Vulnerabilidad crítica en software automotriz: Pwn2Own Automotive 2026 destapa 76 zero-days

Vulnerabilidad crítica en software automotriz: la edición 2026 de Pwn2Own Automotive, organizada por la Zero Day Initiative (ZDI) de Trend Micro, reportó el hallazgo de 76 vulnerabilidades zero-day únicas en una amplia gama de objetivos, desde sistemas de infotainment hasta EV chargers. El evento reunió 73 intentos de explotación y superó el millón de dólares en pagos a investigadores por demostraciones exitosas, reforzando la presión sobre fabricantes y proveedores para acelerar parches y procesos de disclosure coordinado.

El concurso sigue el formato clásico de Pwn2Own: equipos de investigadores registran con antelación una cadena de ataque y disponen de una ventana limitada para ejecutarla en condiciones controladas. Las recompensas y los puntos aumentan según impacto, complejidad y originalidad del exploit, y culminan con el título “Master of Pwn” para el equipo con mejor desempeño global.

Vulnerabilidad crítica en software automotriz: los ataques más destacados

El mayor pago individual del evento se lo llevó el equipo de Fuzzware.io en el primer día: 60.000 dólares y seis puntos tras explotar una vulnerabilidad de tipo out-of-bounds write en el cargador Alpitronic HYC50. El mismo objetivo volvió a ser comprometido por otros participantes, incluyendo un caso basado en Time-of-Check to Time-of-Use (TOCTOU) y otro que aprovechó un método expuesto descrito como “dangerous”, lo que evidencia una superficie de ataque especialmente sensible en infraestructura de carga.

Fuzzware.io terminó logrando el “Master of Pwn” con 28 puntos y 215.500 dólares por siete demostraciones exitosas a lo largo de los tres días. En paralelo, la competición también mostró compromisos relevantes en software y plataformas de automoción: el equipo Synacktiv logró tomar control completo del sistema de infotainment de Tesla encadenando un information leak con un out-of-bounds write, y Automotive Grade Linux (AGL) fue comprometido mediante una cadena de tres vulnerabilidades.

Por qué el hallazgo importa para la industria

La magnitud de los resultados apunta a un problema estructural: la convergencia entre Vehicle Software, conectividad, app ecosystems y componentes de terceros (incluyendo stacks Linux y servicios asociados a carga) incrementa el riesgo de fallos explotables con impacto real. En la práctica, una vulnerabilidad crítica en software automotriz no se limita al vehículo: puede extenderse a la cadena de suministro de software, a componentes embebidos y a infraestructura externa como EV chargers, ampliando el radio de exposición operativa.

La expectativa del ecosistema es que los vendors afectados apliquen mitigaciones y parches con rapidez bajo esquemas de disclosure coordinado, especialmente cuando las demostraciones públicas confirman exploitability y reducen la incertidumbre técnica sobre el vector de ataque.

Fuentes y enlaces de alta autoridad

• Resultados oficiales publicados por Trend Micro ZDI: https://www.zerodayinitiative.com/

• Documentación de referencia para TOCTOU (CWE-367) en MITRE: https://cwe.mitre.org/data/definitions/367.html

Con 76 zero-days reportados, la señal para el sector es inequívoca: una vulnerabilidad crítica en software automotriz puede emerger tanto en el vehículo como en su perímetro digital, y Pwn2Own Automotive 2026 vuelve a demostrar que el hardening, la validación de memoria, el control de exposición de métodos y la disciplina de patch management ya no son opcionales para fabricantes, proveedores y operadores de infraestructura de carga.