Tengo malas y buenas noticias. Primero las malas: tu navegador probablemente haya sido hackeado esta semana. La buena es que ha sido en el Pwn2Own 2015.

El Pwn2Own ya se ha convertido en todo un evento fijo para desarrolladores, hackers y aficionados, que pueden ver de primera mano la evolución de la seguridad en los programas que más usamos diariamente.

La base del evento es sencilla: el que encuentre una vulnerabilidad y pueda explotarla se lleva dinero. Lo curioso es que aunque en años anteriores un navegador o sistema operativo suele obtener todo el protagonismo, este año la cosa ha estado más igualada.

Así funciona la búsqueda de bugs en el Pwn2Own

Pwn2Own 1

Los cuatro principales navegadores del mercado, Google Chrome, Mozilla Firefox, Apple Safari y Microsoft Internet Explorer, han sufrido lo suyo este año y en todos se han encontrado bugs que permiten ejecutar código arbitrario sin permiso del usuario ni del sistema.

Para conseguirlo normalmente hay que saltarse los sistemas de seguridad implementados en el navegador para que ejecute código; los participantes tuvieron 30 minutos para demostrar el bug que habían descubierto en ordenadores que no habían tocado nunca y con la última versión del navegador y del sistema operativo instalada.

Pwn2Own 2

En total se demostraron de esta manera 4 bugs en Internet Explorer ejecutando Windows 8.1, que fue el “ganador” del evento. Pero muy cerca se quedó Firefox con 3 bugs también en Windows 8.1, Safari en OS X Yosemite con 2 bugs, y finalmente Chrome en Windows 8.1 no se escapó, con un bug; aunque su descubridor se llevó la mayor cantidad de dinero, 110.000 dólares. En total se pagó más de medio millón de dólares a los participantes.

Lo bueno de Pwn2Own es que los bugs descubiertos no pueden ser publicados hasta que las desarrolladoras los arreglen, algo que compañías como Mozilla ya han anunciado que harán de inmediato.