Notebookcheck Logo

Pwn2Own Berlín 2026 - Windows 11 y Microsoft Exchange hackeados

Pwn2Own Berlín 2026 pagó más de 908.000 dólares a través de 39 zero-days en dos días, con Microsoft Exchange y Windows 11 entre los objetivos más notables.
ⓘ magnific.com/author/standret
Pwn2Own Berlín 2026 pagó más de 908.000 dólares a través de 39 zero-days en dos días, con Microsoft Exchange y Windows 11 entre los objetivos más notables.
Pwn2Own Berlín 2026 pagó más de 908.000 dólares a través de 39 zero-days en dos días, con Microsoft Exchange comprometido por 200.000 dólares y Windows 11 hackeado cuatro veces.
Desktop Laptop / Notebook Software Security Windows Microsoft AI Business

Pwn2Own Berlín 2026 está terminando hoy en la conferencia OffensiveCony a lo largo de dos días confirmados las cifras son significativas. Los investigadores han recaudado más de 908.000 dólares en premios tras demostrar 39 vulnerabilidades únicas de día cero en Windows 11, Microsoft Exchange, Microsoft Edge, Red Hat Enterprise Linux, la infraestructura de Nvidia y una serie de plataformas de IA. Los resultados del tercer día aún están por llegar.

Día 1 - Edge cae, Windows 11 hackeado tres veces

El día 1 pagó a 523.000 dólares a través de 24 días cero. El más destacado fue Orange Tsai, del equipo de investigación DEVCORE, que encadenó cuatro fallos lógicos para escapar del sandbox de Microsoft Edge y ganar 175.000 dólares en una sola demostración. Windows 11 fue pirateado tres veces distintas por tres investigadores independientes, cada uno de los cuales ganó 30.000 dólares por zero-days de escalada de privilegios. Valentina Palmiotti, de IBM X-Force, recaudó 70.000 dólares por dos exploits distintos dirigidos contra NVIDIA Container Toolkit y Red Hat Linux. La categoría de IA fue igualmente activa: LiteLLM, OpenAI Codex, NVIDIA Megatron Bridge, Chroma y LM Studio cayeron el primer día.

Día 2 - Intercambio comprometido por 200.000 dólares

El Día 2 pagó 385.750 dólares en 15 días cero. Orange Tsai apareció de nuevoesta vez encadenando tres fallos para conseguir la ejecución remota de código con privilegios de SISTEMA en un Microsoft Exchange Server totalmente parcheado, la hazaña que más dinero ha reportado de la competición hasta el momento, 200.000 dólares. Windows 11 volvió a ser pirateado el segundo día, al igual que el agente de codificación de IA Cursor. OpenAI Codex también fue objetivo por segunda vez de un investigador diferente.

Capacidad abarrotada

El evento alcanzó el aforo por primera vez en sus 19 años de historia. Más de 150 investigadores fueron rechazados debido a los límites de programación, y algunos abandonaron públicamente los días cero en lugar de esperar al año que viene. Todos los proveedores tienen 90 días desde la divulgación para parchear los fallos demostrados en Pwn2Own.

Notebookcheck cubrió la confirmación por parte de Google del primer Día cero desarrollado por IA a principios de este mes, en el que un modelo de IA escribió y desplegó un exploit funcional dirigido a un bypass 2FA en una herramienta de administración web muy utilizada

Google LogoAdd as a preferred source on Google
Mail Logo

Artículos relacionados

Darryl Linington, 2026-05-16 (Update: 2026-05-16)