Cómo empezó todo
Más que una competición, Pwn2Own es un campo de pruebas para la innovación y un poderoso recordatorio de lo mucho que está en juego en la seguridad. Expone las vulnerabilidades de dispositivos y programas informáticos de uso común, sirviendo como punto de control crítico de los avances en ciberseguridad desde el evento del año anterior.
Desde su creación en la conferencia de seguridad de CanSecWest de 2007 en Vancouver, Canadá, Pwn2Own ha crecido significativamente y ahora cuenta con 3 eventos al año.
La evolución de Pwn2Own: cosechando las recompensas
Pwn2Own ha pasado de ser un pequeño concurso con premios de $10,000 a convertirse en la competición de hacking más prestigiosa del mundo, con premios de más de un millón de dólares por evento. Sus reglas en evolución reflejan el cambiante panorama de amenazas, expandiéndose para cubrir navegadores, sistemas operativos, servidores y, desde 2019, automóviles. Esta prominencia ha permitido a Zero Day Initiative de Trend (ZDI) interactuar con los principales investigadores de todo el mundo.
El proceso de divulgación de Pwn2Own es uno de los mejores foros para que los proveedores e investigadores colaboren directamente, analizando las vulnerabilidades en tiempo real, lo que nos ha permitido colaborar con los mejores investigadores de todo el mundo.
Pwn2Own 2025
Otoño de 2025
Se avecinan acontecimientos emocionantes
Estamos reuniendo cosas y trabajando en algo grande. Esté atento y vuelva pronto para conocer todos los detalles: ¡no querrá perdérselo!
Mayo 2025
Pwn2Own Berlin
Pwn2Own aterriza en Berlín, Alemania, este mayo con nuevos desafíos para los principales investigadores de seguridad del mundo. Este año, presentamos una categoría de IA que va más allá de la inyección rápida para la ejecución completa de código en marcos de IA. La categoría Tesla también vuelve, con investigadores centrados en los últimos sistemas de vehículos, incluidos los modelos 3 y Y de 2024. Con más de 1.000.000 USD en premios y categorías que abarcan navegadores web, seguridad en la nube, aplicaciones empresariales y mucho más, la competencia sigue evolucionando con el panorama de la seguridad.
Enero 2025
Un vistazo a Pwn2Own Automotive 2025
¿Te has enterado del reto definitivo para la ciberseguridad en la automoción en Pwn2Own Automotive 2025? Reunió a los mejores talentos para mostrar sus habilidades a los líderes de la industria a la vez que impulsaba la innovación para hacer que los vehículos fueran más seguros para todos. El acto ofreció una plataforma para contribuciones innovadoras y la oportunidad de ganar premios en metálico, trofeos y reconocimiento mundial. Concedimos $886,250 para 49 0-days únicos, incluida la investigación sobre cargadores de vehículos eléctricos que nunca antes se habían demostrado públicamente. Sina Kheirkhah ganó Master of Pwn con $22,250 ganados en total.
La imagen completa: Pwn2Own a lo largo de los años desde su lanzamiento en 2007
Pwn2Own Automotive 2025
El evento, que tuvo lugar entre el 22 y el 24 de enero en Tokio, reunió a algunos de los mejores investigadores del mundo para probar los componentes automotrices más recientes. Entre los principales partners se encontraban los gigantes de la innovación VicOne y Tesla.
Pwn2Own Ireland 2024
Celebrado en las oficinas de Trend Micro en Cork, Irlanda, el evento de 2024 introdujo nuevas categorías, incluida la categoría WhatsApp patrocinada por Meta, que ofreció ganancias potenciales de hasta $300,000. Además, se presentaron por primera vez dispositivos con IA, como smartphones, sistemas NAS y cámaras con capacidades de IA. Durante 4 días, concedimos más de 1 millón de dólares por más de 70 vulnerabilidades 0-day y coronamos a Viettel Cyber Security como Master of Pwn.
Pwn2Own Vancouver 2024
Pwn2Own volvió a la conferencia CanSecWest de Vancouver (Canadá) para poner de relieve los últimos exploits en servidores y aplicaciones empresariales. En total, concedimos $1,132,500 por 29 0-days únicos. Manfred Paul fue coronado Maestro del Pwn. Ganó $202,500 dólares y 25 puntos en total al explotar los cuatro navegadores durante la competición (Chrome, Edge, Safari y Firefox). Este evento también introdujo Docker como objetivo, y el equipo de STAR Labs SG combinó dos errores para ejecutar su escape de contenedores. Valentina Palmiotti utilizó un error Improper Update of Reference Count para escalar privilegios en Windows 11. Más tarde fue galardonado con el premio a la «Mejor Escalada de Privilegios» en los Premios Pwnie 2024. Otros aspectos destacados fueron los exploits de Oracle VirtualBox y las escaladas de privilegios en los principales sistemas operativos.
Pwn2Own Automotive 2024
La inauguración de Pwn2Own Automotive se transmitió en directo desde Tokio en la conferencia Automotive World. La respuesta ha superado nuestras expectativas, con más de 45 candidaturas en todas las categorías. Concedimos $1,323,750 a lo largo del evento y descubrimos 49 zero-days únicos.
Pwn2Own Toronto 2023
La edición para consumidores de Pwn2Own volvió a las oficinas de Trend en Toronto, con objetivos como teléfonos móviles, sistemas de vigilancia y pequeñas instalaciones de oficina. El acontecimiento atrajo una gran atención, ya que los proveedores hicieron avances de última hora en materia de seguridad y los investigadores mostraron exploits de gran repercusión. Synacktiv mostró un exploit zero-click en la cámara Wyze, mientras que un ataque exitoso en el Xiaomi 13 Pro llevó a Xiaomi a desactivar partes de su red global. En total, se concedieron $1,038,500 dólares por 58 0-days únicos, y el equipo Viettel se hizo con el título de Master of Pwn con $180,000 dólares y 30 puntos.
Pwn2Own Vancouver 2023
En CanSecWest, Pwn2Own reveló 27 zero-days y concedió $1,035,000 y un Tesla Model 3. Los exploits de Tesla iban dirigidos al Gateway y a múltiples subsistemas, obteniendo acceso root. SharePoint y macOS en M2 también se vieron comprometidos, y se descubrieron vulnerabilidades de gran alcance en Windows. Synacktiv ganó Master of Pwn con $530,000, 53 puntos y el Tesla Model 3.
Pwn2Own Miami 2023
El concurso ICS/SCADA volvió a la conferencia S4 en Miami Beach, Florida, revelando 27 zero-days en 10 productos de 16 participantes. Por primera vez, la IA desempeñó un papel, ya que Claroty utilizó ChatGPT en una cadena de seis exploits dirigidos a Softing Secure Integration Server. Los premios ascendieron a un total de $153,500, y el Equipo 82 de Claroty se hizo con el Master of Pwn, con $98,500.
Pwn2Own Toronto 2022
El primer Toronto Pwn2Own, celebrado en las oficinas de Trend Micro, se convirtió en el mayor evento de la historia, con 66 participantes de 36 equipos que se enfrentaron a 13 productos. Los premios sumaron un total de $989,750 para 63 zero-days. Entre los aspectos destacados se encontraba la categoría SOHO Smashup, exploits de Samsung Galaxy S22 y una impresora Lexmark convertida en jukebox. DEVCORE ganó Master of Pwn con $142,500.
Pwn2Own Vancouver 2022
El 15º aniversario de Pwn2Own en Vancouver premió con $1.155.000 a 25 zero-days. El primer día se batió un récord de $800,000, incluidos los exploits de Microsoft Teams. En la segunda jornada se hackeó el sistema de infoentretenimiento de Tesla, mientras que en la tercera se produjeron escaladas de privilegios en Windows 11. STAR Labs obtuvo el título de Master of Pwn con $27,000 y 27 puntos.
Pwn2Own Miami 2022
La segunda edición de Pwn2Own Miami, Florida, tuvo lugar del 19 al 21 de abril de 2022 en el Fillmore en South Beach, Miami. Durante los tres días que duró el concurso, los concursantes ganaron $400,000 por 26 zero-days únicos. El equipo de Daan Keuper y Thijs Alkemade de Computest Sector 7 recibió el premio Master of Pwn, que ganó $90,000. Daan Keuper y Thijs Alkemade mostraron uno de los aspectos más destacados del concurso al saltarse la comprobación de aplicaciones de confianza en el estándar OPC UA .NET de la Fundación OPC.
Pwn2Own Austin 2021
Debido a las continuas restricciones de viaje, la versión para consumidores de Pwn2Own se celebró en la sede central de Trend ZDI en Austin, Texas. Este evento atrajo mucho la atención de la comunidad investigadora y resultó ser el mayor evento de la historia de Pwn2Own, con 58 entradas separadas de más de 22 equipos diferentes dirigidas a 13 productos diferentes. Finalmente, concedimos $1,081,250 por 61 vulnerabilidades únicas de 0-day, el segundo mayor pago de la historia de Pwn2Own. Un momento destacado fue cuando un exploit convirtió una impresora HP en una máquina de discos, reproduciendo Thunderstruck de AC/DC a través de su altavoz interno.
Pwn2Own Vancouver 2021 (desde Austin con amor)
Del 6 al 8 de abril de 2021, el concurso Pwn2Own se celebró en Austin (Texas) y de forma virtual. Este año presentamos la categoría de Comunicaciones empresariales, con Microsoft Teams y Zoom Messenger. El primer día, Apple Safari, Microsoft Exchange, Microsoft Teams, Windows 10 y Ubuntu se vieron comprometidos. Zoom Messenger cayó ante un exploit de zero-click en el segundo día, con Parallels Desktop, Google Chrome y Microsoft Edge también explotados con éxito. El concurso otorgó más de $1,200,000 por 23 zero-days. El título de Master of Pwn se repartió en un triple empate entre Team DEVCORE, OV, y Daan Keuper y Thijs Alkemade.
Pwn2Own Tokyo (en directo desde Toronto) 2020
Con el continuo confinamiento de la COVID-19, la conferencia de PacSec se volvió a celebrar virtualmente. El evento se retransmitió en directo a través de Twitch y YouTube, mientras que las entrevistas y los vídeos antiguos rellenaban el hueco entre los intentos. En este concurso también se incluyeron como objetivo los servidores de redes de área de almacenamiento (SAN). El concurso premió con $136,500 a 23 bugs únicos. Pedro Ribeiro y Radek Domanski obtuvieron el título de Masrer de Pwn con dos exitosas vulnerabilidades SAN.
Pwn2Own Vancouver 2020
Debido a la COVID-19, el evento se llevó a cabo de forma virtual, lo que permitió a los investigadores enviar sus exploits con antelación. Los investigadores de Trend ZDI ejecutaron las vulnerabilidades desde casa, grabando tanto la pantalla como una llamada de Zoom con los participantes. A lo largo de 2 días, 6 demostraciones exitosas recibieron $270,000, con 13 errores únicos adquiridos en Adobe Reader, Apple Safari y macOS, Microsoft Windows y Oracle VirtualBox. Como plato fuerte, el investigador de Trend ZDI Lucas Leong mostró un fallo sin parche de Oracle VirtualBox. Amat Cama y Richard Zhu ganaron el título de Master de Pwn con $90,000 en ganancias.
Pwn2Own Miami 2020
Celebrado en la conferencia S4, el primer Pwn2Own de Miami se centró en los sistemas de control industrial (ICS). Los investigadores atacaron varias categorías, incluidos servidores de control, servidores de arquitectura unificada OPC (OPC UA), puertas de enlace DNP3, interfaces hombre-máquina (HMI) y software de estaciones de trabajo de ingeniería (EWS). 8 grupos de competidores explotaron con éxito al menos un objetivo de cada categoría. Se concedieron más de $280,000 en metálico y premios, y se adquirieron más de dos docenas de vulnerabilidades de día cero. Steven Seeley y Chris Anastasio ganaron el título de Master de Pwn con $80,000 en ganancias.
Pwn2Own Tokyo 2019
Facebook participó en el concurso con su sistema de realidad virtual Oculus Quest. También ampliamos el concurso para incluir más dispositivos IoT, como altavoces inteligentes, televisores y routers inalámbricos. En total, concedimos más de $315,000 a lo largo de los dos días que duró el concurso mientras compramos 18 errores diferentes en los diversos productos. Con $195,000 dólares y 18,5 puntos, el dúo de Fluoroacetato formado por Richard Zhu y Amat Cama revalidó su título de Master of Pwn, el tercero consecutivo.
Pwn2Own Vancouver 2019
En asociación con nosotros, Tesla presentó un Model 3 en el concurso, ofreciendo 6 puntos focales para la investigación en el ámbito. Esta incorporación se unió a categorías tradicionales como navegadores web, software de virtualización, aplicaciones empresariales y Windows RDP. Durante tres días, Trend ZDI concedió $545,000 por 19 vulnerabilidades únicas. Amat Cama y Richard Zhu se hicieron con el título de Master de Pwn, ganando $375,000 y el Modelo 3.
Pwn2Own Tokyo 2018
Hemos añadido objetivos IoT al concurso y lo hemos renombrado de Mobile Pwn2Own a Pwn2Own Tokyo. Aunque en el concurso se incluyeron altavoces inteligentes, cámaras web y relojes inteligentes, ninguno de estos dispositivos fue el objetivo. El concurso concedió un total de $325,000 al comprar 18 informes de errores de 0-days. Con 45 puntos y $215,000, Amat Cama y Richard Zhu obtuvieron el título de Master de Pwn.
Pwn2Own 2018
Trend ZDI se asoció con Microsoft para dar la bienvenida a VMware como patrocinador de 5 categorías de objetivos: virtualización, navegadores web, aplicaciones empresariales, servidores y una categoría especial Windows Insider Preview Challenge. La participación de equipos patrocinados por empresas disminuyó, ya que los equipos chinos ya no podían participar. El concurso premió con $267,000 a una docena de exploits 0-day y coronó a Richard Zhu (fluorescence) como Maestro del Pwn.
Mobile Pwn2Own 2017 (Tokio, Japón)
Como nuestro mayor concurso de móviles de la historia, compramos un total de 32 bugs únicos durante el concurso, con lo que los concursantes ganaron $515,000 en premios. Tencent Keen Security Lab fue coronado Master of Pwn con 44 puntos. Este fue el primer concurso en el que retirarse de un intento conllevaba puntos negativos para el Master of Pwn.
Pwn2Own 2017
El décimo aniversario del concurso fue el más ajetreado de la historia, ya que Trend ZDI gastó $833,000 en la adquisición de 51 fallos 0-day diferentes. El elevado número de candidaturas requirió la celebración de dos sesiones el segundo día para dar cabida a todas ellas. En este concurso también se produjeron con éxito dos elevaciones de sistema operativo de invitado a host en VMware. El equipo de 360 Security ganó 63 puntos en total en Master of Pwn. Este año, los equipos enviaron errores antes del concurso en un esfuerzo estratégico para eliminar las vulnerabilidades de sus competidores.
Mobile Pwn2Own 2016 (Tokio, Japón)
El concurso volvió a Tokio con el iPhone 6s, el Google Nexus 6p y el Galaxy S7 como objetivos.Todos fueron explotados ya que el concurso premió con $375,000 en total. Tencent Keen Security Lab Team recibió el título de Master of Pwn con un total de $210,000 y 45 puntos.
Pwn2Own 2016
Este año se ha introducido el Master of Pwn, el título del ganador absoluto de Pwn2Own. Dado que el orden del concurso se decide mediante un sorteo aleatorio, los concursantes con un sorteo desafortunado podrían presentar una gran investigación, pero recibir menos dinero, ya que las rondas posteriores bajan de valor. Sin embargo, los puntos concedidos por cada participación con éxito no disminuyen. EAlguien podría tener un empate desafortunado y aun así acumular el mayor número de puntos. El equipo de Tencent Security Team Sniper se hizo con el primer título de Máster de lápiz con 38 puntos. En total, el concurso concedió $460,000 por 21 vulnerabilidades.
Mobile Pwn2Own 2015
El equipo se tomó un año sabático para determinar la mejor manera de procesar las propuestas sin dejar de cumplir el Acuerdo de Wassanaar.
Pwn2Own 2015
El nivel de dificultad aumentó significativamente en el concurso de 2015, ya que el premio “unicornio” de 2014 se convirtió en el estándar para todos los objetivos de Windows. Los exploits exitosos debían evadir el Enhanced Mitigation Experience Toolkit (EMET) de Microsoft en todos los objetivos de Windows, lograr la ejecución de código a nivel de SISTEMA (con una bonificación de $25,000) y atacar navegadores de 64 bits con el Enhanced Protected Mode (EPM) habilitado.
Mobile Pwn2Own 2014 (Tokio, Japón)
Nuestro mayor evento móvil hasta la fecha, en el que siete teléfonos fueron el objetivo de siete equipos diferentes. Todos fueron explotados con éxito.
Pwn2Own 2014
Dos días de pagos sin precedentes acercaron a Pwn2Own a su primera competición de un millón de dólares, otorgando $850,000 a 8 participantes, con $385,000 en premios sin reclamar. El concurso Pwn4Fun entre Google y Trend ZDI recaudó $82,500 para obras benéficas, mientras que el gran premio Exploit Unicorn de $150,000 -creado para desafiar a los mejores investigadores- no fue reclamado.
Mobile Pwn2Own 2013 (Tokio, Japón)
El concurso se celebró por primera vez en Asia y se amplió su alcance para incluir ataques basados en Bluetooth, WiFi y USB. Los premios oscilaban entre 50,000 y 100,000 dólares, por un total de $300,000. Los participantes de Japón y China se unieron a los participantes de EE. UU. por primera vez, con ganancias totales que alcanzaron los $117,500.
Pwn2Own 2013
Ampliación del enfoque más allá de las vulnerabilidades del navegador web para incluir los plug-ins. La cuantía de los premios ascendía a $560,000, con premios individuales que oscilaban entre $20,000 y $100,000. Los participantes ganaron $320,000.
Mobile Pwn2Own 2012 (Ámsterdam, Países Bajos)
Celebrado por primera vez en Europa, el concurso introdujo nuevas reglas centradas únicamente en los dispositivos móviles, ofreciendo premios que oscilaban entre $30,000 y $100,000 (por un ataque a la banda base celular). 2 grupos de investigadores compitieron con éxito, ganando un total de $60,000.
Pwn2Own 2012
El concurso adoptó un formato de “capture-the-flag” con un sistema de puntos para los exploits dirigidos a las últimas versiones de IE, Firefox, Safari y Chrome. Se concedieron premios de $60,000, $30,000 y $15,000 al primer, segundo y tercer clasificado, respectivamente.
Pwn2Own 2011
Google participó como copatrocinador sólo para Chrome, con una cuantía de premios de $125,000. Las categorías Non-Chrome ofrecían $15,000 cada una. Los concursantes reclamaron $60,000 en total, pero nadie intentó un exploit de Chrome.
Pwn2Own 2010
Los concursantes ganaron un total de $45,000, de los cuales $10,000 se otorgaron por cada objetivo web y $15,000 por cada objetivo móvil.
Pwn2Own 2008-09
El alcance del concurso Pwn2Own se amplió para incluir una gama más amplia de sistemas operativos y navegadores. Trend ZDI organizó el concurso y aceptó comprar todas las vulnerabilidades demostradas con éxito, concediendo premios que oscilaban entre 5.000 y 20.000 dólares por vulnerabilidad. Los participantes ganaron $15,000 en 2008 y $20,000 en 2009.
Pwn2Own 2007
Iniciado por el fundador de CanSecWest, Dragos Ruiu, el concurso inaugural puso de relieve la inseguridad del sistema operativo Mac OS X de Apple. En aquel momento, existía la creencia popular de que OS X era mucho más seguro que sus competidores. Al principio, sólo se ofrecían como premio los ordenadores portátiles. Sin embargo, el primer día de la conferencia se pidió la participación de Trend ZDI, que se ofreció a comprar cualquier vulnerabilidad utilizada en el concurso por un precio fijo de $10.000.