Celebrada anualmente desde 2007, Pwn2Own es una de las competiciones de ciberseguridad más grandes y prestigiosas del mundo . Aquí, equipos de hackers de sombrero blanco e investigadores de seguridad de todo el mundo compiten para encontrar y explotar vulnerabilidades de día cero (vulnerabilidades de seguridad que nunca antes se habían conocido) en dispositivos populares como teléfonos inteligentes, cámaras de seguridad, equipos de oficina y software utilizado por muchas empresas.

En Pwn2Own 2024, el equipo de ciberseguridad de Viettel descubrió y explotó 9 vulnerabilidades de día cero en productos de HP, Canon, Synology, QNAP Systems... y logró un total de 33 puntos, casi el doble que el equipo que quedó en segundo lugar, el Team Cluck de Estados Unidos, con 17,25 puntos. Los siguientes en la lista son Midnight Blue de Europa, Neodyme de Alemania y DEVCORE de Taiwán (China), todos ellos han participado y obtenido altos resultados en Pwn2Own y otras competiciones de seguridad.

La recompensa por cada vulnerabilidad encontrada es de 20.000 a 50.000 USD y el premio total en Pwn2Own es de aproximadamente 1 millón de USD, de los cuales el equipo de ciberseguridad de Viettel recibió más de 200.000 USD. Las vulnerabilidades descubiertas por VCS también ayudan a los fabricantes a mejorar la seguridad de los dispositivos, evitando la divulgación de imágenes y datos de personas y empresas que los utilizan.

Pwn2Own 2024 tiene ocho categorías, centradas en dispositivos que integran inteligencia artificial (IA), lo que requiere que los expertos en seguridad no solo comprendan el código fuente, sino que también tengan conocimiento de cómo los sistemas de IA almacenan, procesan datos y operan en los dispositivos. Aquí, el equipo de ciberseguridad de Viettel explotó con éxito las categorías de cámaras de vigilancia, altavoces inteligentes, impresoras, dispositivos de almacenamiento conectados a la red (NAS) y enrutadores de oficina (SOHO).

El desafío este año es que la mayoría de los dispositivos de IA cuentan con detección y autenticación de usuarios basadas en aprendizaje automático, que se actualiza y adapta automáticamente para detectar comportamientos inusuales, también conocidos como protección dinámica. Como resultado, encontrar vulnerabilidades y tomar control de los dispositivos se vuelve más difícil.

Estos también son dispositivos desarrollados por grandes empresas tecnológicas, se someten a rigurosas pruebas y reciben actualizaciones de seguridad continuas. Por lo tanto, Pwn2Own no es sólo una competencia entre grupos de investigación de seguridad, sino también una "competencia" con grandes empresas de tecnología.

En cada dispositivo, VCS estudia el código fuente y prueba posibles escenarios de ataque. El equipo identifica vulnerabilidades difíciles, con pocas posibilidades de duplicación con otros equipos, para demostrar en vivo y obtener acceso o control del dispositivo. (Las vulnerabilidades duplicadas no se consideran válidas).

Según Propiedad Intelectual e Innovación