Detrás del Gran Cortafuegos: El Concurso de Hackeo Tianfu Cup de China Regresa en las Sombras

En una fría mañana de enero de 2026, la competencia de hackeo Tianfu Cup de China reapareció discretamente: sin transmisión en vivo, sin fanfarria global y, para la mayoría, sin forma de mirar dentro. Lo que alguna vez fue aclamado como el “Pwn2Own chino” se ha transformado en un evento hermético y estrictamente controlado. Bajo la atenta mirada del Ministerio de Seguridad Pública, el Tianfu Cup ahora parece menos un festejo del talento cibernético y más una cosecha de armas digitales para el Estado.

Lanzado como la respuesta china al Pwn2Own occidental, el Tianfu Cup alguna vez ofreció recompensas lucrativas a los hackers capaces de vulnerar dispositivos y software de uso masivo. En 2021, el concurso fue noticia mundial con $1.9 millones en premios por exploits contra gigantes tecnológicos como Microsoft, Apple y Google. Pero a medida que crecían las tensiones cibernéticas y surgían nuevas regulaciones, el propósito del concurso - y su apertura - cambiaron drásticamente.

Tras pausas esporádicas y una edición apagada en 2023, el Tianfu Cup 2026 regresó con el mayor hermetismo hasta la fecha. Según analistas de amenazas de Natto Thoughts, el evento ahora es orquestado por el MPS, con acceso extranjero a los detalles del evento restringido agresivamente. Días después del anuncio de la competencia, su presencia en línea desapareció: los visitantes internacionales fueron bloqueados y el sitio web se desvaneció por completo.

Aun así, Natto Thoughts logró obtener una lista filtrada de objetivos: desde los últimos iPhones y Samsung Galaxy hasta referentes chinos como Huawei y Xiaomi. Los hackers debían lograr ejecución remota de código, escalada de privilegios a nivel kernel y compromiso total del dispositivo. El alcance no se limitó a teléfonos: Windows, macOS, plataformas en la nube como VMware y Docker, suites ofimáticas principales e incluso marcos de IA líderes estaban en la mira. Este año, nuevas categorías impulsaron a los participantes a usar agentes de IA para buscar vulnerabilidades en tiempo real y recrear exploits conocidos - una señal del creciente papel de la automatización en la ofensiva cibernética.

Pero con el fondo de premios recortado y las reglas reescritas, los verdaderos beneficiarios del concurso son evidentes. La ley china ahora exige que los ciudadanos reporten cualquier vulnerabilidad zero-day directamente al gobierno, prohibiendo su divulgación a terceros. Evidencias previas sugieren que estos exploits no quedan en el olvido: se canalizan al arsenal cibernético de Pekín, alimentando operaciones de espionaje y ofensivas en todo el mundo. “Se trata de retención de vulnerabilidades y control estatal, no de divulgación coordinada,” concluyó Natto Thoughts.

Lo que antes era un escenario para que los hackers alcanzaran fama y fortuna, el Tianfu Cup ahora opera en las profundidades de las sombras - sus hallazgos probablemente destinados a campañas encubiertas en lugar de la protección pública. A medida que China refuerza su control sobre el concurso, el panorama cibernético global se vuelve aún más impredecible, y el mundo se queda preguntándose qué armas digitales se están forjando detrás del gran cortafuegos.

WIKICROOK

• Zero: Una vulnerabilidad zero-day es una falla de seguridad oculta, desconocida para el fabricante del software y sin solución disponible, lo que la hace sumamente valiosa y peligrosa para los atacantes.
• Ejecución remota de código: La ejecución remota de código permite a los atacantes ejecutar comandos en tu computadora a distancia, lo que a menudo lleva al compromiso total del sistema y al robo de datos.
• Escalada de privilegios: La escalada de privilegios ocurre cuando un atacante obtiene acceso de nivel superior, pasando de una cuenta de usuario común a privilegios de administrador en un sistema o red.
• Escape de sandbox: Un escape de sandbox ocurre cuando un atacante o código malicioso logra salir de un entorno seguro y aislado para acceder al sistema general.
• Divulgación coordinada de vulnerabilidades: La divulgación coordinada de vulnerabilidades es un proceso en el que las fallas de seguridad se reportan de forma privada a los proveedores, permitiendo tiempo para corregirlas antes de hacerlas públicas.