TL;DR:

Pwn2Own Berlin 2026 cerró con exploits exitosos contra Windows, Linux, VMware, Nvidia y herramientas de IA.

ZDI confirmó $1,298,250 dólares en premios por 47 vulnerabilidades zero-day durante tres días.

El resultado presiona a proveedores de software empresarial y de IA a acelerar parches antes de que los detalles técnicos se publiquen.

Pwn2Own Berlin 2026 terminó con una cifra pesada para la industria: investigadores de seguridad ganaron $1,298,250 dólares por demostrar 47 vulnerabilidades zero-day en productos empresariales, sistemas operativos, virtualización, herramientas de Nvidia y software de IA. El dato importa porque los blancos ya no fueron solo navegadores o servidores clásicos: también cayeron agentes de código, inferencia local y bases de datos ligadas a inteligencia artificial, justo cuando esas herramientas empiezan a entrar en flujos de trabajo corporativos.

Pwn2Own es una competencia de hacking ético donde investigadores demuestran vulnerabilidades contra productos actualizados bajo reglas controladas. Después, los detalles pasan por un proceso de divulgación coordinada para que los fabricantes puedan corregir las fallas.

La edición de Berlín se realizó del 14 al 16 de mayo de 2026 durante OffensiveCon y colocó a la IA en una zona mucho más incómoda: como superficie real de ataque en ambientes empresariales.

DEVCORE ganó el título de Master of Pwn con 50.5 puntos y $505,000 dólares. STARLabs SG quedó en segundo lugar con 25 puntos y $242,500 dólares, mientras Out Of Bounds cerró el podio con 12.75 puntos y $95,750 dólares.

La bolsa millonaria no fue lo más inquietante: fue la lista de blancos

Los premios más altos llegaron por cadenas de explotación contra infraestructura empresarial de alto valor.

Entre los resultados más relevantes estuvieron:

• DEVCORE ganó $200,000 dólares por una cadena de tres bugs para lograr ejecución remota de código con privilegios SYSTEM en Microsoft Exchange.
• El mismo equipo obtuvo $175,000 dólares por un escape de sandbox en Microsoft Edge.
• DEVCORE también recibió $100,000 dólares por explotar Microsoft SharePoint.
• STARLabs SG obtuvo $200,000 dólares por explotar VMware ESXi con un add-on de ejecución de código cross-tenant.
• Investigadores también demostraron fallas en Windows 11, Red Hat Enterprise Linux for Workstations, NVIDIA Container Toolkit y NVIDIA Megatron Bridge.

El mensaje para equipos de seguridad es directo: los productos atacados en Pwn2Own no son rarezas de laboratorio. Son piezas comunes en empresas que dependen de virtualización, colaboración, servidores, contenedores y automatización.

La IA dejó de ser invitada nueva y ya aparece como blanco principal

La categoría de IA fue una de las más movidas del evento. Hubo exploits exitosos contra OpenAI Codex, Cursor, LM Studio, LiteLLM, Ollama, Anthropic Claude Code, Chroma y NVIDIA Megatron Bridge, entre otros blancos relacionados con agentes de código, inferencia local y bases de datos de IA.

Los montos muestran cómo Pwn2Own ya trata a estas herramientas como software crítico:

• LiteLLM entregó premios de hasta $40,000 dólares por una cadena con SSRF e inyección de código.
• OpenAI Codex fue explotado en intentos exitosos con recompensas de $40,000 y $20,000 dólares, además de un intento fallido.
• LM Studio apareció en exploits con premios de $40,000 y $20,000 dólares.
• Cursor generó premios de $30,000 y $15,000 dólares.
• Ollama dio $28,000 dólares en un caso con colisión parcial por una vulnerabilidad ya conocida.
• Chroma entregó $20,000 dólares por un exploit basado en path traversal.
• NVIDIA Megatron Bridge registró premios y colisiones en varias rondas.

La lectura práctica es fuerte para México y América Latina: muchas empresas están adoptando asistentes de código, modelos locales y herramientas de IA sin el mismo nivel de revisión que aplican a un servidor, una VPN o una base de datos. Pwn2Own Berlin 2026 mostró que ese trato ya no alcanza.

Ocho intentos fallaron, pero eso también cuenta una parte de la historia

No todo funcionó sobre el escenario. ZDI registró ocho intentos fallidos contra productos como Oracle Autonomous AI Database, NVIDIA Container Toolkit, OpenAI Codex, Apple Safari, Microsoft SharePoint, Red Hat Enterprise Linux for Workstations, Mozilla Firefox y VMware ESXi.

En una competencia así, un fallo no equivale a que el producto sea invulnerable. Significa que el exploit no se completó dentro del tiempo permitido o bajo las condiciones del evento. La diferencia importa porque Pwn2Own mide demostraciones reproducibles bajo presión, no teorías.

También hubo colisiones: casos donde el exploit funcionó, pero una o más vulnerabilidades ya eran conocidas por el proveedor o por ZDI. En esos escenarios, los investigadores recibieron pagos menores y menos puntos.

El verdadero reloj empieza después del escenario

El cierre de Pwn2Own no termina cuando se entregan los cheques. Para los fabricantes, ahí empieza la parte más delicada: analizar los reportes, construir parches y distribuir actualizaciones antes de que los detalles técnicos puedan circular con más amplitud.

Esa ventana es especialmente sensible en productos de IA. Un agente de código con permisos amplios, una herramienta local de inferencia mal aislada o una base de datos vectorial expuesta pueden convertirse en una ruta de entrada hacia repositorios, credenciales, archivos internos o infraestructura de producción.

Pwn2Own Berlin 2026 no dice que todas las empresas estén comprometidas. Sí deja otra cosa clara: la seguridad de la IA ya no puede vivir separada de la seguridad del software empresarial. Si una herramienta toca código, datos o automatizaciones internas, debe entrar al mismo inventario de riesgo que cualquier sistema crítico.

Fuentes: 1, 2, 3, 4, 5