Durante esta semana se celebra en Berlín el evento Pwn2Own 2026. Está organizado por parte de Zero Day Initiative. Allí, investigadores de seguridad buscan romper la seguridad de sistemas y dispositivos a través de vulnerabilidades de día cero. Las propias marcas ofrecen una recompensa, ya que el objetivo es mejorar la protección de los usuarios y poder así corregir posibles problemas que hayan detectado.
En el primer día de este evento ya han encontrado más de 20 vulnerabilidades de día cero. Entre ellas, tres que han permitido hackear a Windows 11. También han hecho lo propio con Edge, el navegador de Microsoft. Vamos a hablarte de ello en este artículo, donde explicaremos todo lo relacionado con estos fallos.
Detectan vulnerabilidades en Windows
Este evento ha estado centrado en amenazas de actualidad, como es el uso de la Inteligencia Artificial, navegadores o sistemas que suelen usar los usuarios constantemente. Un ejemplo claro es Windows 11. En total, como recoge el medio especializado Bleeping Computer, han detectado 24 vulnerabilidades durante la primera jornada de Pwn2Own.
Windows 11 ha sido hackeado un total de tres veces por parte de Angelboy y TwinkleStar03 (en colaboración con el Programa de Prácticas de DEVCORE), Marcin Wiązowski y Kentaro Kawane de GMO Cybersecurity. Cada uno de ellos obtuvo una recompensa de 30.000 dólares (unos 25.600€, al cambio actual).
Estos investigadores pudieron demostrar varias vulnerabilidades de día cero que permiten la escalada de privilegios. Este tipo de ataques permite tomar el control del sistema como si realmente tuviera permisos de administrador. Entre otras cosas, podrían desactivar la seguridad, instalar malware y, en definitiva, controlar por completo ese ordenador.
En cuanto al navegador de Microsoft, el investigador Orange Tsai pudo encadenar 4 bugs distintos para escapar del sandbox de Edge. Obtuvo una de las mayores recompensas del evento, con 175.000 dólares. Hay que indicar que un sandbox es un entorno aislado, como una jaula de seguridad, por si entras en una web que ejecute código malicioso, ese código quede ahí atrapado, y no se expanda al resto del sistema.
Corregir fallos, el objetivo
Hay que tener en cuenta que estos fallos no se hacen públicos de inmediato. Microsoft, por ejemplo, recibe el exploit completo del investigador de seguridad que haya detectado un fallo, los reproduce internamente y empieza a trabajar para poder clasificar la vulnerabilidad, en función de la gravedad, y lanzar parches.
Esos parches, que son las actualizaciones futuras, es lo que realmente corrige el fallo. Es lo que vemos, por ejemplo, con los parches de seguridad mensuales de Windows. Lo mismo ocurre con cualquier programa que uses en tu día a día. Es fundamental siempre tener todo correctamente actualizado y evitar así dar facilidades a los piratas informáticos, para que no puedan infectar el sistema con malware, robar contraseñas o datos personales.
En definitiva, han detectado varias vulnerabilidades en el primer día del evento Pwn2Own 2026 que se celebra en Berlín. De esos fallos, varios han sido de Windows 11, además del navegador Microsoft Edge. También ha habido otras aplicaciones y sistemas en los que han detectado errores que, próximamente, serán corregidos.
Preguntas frecuentes
¿Están atacando estos fallos de Windows?
No, estos fallos que han detectado en este evento no están siendo atacados actualmente. De hecho, el objetivo de todo esto es detectar problemas antes de que realmente un ciberdelincuente pueda usarlos.
¿Hay parches para estos problemas?
No. Son vulnerabilidades de día cero, por lo que no cuentan con solución actualmente. Microsoft, en el caso de Windows 11 y Edge, trabará durante las próximas semanas para lanzar parches lo antes posible.
¿Qué ganan los investigadores de seguridad que detectan vulnerabilidades?
Quienes detecten fallos de este tipo obtienen recompensas económicas. Es la manera que tiene Microsoft, por ejemplo, de incentivar que haya personas que trabajen para encontrar vulnerabilidades desconocidas antes que los ciberdelincuentes.
