El segundo día del concurso Pwn2Own Automotive 2026 dejó una facturación impresionante para los cazadores de fallos: 439.250 dólares en premios tras explotar 29 vulnerabilidades zero‑day distintas. La competición, que se celebra del 21 al 23 de enero en Tokio en el marco de la conferencia Automotive World, vuelve a poner el foco sobre la seguridad de los sistemas que hoy mueven y cargan los coches eléctricos y sus centros multimedia.
En Pwn2Own Automotive los equipos se enfrentan a dispositivos completamente parcheados: estaciones de carga para vehículos eléctricos, sistemas de infoentretenimiento (IVI) y sistemas operativos automotrices como Automotive Grade Linux. El propósito no es solo ganar premios en metálico, sino forzar la identificación y corrección de fallos que, en el mundo real, podrían traducirse en riesgos para la privacidad o incluso la seguridad física de conductores y pasajeros. La organización pone a disposición el registro de resultados y detalles técnicos; el resumen del segundo día puede consultarse en el blog de la iniciativa Zero Day Initiative (ZDI), donde también se explica la dinámica y criterios del concurso.
Tras las dos primeras jornadas, fuzzware.io lidera la clasificación con 213.000 dólares acumulados, parte de los cuales provinieron de ataques exitosos contra controladores y estaciones de carga como el Phoenix Contact CHARX SEC‑3150, el ChargePoint Home Flex y la Grizzl‑E Smart 40A. Otros equipos han destacado por la diversidad de objetivos y la complejidad de sus cadenas de explotación: Sina Kheirkhah, del Summoning Team, se llevó 40.000 dólares al conseguir privilegios root en receptores multimedia y navegadores (entre ellos el Kenwood DNR1007XR y el Alpine iLX‑F511) y también comprometer un cargador ChargePoint. De manera similar, Rob Blakely (Technical Debt Collectors) y Hank Chen (InnoEdge Labs) obtuvieron 40.000 dólares cada uno por demostrar cadenas de fallos que afectan a Automotive Grade Linux y a la estación de carga Alpitronic HYC50.
La suma de lo conseguido en las dos primeras jornadas asciende a 955.750 dólares repartidos tras la explotación de 66 vulnerabilidades zero‑day, lo que confirma la densidad de fallos críticos que todavía persisten en el ecosistema automotriz conectado. El detalle completo del cronograma y de los objetivos de la competición está publicado por ZDI en su programación del evento (consultar calendario), y ofrece contexto sobre qué fabricantes y modelos son objeto de cada reto.
El tercer día continuó con ataques planificados contra estaciones concretas: la Grizzl‑E Smart 40A volverá a ser objetivo por parte de equipos como Slow Horses de Qrious Secure y PetoWorks, Juurin Oy intentará comprometer la Alpitronic HYC50 y Ryo Kato irá a por el Autel MaxiCharger. Estas repeticiones no son casuales: en muchos casos se trata de validar vectores de ataque alternativos, confirmar la reproducibilidad de los exploits y explorar si una misma vulnerabilidad puede ser explotada desde diferentes ángulos (por ejemplo, interfaz física frente a red).
Para entender por qué Pwn2Own importa, conviene recordar que los fallos descubiertos aquí no se publican inmediatamente de forma abierta. Los fabricantes afectados disponen de 90 días para desarrollar y distribuir parches tras la notificación, un plazo que forma parte del proceso responsable de divulgación coordinada impulsado por la ZDI y otras iniciativas dedicadas a mejorar la seguridad mediante incentivos a la investigación. Este mecanismo busca equilibrar la urgencia de corregir errores con la necesidad de que los proveedores entreguen soluciones técnicamente completas, evitando que los fallos queden expuestos sin remedio a usuarios y operadores. Más información sobre la filosofía y las reglas del programa está disponible en la web de la Zero Day Initiative.
El modelo de concursos remunerados ofrece varias ventajas prácticas: atrae a investigadores altamente cualificados que prueban escenarios reales sobre hardware y software comercial, obliga a fabricantes a tomarse en serio la seguridad de productos que integran redes y sensores, y acelera la disponibilidad de parches. No obstante, también revela que la transición a vehículos conectados y a infraestructuras de recarga inteligentes ha introducido una nueva capa de complejidad y superficie de ataque que muchas empresas aún están aprendiendo a gestionar.
Hace ya años que estos eventos muestran una tónica constante: los sistemas automotrices modernos combinan componentes de terceros, software embebido heredado y conexiones de red cada vez más sofisticadas, lo que multiplica los vectores por los que un atacante podría acceder a funciones críticas. En este contexto, iniciativas como Pwn2Own sirven como pruebas de estrés públicas y constructivas que presionan a la industria para elevar su nivel de seguridad.
Si te interesa seguir los resultados y las mitigaciones que vayan anunciando fabricantes y organizadores, los resúmenes del concurso y los comunicados oficiales de ZDI son un buen punto de partida (resultados del día 2 y programa completo). Para la industria y los usuarios, la lección es clara: la conectividad trae comodidad, pero también obliga a incorporar la seguridad como requisito de diseño, no como parche posterior.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...