Meta pagará hasta un millón de dólares a quien descubra este error en WhatsApp

Los investigadores de ciberseguridad tienen una motivación sin precedentes para poner a prueba sus habilidades: la Zero Day Initiative (ZDI) ha anunciado una recompensa récord de un millón de dólares para quien logre demostrar un exploit de ejecución remota de código (RCE) en WhatsApp sin necesidad de interacción por parte del usuario, lo que se conoce como un ataque “zero-click”.

Se trata de la mayor recompensa individual ofrecida en la historia del concurso Pwn2Own, gracias a la colaboración con Meta, empresa matriz de WhatsApp, que este año se suma como copatrocinadora oficial del evento.

La edición 2025 de Pwn2Own se llevará a cabo del 21 al 24 de octubre en las oficinas de ZDI en Cork, Irlanda. Es la segunda vez consecutiva que la ciudad acoge el evento, después de que la edición anterior entregara más de un millón de dólares en premios por más de 70 vulnerabilidades únicas de día cero.

La categoría de mensajería, donde se incluye el reto de WhatsApp, fue introducida en 2024, aunque ningún equipo se atrevió a intentarla. Los organizadores de ZDI señalaron en tono irónico que “tal vez un número con dos comas proporcione la motivación necesaria” para que los investigadores se animen a participar.

El objetivo es encontrar una vulnerabilidad que permita ejecutar código de manera remota en el dispositivo de la víctima sin que esta tenga que hacer nada: ni abrir un enlace, ni descargar un archivo, ni interactuar con un mensaje. Este tipo de exploit es considerado uno de los más complejos y peligrosos, ya que puede comprometer un dispositivo con solo recibir un mensaje malicioso, sin que el usuario lo note.

Meta, que invierte de forma constante en programas de bug bounty y análisis de seguridad, busca con esta medida reforzar su compromiso de proteger a los más de 2.000 millones de usuarios activos de WhatsApp en todo el mundo. La compañía subraya que detectar vulnerabilidades antes que los atacantes es clave para mantener la seguridad de la plataforma.

Las fallas de tipo zero-click han sido utilizadas en el pasado para ataques altamente dirigidos, ya que permiten tomar control del dispositivo de forma invisible, acceder a datos privados y espiar comunicaciones cifradas sin el conocimiento del usuario.

Aunque el premio millonario para vulnerar WhatsApp es el más llamativo, Pwn2Own 2025 contará con un total de ocho categorías que abarcan tecnologías presentes en la vida cotidiana y en entornos corporativos:

• Teléfonos móviles
• Mensajería (WhatsApp)
• SOHO Smashup: dispositivos de red domésticos
• Dispositivos inteligentes del hogar
• Impresoras
• Dispositivos NAS (Synology y QNAP)
• Sistemas de videovigilancia
• Dispositivos wearables (Meta Ray-Ban y Meta Quest)

Cada categoría tiene su propia tabla de premios, que varía según la complejidad y el impacto del exploit, con montos que van desde 50.000 hasta 300.000 dólares.

El concurso Pwn2Own, organizado por la Zero Day Initiative, se ha convertido en un referente mundial para la identificación de fallos de seguridad en software y hardware ampliamente utilizados. Su dinámica permite que los investigadores demuestren en vivo sus hallazgos ante un jurado, tras lo cual los fabricantes afectados reciben la información técnica para corregir la vulnerabilidad.

Gracias a este modelo, muchas fallas críticas se solucionan antes de ser explotadas de forma masiva, reduciendo el riesgo para millones de usuarios. En ediciones anteriores, el evento ha expuesto vulnerabilidades en navegadores, sistemas operativos y dispositivos IoT, que posteriormente fueron corregidas por los fabricantes.