La edición 2026 de Pwn2Own Automotive cerró esta semana en Tokio con una cifra llamativa: los investigadores de seguridad se llevaron en conjunto 1.047.000 dólares tras demostrar la explotación de 76 vulnerabilidades zero‑day entre el 21 y el 23 de enero. El evento, que se celebró durante la conferencia Automotive World, puso de nuevo el foco sobre la seguridad de los vehículos conectados y de la infraestructura que los rodea.
Pwn2Own Automotive es un concurso organizado por la iniciativa Zero Day Initiative (ZDI) que reta a equipos de investigadores a encontrar y demostrar fallos en sistemas reales, tanto en automóviles como en periféricos relacionados. En esta edición los objetivos incluyeron sistemas de infoentretenimiento actualizados, cargadores para vehículos eléctricos y sistemas operativos orientados al automóvil, como Automotive Grade Linux. La filosofía detrás del certamen es práctica: demostrar fallos en condiciones controladas y obligar a fabricantes a corregirlos antes de su divulgación pública. Según la política de ZDI, los fabricantes disponen de 90 días para publicar parches desde que se reporta una vulnerabilidad descubierta en el concurso; ese margen busca equilibrar la seguridad del usuario final con la necesidad de reparación por parte del proveedor. Más detalles sobre los resultados y el calendario están disponibles en los informes de ZDI sobre el concurso: resumen del día tres y programación completa.
Más allá del titular económico, lo que preocupa a la industria es el tipo de vectores que se explotaron. Los sistemas de infoentretenimiento (IVI) son cada vez más potentes y accesibles: admiten puertos USB, conectividad inalámbrica y aplicaciones de terceros, lo que los convierte en un punto de entrada ideal para escalar ataques hacia dominios más críticos del vehículo. Por su parte, los cargadores de vehículos eléctricos (EV) no son simples enchufes inteligentes; muchos integran controladores, interfaces de red y paneles de gestión que pueden ser atacados para interrumpir la recarga, manipular facturación o, en escenarios extremos, afectar la disponibilidad eléctrica local. La demostración de 76 vulnerabilidades en apenas tres días es un recordatorio de que la superficie de ataque en el ecosistema automotriz sigue creciendo tanto como lo hace la complejidad de sus componentes.
En el podio de premiados, el equipo Fuzzware.io se alzó con el primer puesto y con 215.000 dólares tras una serie de demostraciones exitosas. Entre sus objetivos figuraron estaciones y controladores de carga como el Alpitronic HYC50 y dispositivos de marcas como Autel, además de receptores multimedia como el Kenwood DNR1007XR. En el segundo día ampliaron su racha sobre controladores industriales y cargadores domésticos —incluyendo un fallo en el controlador CHARX SEC‑3150 de Phoenix Contact, así como en estaciones ChargePoint Home Flex y Grizzl‑E— y terminaron con una pequeña recompensa adicional por una colisión de bugs al intentar rootear un receptor Alpine iLX‑F511. Otros equipos como DDOS y Synactiv también se llevaron importantes premios; Synacktiv, por ejemplo, encadenó una escritura fuera de límites con una fuga de información para comprometer el sistema de infoentretenimiento de Tesla mediante un ataque por USB. Estos detalles y las pruebas completas pueden consultarse en el informe de ZDI sobre los días del concurso (ZDI: Day Three Results).
Participaciones como ésta sirven para dos cosas a la vez: ponen de manifiesto las debilidades reales que existen hoy en día y crean una presión efectiva sobre los fabricantes para que inviertan en parches y en mejores prácticas de desarrollo seguro. Sin embargo, la simple existencia de un parche no bajo demanda no basta: la industria automotriz debe asegurar que las actualizaciones lleguen a los vehículos y equipos en el terreno, idealmente mediante mecanismos OTA (over‑the‑air) seguros, y separar funciones críticas en silos que dificulten un movimiento lateral tras una primera intrusión. La gestión de dependencias, la revisión de componentes de terceras partes y la adopción de controles como la firma de firmware y arranque seguro son medidas que adquieren mayor importancia conforme el coche se convierte en un nodo más de la red.
Desde la perspectiva del usuario y del operador, estas pruebas demuestran que la seguridad ya no es una cuestión exclusiva del fabricante: talleres, gestores de flotas y propietarios deberían exigir transparencia sobre cómo se gestionan las actualizaciones y qué garantías existen para el aislamiento de sistemas críticos. Para las ciudades y operadores de infraestructuras, las vulnerabilidades en cargadores EV implican riesgos operativos y económicos que requieren coordinación entre fabricantes, proveedores de energía y reguladores.
Los concursos como Pwn2Own funcionan como un acelerador de seguridad: incentivan a quienes descubren fallos a reportarlos de forma responsable en lugar de vender exploits en mercados grises, y generan datos útiles para priorizar correcciones. Pero el premio en dinero no es el verdadero éxito: el verdadero valor está en que esas vulnerabilidades dejen de existir en equipos reales que circulan o suministran energía. La responsabilidad recae ahora en los fabricantes y en los integradores de sistemas para transformar estos hallazgos en actualizaciones efectivas y auditorías continuas.
Si quieres profundizar en los resultados y las técnicas demostradas durante el evento, los informes oficiales de ZDI son la mejor fuente primaria: resumen del cierre del concurso y la programación completa ofrecen listas de objetivos, descripciones de las técnicas utilizadas y la cronología de divulgación a los fabricantes.
La lección para 2026 es clara: mientras la movilidad y la electrificación avanzan a gran velocidad, la ciberseguridad debe ser una prioridad temprana y mantenida. Invertir en diseño seguro, procesos de actualización fiables y transparencia en la divulgación de fallos no es opcional; es esencial para proteger a usuarios, flotas y la infraestructura que soporta la movilidad eléctrica.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...