Durante la primera jornada del concurso Pwn2Own Automotive 2026, celebrado en Tokio dentro del evento Automotive World, investigadores de seguridad demostraron con hechos por qué los sistemas conectados de los coches y las infraestructuras de carga eléctricos siguen siendo un blanco crítico: lograron explotar decenas de vulnerabilidades de día cero y se llevaron más de medio millón de dólares sólo por comprometer el sistema de infoentretenimiento de Tesla.
El certamen, organizado por la Zero Day Initiative (ZDI) de Trend Micro, se convirtió en una exhibición abierta de cadenas de exploits, donde pequeños fallos encadenados permiten tomar el control de dispositivos que, a simple vista, sólo sirven para reproducir música o gestionar un punto de carga. La propia ZDI publica el calendario y los resultados del evento; en su blog están disponibles tanto la programación completa como el informe del primer día, que sirven como fuente directa de lo ocurrido (programa y resultados del día 1).
Entre los equipos destacados, Synacktiv encadenó una filtración de información con un fallo de escritura fuera de límites para escalar privilegios al nivel de root en el sistema de infoentretenimiento de Tesla mediante un ataque vía USB, y también demostró ejecución de código a nivel raíz en un receptor multimedia de Sony. Otros participantes como Fuzzware.io, PetoWorks o el grupo conocido como DDOS consiguieron romper la defensa de estaciones de carga y navegadores para automóviles, acumulando premios significativos por cada exploit exitoso. En total se registraron decenas de vulnerabilidades explotadas el primer día, con recompensas que se cuentan en cientos de miles de dólares, algo que refleja la alta valoración que la industria y los organizadores dan a este tipo de hallazgos.
¿Por qué importa tanto que se hackee un sistema de infoentretenimiento o una estación de carga? Porque en los coches modernos esos componentes ya no son aislados: a través de redes internas, actualizaciones OTA o puertos físicos pueden actuar como vectores para alcanzar elementos críticos como el controlador CAN, los sistemas de asistencia al conductor o la telemetría. En el caso de las infraestructuras de carga, una vulnerabilidad puede permitir desde manipular facturación hasta interrumpir la disponibilidad de carga o, en escenarios extremos, afectar a la seguridad física del vehículo o al suministro eléctrico local.
Pwn2Own es un ejercicio deliberado de riesgo controlado: los investigadores muestran exploits reales contra dispositivos actualizados y, a cambio de un pago, reportan las vulnerabilidades a los fabricantes para que preparen parches. La ZDI aplica una ventana de divulgación responsable —los vendedores disponen de un plazo de reparación antes de que los detalles se hagan públicos—, y esa política busca equilibrar la necesidad de que la industria arregle fallos con la transparencia sobre su existencia. La propia ZDI y Trend Micro explican en sus canales cómo funcionan estos procesos y por qué son importantes para la seguridad global del ecosistema conectado (Zero Day Initiative).
El concurso deja dos grandes lecciones: primero, que los sistemas que gestionan el entretenimiento, la navegación y la carga están suficientemente complejos como para contener múltiples fallos explotables; segundo, que la economía de la seguridad incentivada —pagos directos por vulnerabilidades— sigue siendo una forma efectiva de que las empresas conozcan y arreglen sus problemas antes de que un atacante malintencionado los abuse.
En paralelo a las pruebas en el escenario, el calendario del evento anunciaba que en la segunda jornada se intensificarían los intentos contra cargadores concretos, con varios equipos compitiendo por comprometer modelos como el Grizzl‑E Smart 40A, el Autel MaxiCharger o el ChargePoint Home Flex. Cada intento exitoso de “root” en estos equipos conllevaba premios robustos, una mecánica que atrae a investigadores especializados en hardware y firmware.
Para comprender mejor la importancia de este tipo de ejercicios conviene recordar que las regulaciones y guías de ciberseguridad automotriz han avanzado en los últimos años. Organismos y agencias como la Administración Nacional de Seguridad del Tráfico en las Carreteras de Estados Unidos (NHTSA) y organismos internacionales han puesto énfasis en prácticas y estándares que buscan reducir la superficie de ataque en los vehículos conectados y sus infraestructuras relacionadas (NHTSA – Cybersecurity). La colaboración entre investigadores independientes, fabricantes y reguladores es clave para que las mejoras lleguen al parque circulante.
Al final, los demostrativos públicos como Pwn2Own actúan como un termómetro: muestran vulnerabilidades reales, insuflan urgencia para aplicar parches y ayudan a definir mejores prácticas de diseño y segmentación de redes dentro del vehículo. Si bien ver a un Tesla o una estación de carga siendo comprometidos puede sonar alarmante, el objetivo de estos eventos es precisamente que esos fallos se corrijan antes de que alguien con intenciones criminales pueda explotarlos.
Si quieres seguir los anuncios y las actualizaciones en directo, los canales oficiales de la organización ofrecen el reporte pormenorizado de cada reto, así como enlaces a las respuestas de los fabricantes y las correcciones publicadas tras el periodo de 90 días que se establece para el parcheo. Para ampliar contexto sobre el congreso que acoge el concurso, la web de Automotive World contiene la información del evento y las sesiones en las que se está desarrollando Pwn2Own (Automotive World).
En definitiva, mientras la movilidad se digitaliza y electrifica, la seguridad pasa de ser un requisito complementario a ser una necesidad estructural. Eventos como Pwn2Own Automotive no sólo premian a quienes encuentran fallos, sino que ayudan a construir un ecosistema donde los coches y las redes de carga sean más confiables para todos.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...