**Microsoft** ha otorgado $2.3 millones a investigadores de seguridad tras recibir casi 700 envíos durante el concurso de hacking Zero Day Quest de este año. ### Descubiertas Vulnerabilidades de Alto Impacto Según **Tom Gallagher**, Vicepresidente de Ingeniería del **Microsoft** Security Response Center (**MSRC**), más de 80 fallos encontrados durante el evento en vivo en el campus de **Microsoft** en Redmond eran vulnerabilidades de seguridad de alto impacto en la nube y la IA. "Durante el evento de hacking en vivo de 2026, **Microsoft** se asoció con la comunidad global de investigación de seguridad, representando a más de 20 países y una amplia gama de antecedentes profesionales, desde estudiantes de secundaria hasta profesores universitarios", dijo Gallagher. Los investigadores realizaron todas las pruebas dentro de entornos autorizados de acuerdo con las Reglas de Compromiso de **Microsoft**, demostrando un impacto potencial sin acceder a datos de clientes u otros sistemas de inquilinos. Dentro de estas restricciones, los investigadores identificaron rutas críticas que involucraban la exposición de credenciales, cadenas SSRF y acceso entre inquilinos. ### Aumento del Premio y la Participación En agosto pasado, **Microsoft** anunció que aumentaría el premio del concurso de hacking Zero Day Quest de este año a $5 millones en recompensas, lo que la compañía describió como el "evento de hacking más grande de la historia". El Zero Day Quest 2025 también generó una participación significativa de la comunidad de seguridad, tras la oferta de **Microsoft** de $4 millones en recompensas por vulnerabilidades en productos y plataformas de nube e IA. Después de que concluyó la competencia de hacking, **Microsoft** anunció que había pagado $1.6 millones en recompensas tras recibir más de 600 envíos de vulnerabilidades. ### Iniciativa de Futuro Seguro (SFI) El concurso Zero Day Quest es parte de la Iniciativa de Futuro Seguro (**SFI**) de **Microsoft**, un esfuerzo de ingeniería de ciberseguridad lanzado en noviembre de 2023, tras un informe contundente de la Junta de Revisión de Seguridad Cibernética del Departamento de Seguridad Nacional de EE. UU. que encontró que la cultura de seguridad de la compañía era "inadecuada" y requería "una reforma". "Como parte de nuestra Iniciativa de Futuro Seguro (SFI), compartiremos de manera transparente las vulnerabilidades críticas a través del programa CVE, incluso si no se requiere ninguna acción por parte del cliente", dijo Gallagher en agosto. "Los aprendizajes del Zero Day Quest se compartirán en toda **Microsoft** para ayudar a mejorar la seguridad de la Nube y la IA en alineación con los principios centrales de SFI: seguridad por defecto, por diseño y en operaciones". A principios de ese mes, **Microsoft** anunció que había pagado un récord de $17 millones a 344 investigadores de seguridad en 59 países a través de su programa de recompensas por errores entre julio de 2024 y junio de 2025. En diciembre, también anunció que los investigadores de seguridad serían pagados por encontrar vulnerabilidades críticas en cualquiera de los servicios en línea de **Microsoft**, incluso si un tercero escribió el código vulnerable.