## Pwn2Own Berlín 2026: Lo más destacado del Día 1 La competencia **Pwn2Own Berlín 2026** comenzó con una gran actividad, ya que los investigadores de seguridad demostraron sus habilidades explotando una amplia gama de objetivos de software y hardware. El evento, que se enfoca en tecnologías empresariales e inteligencia artificial, se lleva a cabo en la conferencia OffensiveCon del 14 al 16 de mayo. ## Escape de Sandbox de Edge se lleva el premio mayor **Orange Tsai** se destacó al ganar $175,000 por encadenar cuatro fallos lógicos para lograr un escape de sandbox en **Microsoft Edge**. Esta impresionante hazaña resalta la complejidad y el impacto potencial de las vulnerabilidades encadenadas. > <a href="https://bsky.app/profile/thezdi.bsky.social/post/3mlslrhjrvc2s">Ver en BlueSky</a> ## Windows 11 bajo ataque **Windows 11** fue atacado con éxito tres veces por diferentes equipos: * **Angelboy** y **TwinkleStar03** (trabajando con el **DEVCORE** Internship Program) * **Marcin Wiązowski** * **Kentaro Kawane** de **GMO Cybersecurity** Cada equipo ganó $30,000 por demostrar nuevas zero-days de escalada de privilegios en el sistema operativo. > <a href="https://bsky.app/profile/thezdi.bsky.social/post/3mlsterlyhk2d">Ver en BlueSky</a> > <a href="https://bsky.app/profile/thezdi.bsky.social/post/3mlsyezpkyc2m">Ver en BlueSky</a> > <a href="https://bsky.app/profile/thezdi.bsky.social/post/3mltgpmo7ac2p">Ver en BlueSky</a> ## Exploits de Linux y Contenedores **Valentina Palmiotti** (chompie) de **IBM X-Force Offensive Research (XOR)** tuvo un día exitoso, recaudando $20,000 por obtener acceso root en **Red Hat Linux for Workstations** y $50,000 adicionales por una zero-day en el **NVIDIA Container Toolkit**. > <a href="https://bsky.app/profile/thezdi.bsky.social/post/3mltebpvjlc2p">Ver en BlueSky</a> > <a href="http://bsky.app/profile/thezdi.bsky.social/post/3mlsm3vbvks2s">Ver en BlueSky</a> ## Vulnerabilidades descubiertas en plataformas de IA/ML Se encontraron varias vulnerabilidades en plataformas de inteligencia artificial y aprendizaje automático, incluyendo: * **k3vg3n**: Derribó **LiteLLM** ($40,000) al encadenar 3 fallos. * **Satoki Tsuji** y **haehae**: Explotaron zero-days en **NVIDIA Megatron Bridge** ($20,000). * **Compass Security** y **maitai** de **Doyensec**: Hackearon el agente de codificación **OpenAI's Codex** (cada uno ganando $40,000). * **haehae**: Descubrió una zero-day en **Chroma** ($20,000). * **STARLabs SG**: Encontró una zero-day en **LM Studio** ($40,000). > <a href="https://bsky.app/profile/thezdi.bsky.social/post/3mlso3j67ns2s">Ver en BlueSky</a> > <a href="http://bsky.app/profile/thezdi.bsky.social/post/3mlsottlmak2s">Ver en BlueSky</a> > <a href="https://bsky.app/profile/thezdi.bsky.social/post/3mltcik6cvs2w">Ver en BlueSky</a> > <a href="https://bsky.app/profile/thezdi.bsky.social/post/3mlst4byglc2d">Ver en BlueSky</a> > <a href="https://bsky.app/profile/thezdi.bsky.social/post/3mlswuldquc2m">Ver en BlueSky</a> > <a href="https://bsky.app/profile/thezdi.bsky.social/post/3mlt5kuba622z">Ver en BlueSky</a> > <a href="https://bsky.app/profile/thezdi.bsky.social/post/3mltheam2ps2p">Ver en BlueSky</a> ## Tabla de clasificación Actualmente, el **DEVCORE Research Team** lidera la competencia con $205,000, seguido por **Valentina Palmiotti** con $70,000. ## Objetivos del segundo día En el segundo día, los competidores apuntarán a zero-days en **Microsoft SharePoint**, **Microsoft Exchange**, **Windows 11**, **Apple Safari**, **Cursor**, **Red Hat Enterprise Linux for Workstations**, **LM Studio**, **OpenAI Codex**, **LiteLLM**, **Anthropic Claude Code** y **Mozilla Firefox**. ## Reglas y Impacto de Pwn2Own Los investigadores que apunten a productos completamente parcheados en varias categorías pueden ganar más de $1,000,000 en efectivo y premios. Todos los dispositivos objetivo ejecutan las últimas versiones del sistema operativo, y las entradas deben comprometer el objetivo y demostrar la ejecución de código arbitrario. Los proveedores tienen 90 días para lanzar correcciones de seguridad después de que se divulgan las fallas. El año pasado, **TrendMicro's Zero Day Initiative** otorgó $1,078,750 por 29 vulnerabilidades zero-day.  ## La Brecha de Validación: Las Pruebas de Penetración Automatizadas Responden Una Pregunta. Usted Necesita Seis. Las herramientas automatizadas de pruebas de penetración ofrecen un valor real, pero fueron creadas para responder una pregunta: ¿puede un atacante moverse por la red? No fueron creadas para probar si sus controles bloquean amenazas, si sus reglas de detección se activan o si sus configuraciones en la nube se mantienen. Esta guía cubre las 6 superficies que realmente necesita validar. [Descargar ahora](https://hubs.li/Q048zztN0)