Primer día de Pwn2Own Berlin 2026: 24 zero‑days y más de $523.000 en premios

El logro le otorgó:

• $175.000 en premios
• 17.5 puntos “Master of Pwn” en la clasificación del concurso

Los escapes de sandbox son especialmente valiosos porque los navegadores modernos aíslan el contenido web del sistema operativo. Si un atacante logra romper ese aislamiento, puede pasar de una página web comprometida a controlar partes del sistema subyacente.

Windows 11 comprometido tres veces

El sistema operativo insignia de Microsoft también fue vulnerado tres veces durante la primera jornada, cada vez mediante una vulnerabilidad zero‑day de escalada de privilegios.

Los ataques exitosos fueron presentados por:

• Angelboy y TwinkleStar03 (programa de prácticas de DEVCORE) — escalada de privilegios en Windows 11, $30.000.
• Marcin Wiązowski — escalada de privilegios en Windows 11, $30.000.
• Kentaro Kawane de GMO Cybersecurity — escalada de privilegios en Windows 11, $30.000.

Este tipo de fallos permite que un atacante que ya tiene acceso limitado a un sistema consiga privilegios más altos, como administrador o incluso control a nivel SYSTEM, lo que puede facilitar ataques más graves.

Balance del primer día

En total, la jornada inaugural del evento dejó cifras relevantes para el sector:

• 24 vulnerabilidades zero‑day únicas demostradas.
• 22 intentos de explotación dirigidos a software ampliamente utilizado.
• $523.000 en recompensas para investigadores.

Los objetivos incluyeron sistemas operativos, navegadores, herramientas de IA, plataformas de desarrollo y software de infraestructura, reflejando cómo la superficie de ataque de la tecnología empresarial sigue ampliándose.

En paralelo: un zero‑day activo en Microsoft Exchange

Mientras los investigadores revelaban fallos en un entorno controlado, Microsoft alertó al mismo tiempo sobre otra vulnerabilidad zero‑day distinta que ya estaba siendo explotada en ataques reales.

El fallo está identificado como CVE‑2026‑42897 y afecta a implementaciones on‑premises de Microsoft Exchange Server.

Características clave de la vulnerabilidad:

• Afecta a Exchange Server 2016, 2019 y Subscription Edition.
• Se debe a una neutralización incorrecta de entradas durante la generación de páginas web, un tipo de vulnerabilidad XSS (cross‑site scripting).
• Puede explotarse mediante contenido malicioso que se ejecuta dentro de sesiones de Outlook on the Web.
• Microsoft confirmó que ya se está explotando en ataques reales.

Aunque ambos hechos ocurrieron en el mismo periodo, no hay evidencia de que este CVE sea uno de los fallos demostrados durante Pwn2Own.

Qué ocurre después de un exploit en Pwn2Own

Tras cada demostración exitosa, entra en juego el proceso de divulgación coordinada de vulnerabilidades gestionado por la Zero Day Initiative.

El procedimiento habitual es:

1. Los detalles técnicos del fallo se entregan de forma privada al fabricante afectado.
2. El proveedor dispone de aproximadamente 90 días para desarrollar y publicar un parche.
3. Los detalles técnicos del exploit solo se hacen públicos después de que exista una corrección disponible.

Este modelo busca equilibrar dos objetivos: permitir que los investigadores demuestren vulnerabilidades reales y, al mismo tiempo, dar tiempo a las empresas para proteger a los usuarios antes de que el código del exploit se divulgue públicamente.

Por qué estos resultados son importantes

El primer día de Pwn2Own Berlin 2026 refleja dos realidades paralelas en la ciberseguridad actual:

• Incluso plataformas maduras como Windows 11 o Microsoft Edge siguen teniendo fallos que investigadores expertos pueden encadenar para lograr ataques avanzados.
• Al mismo tiempo, actores maliciosos ya están explotando zero‑days en sistemas reales, como demuestra el caso reciente de Exchange Server.

Competiciones como Pwn2Own intentan adelantarse a esos riesgos: convertir los descubrimientos de los hackers éticos en parches y mejoras de seguridad antes de que los mismos fallos puedan ser utilizados por atacantes.