El Pwn2Own Automotive World es una competencia internacional de hacking ético en la que investigadores de seguridad ponen a prueba tecnologías utilizadas en vehículos modernos. Durante el evento, que se celebra en Tokio en el marco de la feria Automotive World, los participantes intentan comprometer sistemas con el objetivo de exponer fallos críticos antes de que puedan ser explotados de forma maliciosa.

Durante la edición 2026, celebrada entre el 21 y el 23 de enero, investigadores de seguridad demostraron cómo componentes clave de los vehículos modernos siguen siendo vulnerables a ataques relativamente simples. Uno de los casos más llamativos fue la toma de control de un cargador de vehículos eléctricos Autel MaxiCharger AC Elite Home 40A, lograda únicamente mediante el uso de una tarjeta NFC. El ataque permitió ejecutar un buffer overflow y comprometer el sistema, algo que, según dijo Dustin Childs (responsable de la Zero Day Initiative) al sitio DarkReading, resultó “impresionante” por su facilidad de ejecución.

En los dos primeros días del certamen, los equipos participantes lograron explotar 66 vulnerabilidades zero-day, llevándose cerca de un millón de dólares en premios. Cinco de cada seis intentos tuvieron éxito, aunque aproximadamente un tercio de ellos reutilizó fallos ya empleados previamente durante la competencia. La mayoría de los ataques se dirigieron a sistemas de infoentretenimiento (plataformas que gestionan funciones como navegación, multimedia, conectividad y hasta interacción con otros sistemas del vehículo) instalados posteriormente o a cargadores de vehículos eléctricos, utilizando vectores como NFC, Bluetooth o incluso la propia pistola de carga. Aunque los cargadores mostraron mejoras en materia de seguridad, los investigadores coincidieron en que siguen presentando una amplia superficie de ataque.

Según Childs, el problema de fondo es estructural: si un sistema puede ser comprometido, tarde o temprano lo será. En el caso de los vehículos, el impacto potencial es especialmente preocupante, ya que los atacantes no solo acceden a sistemas informáticos, sino que pueden afectar directamente al funcionamiento del automóvil. Este escenario refuerza una lección conocida desde hace años: los sistemas de infoentretenimiento continúan siendo un punto débil, algo que ya quedó en evidencia tras el famoso hackeo a un Jeep en 2015 y que, una década después, sigue sin resolverse por completo.

Más de 76 zero-days, un millón de dólares en pagos y Tesla hackeado

El Pwn2Own Automotive 2026 cerró su edición con cifras que confirman la magnitud del problema de seguridad en el ecosistema automotriz. Tras tres días de competencia, el evento repartió 1.047.000 dólares en premios y permitió la demostración de 76 vulnerabilidades zero-day únicas. El equipo de Fuzzware.io se quedó con el título de Master of Pwn, acumulando 28 puntos y 215.500 dólares, en una edición marcada por una alta tasa de éxitos, pero también, como dijimos, por numerosas colisiones entre exploits ya utilizados previamente.

A lo largo del certamen, investigadores de distintos países lograron comprometer dispositivos como el Kenwood DNR1007XR, el Alpine iLX-F511 y cargadores como el Grizzl-E Smart 40A, el Autel MaxiCharger o el Alpitronic HYC50 fueron algunos de los más atacados.

Uno de los momentos más destacados se produjo en la primera jornada, cuando investigadores lograron hackear el sistema de infoentretenimiento de Tesla. El equipo Synacktiv encadenó una fuga de información con un fallo de escritura fuera de límites para obtener permisos root en el Tesla Infotainment System, en la categoría de ataques vía USB, lo que les valió 35.000 dólares. Solo en ese primer día se demostraron 37 zero-days, con recompensas que alcanzaron los 516.500 dólares.