Pwn2Own Automotive 2026: decenas de vulnerabilidades zero-day expuestas en coches y cargadores EV

Por: Fecha de publicación:

 

La competencia de hacking Pwn2Own Automotive 2026, parte de la iniciativa Zero Day Initiative (ZDI) organizada durante la feria Automotive World en Tokio, ha sacado a la luz un número sorprendente de vulnerabilidades zero-day en tecnología automotriz moderna, cubriendo desde sistemas de infoentretenimiento integrados hasta infraestructura de carga de vehículos eléctricos (EV).

En total, los equipos de investigación han demostrado 66 vulnerabilidades únicas sin parches (zero-days) durante los primeros dos días de la competencia, con premios entregados por casi 1 millón de dólares (≈ 955 750 USD) a los participantes que lograron exploits exitosos.

¿Qué es Pwn2Own Automotive?

Pwn2Own Automotive es una competencia de hacking ético donde investigadores de seguridad intentan comprometer dispositivos o sistemas reales usados en vehículos y entornos automotrices, incluyendo:

  • Sistemas de infoentretenimiento (IVI)

  • Controladores de carga para vehículos eléctricos (EV chargers)

  • Componentes integrados con Linux o software embebido

  • Protocolos de comunicación usados en vehículos conectados

El objetivo no es dañar, sino descubrir fallas antes de que atacantes las exploten maliciosamente, dando a los fabricantes la oportunidad de corregir estos fallos mediante procesos de responsible disclosure.

 Hallazgos destacados de Pwn2Own Automotive 2026

Durante la competencia, se demostraron vulnerabilidades en una amplia gama de sistemas:

🔓 Día 1 – 37 vulnerabilidades descubiertas

En la apertura del evento, los investigadores lograron explotar 37 vulnerabilidades sin parches en dispositivos automotrices completamente actualizados. Incluyeron:

  • Tesla Infotainment System: comprometido mediante una cadena de errores combinados para obtener acceso de nivel raíz.

  • Sistemas de carga EV de múltiples marcas: como Phoenix Contact CHARX SEC-3150 y Grizzl-E Smart 40A, donde investigadores consiguieron manipular señales y escalar privilegios.

  • Sistemas de infoentretenimiento de Sony y Alpine: afectados por errores de desbordamiento de memoria y fallas de control de acceso.

Estos exploits ganaron a los equipos más de 516 500 USD en premios solo en el primer día.

🔓 Día 2 – 29 vulnerabilidades adicionales

El segundo día se añadieron otros 29 bugs de día cero, con recompensas de aproximadamente 439 250 USD. Entre ellos:

  • Fallos de inyección de comandos y control de memoria en elementos como controladores de carga y estaciones domésticas.

  • Vulnerabilidades en plataformas populares como el Alpine iLX-F511 o el Kenwood DNR1007XR.

 ¿Qué tipos de fallas se encontraron?

Los investigadores expusieron diversos tipos de vulnerabilidades que ilustran la complejidad y el riesgo del software automotriz moderno:

  • Desbordamientos de buffer (buffer overflow)

  • Inyección de comandos (command injection)

  • Autenticación insuficiente o bypasses

  • Errores lógicos y condiciones inseguras en protocolos de carga y comunicación

Cada una de estas fallas puede permitir, en manos equivocadas, manipular funcionalidades clave, obtener control sobre dispositivos o forzar comportamientos no deseados que comprometan la seguridad o los datos del vehículo.

Por qué esto debe preocupar a la industria automotriz

La explosión de vulnerabilidades en sistemas que forman parte de la tecnología connected car demuestra que, aunque los vehículos modernos son más inteligentes y conectados, también son objetivos amplios para ataques cibernéticos si no se protegen adecuadamente.

Estas fallas no solo representan riesgo para:

  • la privacidad de los usuarios,

  • la integridad de los datos,

  • o la disponibilidad de sistemas críticos,

sino que también ponen en evidencia que incluso productos completamente actualizados y supuestamente seguros pueden contener fallos graves que quedan expuestos mediante pruebas de seguridad expertas.

El enfoque de Pwn2Own — encontrar fallas antes de que los delincuentes lo hagan— es un componente clave para que fabricantes y proveedores de software automotriz mejoren sus productos.

¿Qué pasa después de Pwn2Own?

Las vulnerabilidades descubiertas durante Pwn2Own Automotive se reportan a los fabricantes a través de Zero Day Initiative (ZDI). Posteriormente:

  1. Los proveedores tienen un período (por ejemplo, 90 días) para desarrollar y distribuir parches o mitigaciones.

  2. Luego de ese plazo, las vulnerabilidades pueden ser divulgadas públicamente de forma responsable.

  3. La industria suele usar estos hallazgos para fortalecer sus ecosistemas de seguridad en vehículos conectados.

Esto signfica que los hallazgos no quedan solo como un “truco de hacking”, sino que ayudan a endurecer los sistemas que manejamos todos los días.

El evento Pwn2Own Automotive 2026 ha puesto en evidencia la enorme cantidad de vulnerabilidades zero-day todavía presentes en tecnología automotriz y de vehículos eléctricos, resaltando que:

  • La seguridad automotriz es un reto continuo a medida que los coches se digitalizan.

  • Las fallas no solo existen en software tradicional, sino también en sistemas de infoentretenimiento y estaciones de carga conectadas.

  • La cooperación entre investigadores y fabricantes es crucial para proteger a los usuarios finales frente a amenazas emergentes.

Estar al tanto de estos descubrimientos y responder con parches y mejores prácticas de seguridad es vital para que la conectividad no se convierta en una brecha de riesgo en tu auto o flota de vehículos.



Comentarios

Publicar un comentario

Entradas más populares de este blog

🛡️ Nueva vulnerabilidad crítica en Windows SMB Client puede exponer entornos empresariales completos (CVE-2025-33073)

Por: Fecha de publicación:
Imagen
El 19 de enero de 2026 , se publicó un reporte técnico que revela una vulnerabilidad de seguridad grave en el cliente SMB de Windows que afecta entornos corporativos y redes con Active Directory. Esta falla está catalogada como CVE-2025-33073 y permite a atacantes escalar privilegios y comprometer infraestructuras completas si no se han aplicado las actualizaciones recomendadas por Microsoft.  📌 ¿Qué es SMB y por qué importa? SMB ( Server Message Block ) es un protocolo de red ampliamente usado en sistemas Windows para compartir archivos, impresoras y autenticación entre máquinas. El cliente SMB es la parte del sistema operativo que inicia conexiones a recursos remotos. Este componente también participa en el proceso de autenticación con servicios centrales como Active Directory (AD) , que es el corazón de la gestión de usuarios, permisos y seguridad en casi todas las redes empresariales basadas en Windows.  🔍 ¿En qué consiste esta vulnerabilidad? La falla reside en un mec...
Leer más

Raaga Data Breach: Más de 10 millones de cuentas expuestas en la Dark Web

Por: Fecha de publicación:
Imagen
En diciembre de 2025 se detectó una filtración de datos masiva que afectó a la plataforma Raaga , un popular servicio de streaming de música con base en India . Según reportes de seguridad, el incidente comprometió información personal de más de 10.2 millones de usuarios , y parte de esa base de datos fue publicada para su venta en foros de hacking de la Dark Web . ¿Qué datos se vieron comprometidos? Los datos filtrados incluían información muy sensible de los usuarios, entre ellos: Nombres completos Direcciones de correo electrónico Género y edad (incluidas fechas parciales de nacimiento) Ubicación geográfica y códigos postales Contraseñas almacenadas como hashes MD5 sin “salt” Este último punto es especialmente grave: MD5 sin sal es un algoritmo de hashing obsoleto y muy débil que puede ser descifrado rápidamente con hardware moderno o técnicas automatizadas. Esto permite a los atacantes reconstruir las contraseñas en texto claro con relativa facilidad.  ¿Cómo pudo ...
Leer más

¿La IA aumenta nuestra velocidad en cuanto a productividad?

Por: Fecha de publicación:
Imagen
  Un estudio experimental de Model Evaluation and Transparency Research (METR) midió cómo afecta el uso de herramientas de IA (por ejemplo, asistentes de código como Cursor Pro con modelos como Claude 3.5/3.7 ) a desarrolladores con experiencia trabajando en repositorios de código abierto que conocían bien Los desarrolladores experimentados tardaron un 19% más de tiempo en completar tareas cuando usaron IA comparado con cuando no la usaron. Y antes de usarla, se esperaba que la IA acelerara su trabajo hasta ~24% , y después seguían creyendo que estaban más rápidos (~20%) , aunque los datos mostraban lo contrario.  Esto tiene sus motivos, un uso imperfecto de las herramientas(prompts demasiado simples), familiaridad aún limitada con las interfaces de la IA, estándares de calidad muy altos en el proyecto exigido, insuficiente cobertura de casos complejos por parte de los modelos de IA, distraerse explorando resultados de la IA en vez de avanzar a lo propuesto, en resumidas pal...
Leer más