Encontrar un fallo en WhatsApp y ganarse un millón de dólares es posible gracias a esta competición

Zero Day Initiative (ZDI) y Meta crearon una iniciativa en la que entregarán una millonaria recompensa a quien logre identificar y demostrar una falla crítica de seguridad en WhatsApp.

Esta competición está ideada para mejorar la protección de los usuarios, que continuamente están en la plataforma compartiendo información privada y confidencial.

La propuesta forma parte del prestigioso concurso internacional Pwn2Own 2025, una competencia impulsada por la ZDI que se llevará a cabo entre el 21 y el 24 de octubre de 2025 en Cork, Irlanda. En esta edición, Meta se suma como copatrocinadora, incrementando notablemente las recompensas.

En el centro de la competencia se encuentra la búsqueda de una vulnerabilidad específica: el exploit de ejecución remota de código sin interacción, conocido en la jerga como ataque “zero-click”. Un error de este tipo implica que un atacante podría ejecutar programas maliciosos en el dispositivo de la víctima sin necesidad de que la persona pulse ningún enlace, responda mensajes ni haga ninguna acción.

Este tipo de vulnerabilidad es especialmente grave, ya que permite a los atacantes acceder de forma silenciosa al dispositivo, comprometiendo información sensible, archivos privados, e incluso tomando control de cámaras y micrófonos.

La edición 2025 de Pwn2Own destaca por la magnitud del premio: un millón de dólares para quien logre demostrar, ante los organizadores y en una transmisión en vivo, una vulnerabilidad “zero-click” en WhatsApp.

Según Meta, esta cifra representa el mayor monto jamás ofrecido en el marco de este tipo de competencias y supera ampliamente los 300.000 dólares que se ofrecían apenas un año antes por un fallo de características similares.

Más allá del codiciado premio mayor, la competencia establece diferentes categorías y escalas de recompensas, dependiendo del grado de dificultad y del alcance de la vulnerabilidad reportada:

• 500.000 dólares para quien consiga demostrar un exploit de ejecución remota de código con un solo clic. En este caso, el atacante requiere que la víctima realice una sola acción, como pulsar un enlace o abrir un archivo, para que el código malicioso se active.
• 150.000 dólares para participantes que detecten un exploit que permita la apropiación de cuenta sin requerir ninguna interacción del usuario.
• 130.000 dólares a quienes muestren el acceso remoto sin clic a funciones críticas del dispositivo, como el micrófono, la cámara o a archivos confidenciales.

Además de la sección dedicada a WhatsApp, Pwn2Own contempla otras categorías orientadas a dispositivos móviles, wearables —como las gafas Ray‑Ban inteligentes y auriculares Quest—, dispositivos de red doméstica, sistemas NAS de marcas reconocidas (QNAP, Synology), impresoras, sistemas de vigilancia y otros dispositivos vinculados al hogar inteligente.

Todas estas áreas incluyen sus propias escalas de premios que oscilan entre los 30.000 y los 150.000 dólares, dependiendo del tipo de vulnerabilidad identificada y del impacto potencial.

El proceso para inscribirse en el concurso es preciso y estructurado. Para sumarse a la competencia, quienes deseen participar deben:

1. Revisar y aceptar los términos y condiciones que facilita la Zero Day Initiative.
2. Registrarse mediante un correo electrónico dirigido a la organización, a la dirección pwn2own@trendmicro.com, especificando el interés en participar. Las inscripciones a través de redes sociales o canales no oficiales no se considerarán válidas.
3. Preparar la demostración en vivo, ya que la ZDI exige que el exploit o la falla identificada se pruebe en tiempo real durante el evento, con la presencia de los organizadores y los jueces del certamen.

En 2024, cuando la categoría WhatsApp debutó en el evento, ningún participante logró llevarse el premio máximo. Para varios especialistas, este resultado refleja tanto el alto nivel de exigencia del concurso como la madurez en la seguridad de la aplicación, aunque las recompensas aumentadas podrían cambiar el panorama en la edición 2025.