Esta semana se lleva a cabo en Berlín el evento Pwn2Own 2026, organizado por Zero Day Initiative. En este evento, investigadores de seguridad intentan vulnerar la seguridad de sistemas y dispositivos aprovechando vulnerabilidades de día cero. Las marcas participantes ofrecen recompensas, con el objetivo de mejorar la seguridad de los usuarios y corregir problemas detectados.
En el primer día del evento, ya se han identificado más de 20 vulnerabilidades de día cero, incluyendo tres que han permitido hackear Windows 11 y el navegador Edge de Microsoft. En este artículo, abordaremos los detalles acerca de estas fallas.
Vulnerabilidades en Windows
Este evento se enfoca en amenazas actuales, como el uso de la Inteligencia Artificial, navegadores y sistemas comúnmente utilizados por los usuarios. Un claro ejemplo es Windows 11. Según informa el medio especializado Bleeping Computer, se han detectado 24 vulnerabilidades en la primera jornada de Pwn2Own.
Windows 11 ha sido comprometido en tres ocasiones por los investigadores Angelboy y TwinkleStar03 (en colaboración con el Programa de Prácticas de DEVCORE), Marcin Wiązowski y Kentaro Kawane de GMO Cybersecurity. Cada uno de ellos recibió una recompensa de 30.000 dólares (aproximadamente 25.600€ al cambio actual).
Los investigadores demostraron varias vulnerabilidades de día cero que permiten la escalada de privilegios. Este tipo de ataques permite tomar el control del sistema como si se tuviera acceso de administrador. Esto incluye la posibilidad de desactivar la seguridad, instalar malware y, en resumen, controlar completamente el equipo.
En relación al navegador de Microsoft, el investigador Orange Tsai logró encadenar cuatro errores distintos para escapar del sandbox de Edge, obteniendo una de las recompensas más altas del evento, que asciende a 175.000 dólares. Cabe destacar que un sandbox es un entorno aislado que evita que el código malicioso que se ejecute en una página web afecte al resto del sistema.
El propósito de corregir errores
Es importante señalar que los fallos no se hacen públicos de inmediato. Microsoft, por ejemplo, recibe el exploit completo del investigador que detectó una vulnerabilidad, lo reproduce internamente y comienza a trabajar para clasificar la vulnerabilidad según su gravedad y lanzar parches correspondientes.
Estos parches, que son las actualizaciones futuras, son lo que realmente corrige el fallo. Esto es evidente, por ejemplo, en los parches de seguridad mensuales de Windows. Lo mismo aplica a cualquier software que utilices regularmente. Es crucial mantener todo actualizado para evitar facilitar el trabajo a los piratas informáticos, quienes podrían infectar el sistema, robar contraseñas o datos personales.
En resumen, se han identificado varias vulnerabilidades en el primer día del evento Pwn2Own 2026 en Berlín. Entre estos fallos, varios afectan a Windows 11 y al navegador Microsoft Edge. También se han detectado errores en otras aplicaciones y sistemas que serán corregidos en breve.
Preguntas frecuentes
¿Están siendo atacados actualmente estos fallos de Windows?
No, los fallos detectados en este evento no están siendo explotados en este momento. El objetivo es identificar problemas antes de que un ciberdelincuente pueda utilizarlos.
¿Existen parches para estos problemas?
No. Se trata de vulnerabilidades de día cero, por lo que actualmente no hay soluciones disponibles. Microsoft trabajará en las próximas semanas para lanzar parches para Windows 11 y Edge lo antes posible.
¿Qué obtienen los investigadores de seguridad que descubren vulnerabilidades?
Aquellos que detectan estos fallos reciben recompensas monetarias. Esta es la forma en que Microsoft, por ejemplo, incentiva a las personas a buscar vulnerabilidades desconocidas antes que los ciberdelincuentes lo hagan.
