Pwn2Own, el concurso de hacking ético más popular

  • Reportajes

En 2007, tres semanas antes de la conferencia de seguridad CanSecWest de Canadá, se anunciaba la creación de una competición, el Pwn2Own, para la caza de fallos en Mac OS X.

También puedes leer...

Privacidad y protección de datos en aplicaciones móviles

Haciendo frente a la PSD2

Cambios de Paradigma en Seguridad

DMARC, protegiendo el email

Nuevo paradigma en la confianza

Es uno de los concursos de hacking ético más populares. Se celebra cada año al amparo de la conferencia de seguridad CanSecWest desde 2007. Se reta a los participantes a explotar software y dispositivos móviles muy utilizados en el mercado con vulnerabilidades previamente desconocidas.

Este contenido forma parte del número de marzo de IT Digital Security. Puedes descargarte la revista desde este enlace.

El nombre “Pwn2Own” se deriva del hecho de que los concursantes deben “pwn” (patear) o hackear el dispositivo para poder “own” (adueñarse) o ganarlo.

El primer Pwn2Own fue la respuesta de Dragos Ruiu como forma de protesta contra Apple por trivializar la seguridad en su competencia frente a Microsoft en un momento en el que, a pesar de conocerse que los productos de la compañía de Cupertino tenían vulnerabilidades se aseguraba que Mac OS X era mucho más seguro que otros competidores.

El 20 de marzo, aproximadamente tres semanas antes de CanSecWest ese año, Ruiu anunció el concurso Pwn2Own: dejaría dos MacBook Pros en la sala de conferencias conectadas a su propio punto de acceso inalámbrico. No hubo recompensa económica, sino que cualquier asistente a la conferencia que pudiera conectarse a este punto de acceso inalámbrico y explotar uno de los dispositivos podría abandonar la conferencia con ese portátil.

El primer día de la conferencia, Ruiu pidió a Terroi Forslof, de la Zero Day Initiative (ZDI), que participar en el concurso. Resulta que ZDI tenía un programa dedicado a comprar ataques de Día Cero, y de los que informaba al fabricante afectado y los convertía en firmas para su propio sistema de detección de intrusos de red, lo que aumenta su efectividad. Las vulnerabilidades vendidas a ZDI se hacen públicas solo después de que el proveedor afectado haya emitido un parche para ello y en que entonces Forslof acordó que ZDI ofreciera comprar cualquier vulnerabilidad utilizada en el concurso por un precio fijo de 10.000 dólares