Cómo inició todo
Más que tratarse solamente de una competencia, Pwn2Own es un lugar para la innovación y un poderoso recordatorio de la importancia de la seguridad. Expone vulnerabilidades en los dispositivos y software que usamos comúnmente, sirviendo como un punto de control para los avances de ciberseguridad que ocurrieron desde la competencia del año anterior.
Dede su inicio en la conferencia de seguridad CanSecWest en Vancouver, Canadá, en 2007, Pwn2Own ha crecido significativamente y ahora realiza 3 eventos al año.
La evolución de Pwn2Own: cosechando lo que se sembró
Pwn2Own ha crecido desde sus inicios como una pequeña competencia con premios modestos a ser la competencia de hacking más prestigiosa del mundo, con premios de más de $1 millón de dólares por evento. Su evolución refleja el cambiante panorama de amenazas, expandiéndose para cubrir navegadores, sistemas operativos, servidores y, desde 2019, automóviles. Esto ha permitido que la Zero Day Initiative™ (ZDI) de Trend establezca relaciones con investigadores de todo el mundo.
El proceso de revelación de Pwn2Own es uno de los mejores foros para que los vendors y los investigadores colaboren directamente, discutiendo las vulnerabilidades en tiempo real. Esto nos ha permitido establecer relaciones con investigadores de todo el mundo.
Pwn2Own 2025
Otoño 2025
Eventos emocionantes próximamente
Estamos trabajando en algo grande. Manténgase pendiente y regrese pronto para conocer todos los detalles, ¡no querrá perdérselo!
Mayo 2025
Pwn2Own Berlín
¡Pwn2Own llega a Berlín, Alemania! Manténgase pendiente para conocer las reglas, el lugar, los premios y mucho más.
Conforme nos acercamos al aniversario 17 de la competencia original, estamos evolucionando para reflejar el cambiante panorama de las investigaciones de cibeseguridad. Nuestra meta es mantenernos alineados con la comunidad de la seguridad ofensiva, asegurando que los investigadores tengan la oportunidad de demostrar su expertise en los últimos avances de seguridad de los vendors más importantes de la industria.
Enero 2025
Una retrospectiva de Pwn2Own Automotive 2025
¿Supo del desafío para la ciberseguridad automotriz en Pwn2Own Automotive 2025? Reunió a los mayores talentos para demostrar sus habilidades ante los líderes de la industria, mientras que el evento en sí impulsó la innovación para hacer que los automóviles sean más seguros para todos. El evento ofreció una plataforma para compartir contribuciones revolucionarias y también ofreció la oportunidad de ganar premios en efectivo, trofeos y reconocimiento global. Otorgamos $886,250 para 49 zero-days únicos, incluyendo investigaciones sobre los cargadores de vehículos eléctricos que nunca habían sido demostradas en público. Sina Kheirkhah ganó el premio Master of Pwn, con un total de $222,250.
El panorama completo; Pwn2Own a través de los años desde su lanzamiento en 2007
Pwn2Own Automotive 2,025
Tomando lugar del 22 al 24 de enero en Tokio, Japón, el evento reunió a algunos de los mejores investigadores del mundo para poner a prueba los últimos componentes automotrices. Entre los partners clave se encontrarlos los gigantes de la innovación VicOne y Tesla.
Pwn2Own Ireland 2024
Tomando lugar en las oficinas de Trend Micro en Cork, Irlanda, el evento de 2024 introdujo nuevas categorías, incluyendo la categoría de WhatsApp patrocinada por Meta, la cual ofreció ganancias potenciales de hasta $300,000 dólares Además, se introdujeron los dispositivos habilitados por IA por primera vez, incluyendo smartphones, sistemas NAS y cámaras con capacidades de IA. Durante 4 días, presentamos más de $1 millón de dólares en premios para más de 70 vulnerabilidades día-cero y Viettel Cyber Security se llevó el título de Master of Pwn.
Pwn2Own Vancouver 2024
Pwn2Own regresó la la conferencia CanSecWest en Vancouver, Canadá, para destacar los exploits más recientes en servidores y aplicaciones empresariales. En total, se otorgaron $1,132,500 dólares a 29 vulnerabilidades día-cero únicas. Manfred Paul fue el Master of Pwn. Ganó $202,500 dólares y 25 puntos en total al explotar los 4 navegadores durante la competencia (Chrome, Edge, Safari y Firefox). Este evento también introdujo a Docker como un blanco, y el equipo de STAR Labs SG combinó dos bugs para ejecutar su escape de containers. Valentina Palmiotti usó un bug de recuento de referencias para escalar privilegios en Windows 11. Este logro fue el ganador de la categoría “Best Privilege Escalation” en los Pwnie Awards 2024. Otros puntos destacados incluyeron los exploits de Oracle VirtualBox y escalaciones de privilegios en todos los sistemas operativos más importantes.
Pwn2Own Automotive 2,024
La primera edición de Pwn2Own Automotive fue transmitida en vivo desde Tokio, Japón, desde la conferencia Automotive World. La respuesta del público superó nuestras expectativas, con más de 45 entregas en todas las categorías. Otorgamos $1,323,750 dólares durante el evento y descubrimos 49 vulnerabilidades únicas día-cero.
Pwn2Own Toronto 2023
La edición para el mercado de consumo de Pwn2Own regresó a las oficinas de Trend en Toronto, y se abordaron teléfonos móviles, sistemas de vigilancia y configuraciones de oficinas. El evento llamó mucho la atención, donde los investigadores demostraron exploits de alto impacto y los vendors realizaron empujes de seguridad de último minuto. Synacktiv demostró un exploit “zero-click” en la cámara Wyze, mientras que un ataque exitoso a un teléfono Xiaomi 13 Pro provocó que Xiaomi deshabilitara partes de su red global en respuesta. En total, se otorgaron $1,038,500 dólares a 58 exploits únicos, y el Team Viettel ganó el título de Master of Pwn con 30 puntos y ganaron $180,000 dólares.
Pwn2Own Vancouver 2,023
En CanSecWest, Pwn2Own reveló 27 vulnerabilidades día-cero y otorgó $1,035,000 dólares y un Tesla Model 3. Los exploits de Tesla estaban dirigidos hacia el Gateway y múltiples subsistemas, obteniendo accesos de raíz. También se vieron compromisos en SharePoint y macOS en M2, y se descubrieron vulnerabilidades extensas en Windows. Synacktiv ganó el título de Master of Pwn con 53 puntos, y ganó $530,000 dólares y el Tesla Model 3.
Pwn2Own Miami 2023
La competencia ICS/SCADA regresó a la conferencia S4 en Miami Beach, Florida, revelando 27 vulnerabilidades en 10 productos en 16 propuestas. La IA jugó un rol por la primera vez, con Claroty usando ChatGPT en una cadena de seis exploits que estaba dirigida hacia Softing Secure Integration Server. Los premios alcanzaron un total de $153,500 dólares y el Team 82 con Claroty ganaron el título Master of Pwn con $98,500 dólares.
Pwn2Own Toronto 2022
El primer Pwn2Own en Toronto, que tuvo como sede las oficinas de Trend Micro, se convirtió en el evento más grande de la historia, con 66 propuestas de 36 equipos abarcando 13 productos. Los premios llegaron a un total de $989,750 dólares para 63 vulnerabilidades día-cero. Los puntos destacados incluyen la categoría de SOHO Smashup, exploits en el Samsung Galaxy S22 y una impresora Lexmark que se convirtió en un jukebox. DEVCORE ganó Master of Pwn con $142,500 dólares.
Pwn2Own Vancouver 2022
El evento del 15 aniversario de Pwn2Own en Vancouver otorgó $1,155,000 dólares para 25 vulnerabilidades día-cero. El Día Uno impuso un récord de $800,000 dólares, incluyendo exploits en Microsoft Teams. El Día Dos vio hacks de Tesla, y el Día Tres vio escalaciones de privilegios en Windows 11. STAR Labs ganó Master of Pwn con 27 puntos y ganó $270,000 dólares.
Pwn2Own Miami 2022
La segunda edición de Pwn2Own en Miami, Florida, tuvo lugar del 19 al 21 de abril de 2022, en el Fillmore en South Beach, Miami. Durante la competencia de tres días, los participantes ganaron $400,000 dólares por 26 vulnerabilidades día-cero únicas. El equipo de Daan Keuper y Thijs Alkemade de Computest Sector 7 ganó Master of Pwn, y ganaron $90,000 dólares. Daan Keuper y Thijs Alkemade demostraron uno de los puntos más importantes de la competencia al evadir la revisión de aplicaciones en el OPC UA .NET Standard de OPC Foundation.
Pwn2Own Austin 2021
Con restricciones de viaje, la versión para el mercado de consumo de Pwn2Own se llevó a cabo en las oficinas de la ZDI de Trend en Austin, Texas. El evento atrajo mucha atención por parte de la comunidad de investigación y resultó ser el evento más grande en la historia de Pwn2Own, con 58 propuestas de 22 equipos distintos que abarcaron 13 productos diferentes. Se otorgaron $1,081,250 dólares por 61 vulnerabilidades únicas día-cero: el segundo resultado más grande en la historia de Pwn2Own. Un momento destacado fue un exploit que convirtió una impresora de HP en un jukebox que tocó la canción Thunderstruck de AC/DC por medio de su bocina integrada.
Pwn2Own Vancouver 2021 (From Austin with Love)
Del 6 al 8 de abril de 2021, la competencia Pwn2Own se llevó a cabo en Austin, Texas, y de forma virtual. Este año introdujo la categoría de Enterprise Communications, con productos como Microsoft Teams y Zoom Messenger. En el primer día, Apple Safari, Microsoft Exchange, Microsoft Teams, Windows 10 y Ubuntu se vieron comprometidos. Zoom Messenger cayó ante un exploit zero-click en el segundo día, y también se explotaron exitosamente a Parallels Desktop, Google Chrome y Microsoft Edge. El concurso otorgó más de $1,200,000 dólares por 23 vulnerabilidades únicas. El título de Master of Pwn se dio a un empate entre tres equipos: Team DEVCORE, OV y Daan Keuper y Thijs Alkemade.
Pwn2Own Tokyo (Live from Toronto) 2020
Debido a las restricciones impuestas en respuesta a la pandemia de COVID-19, la conferencia PacSec se celebró de forma virtual. El evento se transmitió en vivo en Twitch y YouTube, y se proyectaron entrevistas y videos antiguos entre los segmentos en vivo. Esta competencia también vio la inclusión de servidores SAN (Storage Service Network) como un blanco. La competencia entregó $136,500 dólares a 23 bugs únicos. Pedro Ribeiro y Radek Domanski ganaron el título de Master of Pwn con dos exploits SAN exitosos.
Pwn2Own Vancouver 2020
Debido a la pandemia de COVID-19, el evento se llevó a cabo de forma virtual, permitiendo que los investigadores enviaran sus exploits desde antes. Los investigadores de la ZDI de Trend ejecutaron los exploits desde sus casas, grabando sus pantallas y hablando por Zoom con los participantes. Durante 2 días, se otorgaron $270,000 dólares a 6 demostraciones exitosas de 13 bugs únicos en Adobe Reader, Apple Safari y macOS, Microsoft Windows y Oracle VirtualBox. Como un punto destacado, el investigador de la ZDI Lucas Leong demostró un bug sin parchar de Oracle VirtualBox. Amat Cama y Richard Zhu se llevaron el título de Master of Pwn y $90,000 dólares de premio.
Pwn2Own Miami 2020
El primer evento de Pwn2Own en Miami ocurrió durante la conferencia S4, y se enfocó en los Sistemas de Control Industrial (ICS). Los investigadores se enfocaron en múltiples categorías, incluyendo los Servidores de Control, Servidores OPC Unified Architecture (OPC), Gateways DNP3, Human Machine Interfaces (HMI) y también Engineering Workstation Software (EWS). 8 grupos de competidores explotaron exitosamente al menos un blanco en cada categoría. Se otorgaron más de $280,000 dólares en premios y en efectivo a más de dos docenas de vulnerabilidades día-cero. Steven Seeley y Chris Anastasio ganaron el título de Master of Pwn con $80,000 dólares en ganancias.
Pwn2Own Tokyo 2019
Facebook trajo este año su sistema Oculus Quest VR a la competencia. También expandimos el concurso para incluir más dispositivos IoT, como bocinas inteligentes, televisiones y routers inalámbricos. En general, se otorgaron más de $315,000 dólares durante los dos días del concurso a 18 bugs distintos en varios productos. Con 18.5 puntos, el duo Fluoroacetate compuesto por Richard Zhu y Amat Cama retuvo el título de Master of Pwn por tercera vez consecutiva, y ganaron $195,000 dólares.
Pwn2Own Vancouver 2019
Tesla presentó un Model 3 en alianza con nosotros, ofreciendo 6 puntos focales para investigaciones dentro del alcance. Esto se agrega a categorías tradicionales como navegadores web, software de virtualización, aplicaciones enterprise y Windows RDP. Durante tres días, Trend ZDI otorgó $545,000 a 19 vulnerabilidades únicas. Amat Cama y Richard Zhu reclamaron el título de Master of Pwn, ganando $375,000 y el Model 3.
Pwn2Own Tokyo 2018
Agregamos dispositivos IoT a la competencia y le cambiamos el nombre de Mobile Pwn2Own a Pwn2Own Tokyo. Aunque se incluyeron en la competencia bocinas inteligentes, cámaras web y relojes inteligentes, ninguno de estos dispositivos fue un blanco. Se otorgaron $325,000 dólares de premio a 18 vulnerabilidades día-cero. Con 45 puntos, Amat Cama y Richard Zhu ganaron el título de Master of Pwn y $215,000 dólares.
Pwn2Own 2018
Trend ZDI se alió con Microsoft y recibimos a VMware como patrocinador para 5 categorías: virtualización, navegadores web, aplicaciones enterprise, servidores y una categoría especial de Windows Insider Preview Challenge. Disminuyó la participación corporativa, ya que los equipos provenientes de China ya no pudieron participar. La competencia otorgó $267,000 dólares para una docena de exploits día-cero y Richard Zhu (fluorescence) se tituló como Master of Pwn.
Mobile Pwn2Own 2017 (Tokyo, Japan)
Este fue nuestra competencia para dispositivos móviles más grande hasta el momento, donde otorgamos $515,000 dólares en premios a 32 bugs únicos. Tencent Keen Security Lab se llevó el título de Master of Pwn con 44 puntos. Este fue la primera ocasión en la que abortar un intento incurrió en puntos negativos para lograr el título de Master of Pwn.
Pwn2Own 2017
El décimo aniversario de la competencia fue el más popular hasta el momento, y Trend ZDI premió con $833,000 dólares a 51 bugs día-cero diferentes. El alto número de propuestas y entregas requirió de dos tracks en el Día 2 para revisarlas todas. La competencia también fue testigo de dos elevaciones en OS de huésped a host en VMware. El equipo de 360 Security ganó Master of Pwn con 63 puntos en total. Este año los equipos entregaros sus propuestas antes de la competencia en un esfuerzo estratégico para superar las propuestas de sus competidores.
Mobile Pwn2Own 2016 (Tokyo, Japan)
La competencia regresó a Tokio con el iPhone 6s, el Google Nexus 6p y el Galaxy S7. Todos fueron explotados, y se entregaron $375,000 dólares en premios. Tencent Keen Security Lab Team ganó el título de Master of Pwn con 45 puntos, y recibieron una recompensa de $210,000 dólares
Pwn2Own 2016
Este año vio la introducción del Master of Pwn: el título concedido al ganador en general de Pwn2Own. Ya que el orden de la competencia es decidido al azar, había competidores que podían sacar un mal turno y, a pesar de presentar una buena propuesta, recibían un premio menor debido a que las rondas disminuían en valor conforme iban sucediendo. Sin embargo, los puntos que se otorgaban a cada entrega exitosa no disminuyen. Alguien con un mal turno aún puede acumular un buen número de puntos. El equipo Tencent Security Team Sniper se llevó el primer título de Master of Pwn con 38 puntos. En general, la competencia otorgó $460,000 dólares en total a 21 vulnerabilidades.
Mobile Pwn2Own 2015
El equipo se tomó un año de descanso para determinar cómo procesar las entregas de la mejor manera mientras cumplían con lo establecido en el Arreglo de Wassenaar.
Pwn2Own 2015
El nivel de dificultad incrementó significativamente en la competencia del 2015, ya que el premio “unicornio” otorgado en el 2014 se convirtió en el estándar de todos los blancos de Windows. Los exploits exitosos necesitaban evadir el Enhanced Mitigation Experience Toolkit (EMET) de Microsoft en todos los blancos de Windows, lograr una ejecución de código SYSTEM-level (con un bono de $25,000 dólares) y dirigirse exitosamente a navegadores de 64 bits con el Enhanced Protected Mode (EPM) habilitado.
Mobile Pwn2Own 2014 (Tokyo, Japan)
Nuestro evento móvil más grande hasta el momento, donde siete teléfonos fueron blanco de siete equipos diferentes. Todos fueron explotados exitosamente.
Pwn2Own 2014
2 días que rompieron récords llevaron a Pwn2Own a entregar cerca de un millón de dólares, entregando $850,000 a 8 propuestas y con $385,000 quedando sin reclamar. La competencia Pwn4Fun entre Google y Trend ZDI recaudó $82,500 dólares para caridad, mientras que el gran premio Exploit Unicorn de $150,000, creado para desafiar a los investigadores más experimentados, no tuvo un ganador.
Mobile Pwn2Own 2013 (Tokyo, Japan)
La competencia llegó a Asia por la primera vez, y el alcance se abrió para incluir ataques basados en Bluetooth, WiFi y USBs. Los premios fueron desde $50,000 hasta $100,000 dólares, con un total de $300,000. Los concursantes de Japón y China se unieron por primera vez a los concursantes de los Estados Unidos, y las ganancias llegaron hasta los $117,500 dólares.
Pwn2Own 2013
Se expandió el enfoque más allá de las vulnerabilidades en los navegadores web para incluir plug-ins. La bolsa de premios fue de $560,000 dólares, y los premios individuales fueron desde $20,000 hasta $100,000 dólares. Los participantes ganaron $320,000 dólares.
Mobile Pwn2Own 2012 (Amsterdam, Netherlands)
Con sede en Europa por la primera vez, la competencia incluyó nuevas reglas enfocadas solamente en dispositivos móviles, ofreciendo premios que iban desde los $30,000 hasta los $100,000 dólares (para un ataque a celular). Dos grupos de investigadores compitieron exitosamente, ganando un total de $60,000 dólares.
Pwn2Own 2012
La competencia adoptó un formato de “capture-the-flag” con un sistema de puntos para los exploits que se dirigieran a las últimas versiones de IE, Firefox, Safari y Chrome. Se otorgaron premios de $60,000, $30,000 y $15,000 dólares al primer, segundo y tercer lugar respectivamente.
Pwn2Own 2011
Google ingresó como un copatrocinador para Chrome solamente con un bolsa de premios de $125,000 dólares. Las categorías no relacionadas con Chrome ofrecieron $15,000 dólares cada una. Los concursantes se llevaron $60,000 dólares en general, pero nadie intentó un exploit en Chrome.
Pwn2Own 2010
Los concursantes se llevaron un total de $45,000 dólares, $10,000 de los cuales se otorgaron a blancos web y $15,000 a blancos móviles.
Pwn2Own 2008-09
El alcance de Pwn2Own se expandió para incluir una mayor variedad de sistemas operativos y navegadores. Trend ZDI realizó la competencia y acordó de comprar todas las vulnerabilidades demostradas exitosamente, otorgando premios que iban desde los $5,000 hasta los $20,000 dólares por vulnerabildiad. Los concursantes ganaron $15,000 dólares en 2008 y $20,000 en 2009.
Pwn2Own 2007
Iniciada por Dragos Ruiu, fundador de CanSecWest, la primera competencia destacó las vulnerabilidades del sistema operativo de Apple Mac OS X. En aquel momento, había una creencia popular de que OS X era mucho más seguro que su competencia. Inicialmente, solamente se dieron laptops como premios. Sin embargo, en el primer día de la competencia, se le pidió participar a Trend ZDI y esta ofreció comprar cualquier vulnerabilidad usada en la competencia por un precio de $10,000 USD.