitio no seguro.
Sin embargo, no es la única recompensa disponible por detectar fallos en WhatsApp. También se ofrecen 500.000 dólares por vulnerabilidades de ejecución remota con interacción del usuario. Otras recompensas oscilan entre 50.000 y 150.000 dólares. A continuación, se presenta un cuadro con todas las recompensas, publicado por la Zero Day Initiative.
Vulnerabilidades en diversos dispositivos
En el evento Pwn2Own Irlanda 2025 no solo se podrán detectar vulnerabilidades en WhatsApp, sino también en una variedad de dispositivos y aplicaciones. En total, se han establecido ocho categorías, que incluyen teléfonos móviles (modelos destacados como el Samsung Galaxy S25, Google Pixel 9 o iPhone 16), aplicaciones de mensajería, equipos de red doméstica, dispositivos inteligentes para el hogar, impresoras, sistemas de almacenamiento en red, equipos de vigilancia y tecnología portátil.
El evento se llevará a cabo en Cork, al sur de Irlanda, del 21 al 25 de octubre. Este evento se celebra anualmente y en la edición anterior se otorgaron más de un millón de dólares en premios al descubrir más de 70 vulnerabilidades de día cero en dispositivos variados. Cualquiera puede participar, aunque es necesaria la inscripción previa, que se cierra el 16 de octubre. Las reglas están disponibles en la web oficial de la Zero Day Initiative.
Pero, ¿qué sucede con las vulnerabilidades que se detectan en este evento? Como es lógico, no se hacen públicas de inmediato, ya que los atacantes podrían aprovecharse de ellas. La organización informa rápidamente a los fabricantes de dispositivos o proveedores de software para que puedan implementar parches. Después de 90 días, independientemente de si se han lanzado actualizaciones o no, las vulnerabilidades se hacen públicas.
Preguntas frecuentes
¿Qué puedo hacer para proteger mi WhatsApp?
Ten cuidado con los contactos que agregas, los mensajes que recibes (especialmente los enlaces) y utiliza solo aplicaciones oficiales. Mantén siempre tu dispositivo y aplicaciones actualizados.
¿Es peligroso ser añadido a grupos de WhatsApp desconocidos?
Si no interactúas, no debería haber problema. Sin embargo, puede ser arriesgado si haces clic en algún enlace o proporcionas información personal. Puedes ajustar la configuración de WhatsApp para que solo tus contactos puedan añadirte.
¿Cualquier software puede tener vulnerabilidades?
Correcto, cualquier programa que instales en tu dispositivo móvil o PC podría tener vulnerabilidades. Es fundamental mantener todo actualizado.
