Los investigadores apuntaron a productos completamente parcheados en una amplia gama de categorías, incluyendo navegadores web, aplicaciones empresariales, escalada de privilegios local, servidores, inferencia local, entornos cloud-native/contenedores, virtualización y Modelos de Lenguaje Grandes (LLMs). ### Desglose de Pagos La competencia se extendió por tres días, con importantes pagos otorgados cada día: * Día 1: $523,000 por 24 días cero únicos. * Día 2: $385,750 por 15 días cero. * Día 3: $389,500 por 8 días cero. ### Principales Participantes **DEVCORE** emergió como el ganador de **Pwn2Own Berlin** de este año, asegurando 50.5 puntos Master of Pwn y una sustancial recompensa de $505,000. Su éxito provino de la explotación de vulnerabilidades en **Microsoft SharePoint**, **Microsoft Exchange**, **Microsoft Edge** y **Windows 11**. **STARLabs SG** le siguió con $242,500 (25 puntos), y **Out Of Bounds** reclamó el tercer lugar con $95,750 (12.75 puntos).  *Tabla de clasificación de Pwn2Own Berlin 2026* ### Exploits Notables La recompensa individual más alta de $200,000 fue otorgada a **Cheng-Da Tsai** (también conocido como **Orange Tsai**) del Equipo de Investigación **DEVCORE** por encadenar tres bugs para lograr ejecución remota de código con privilegios SYSTEM en **Microsoft Exchange**. En el primer día, **Orange Tsai** también ganó $175,000 por un escape de sandbox de **Microsoft Edge** utilizando cuatro bugs lógicos. Adicionalmente, **Valentina Palmiotti** (chompie) de **IBM X-Force** Offensive Research recolectó $70,000 por obtener privilegios de root en **Red Hat Linux** para Estaciones de Trabajo y explotar un día cero del **NVIDIA** Container Toolkit. Otros exploits incluyeron una escalada de privilegios local en **Windows 11**, una escalada de privilegios de root en **Red Hat Enterprise Linux** para Estaciones de Trabajo, y días cero en varios agentes de codificación de IA. También se aprovechó un bug de corrupción de memoria para explotar **VMware ESXi**. ### Cronología de Divulgación Tras **Pwn2Own**, los proveedores tienen una ventana de 90 días para desarrollar y lanzar parches de seguridad. Después de este período, **Zero Day Initiative (ZDI)** de **TrendMicro** divulgará públicamente los detalles de las vulnerabilidades. El **Pwn2Own Berlin** del año pasado vio ganar a **STAR Labs SG**, con **ZDI** otorgando $1,078,750 por 29 fallos de día cero y algunas colisiones de bugs. [article image](https://www.bleepstatic.com/c/p/validation-gap.jpg) ## La Brecha de Validación: El Pentesting Automatizado Responde Una Pregunta. Necesitas Seis. Las herramientas de pentesting automatizado entregan valor real, pero fueron creadas para responder una pregunta: ¿puede un atacante moverse por la red? No fueron creadas para probar si tus controles bloquean amenazas, si tus reglas de detección se activan o si tus configuraciones en la nube se mantienen. Esta guía cubre las 6 superficies que realmente necesitas validar. [Download Now](https://hubs.li/Q048zztN0)