🔥
iOS 27 iPhone 17 iPhone 18 AirPods iOS 26.3 Apple iOS CarPlay Santo Grial Resident Evil Requiem ChatGPT Go

Millones de auriculares inalámbricos pueden ser hackeados por culpa de Google y el protocolo Fast Pair

¡La vulnerabilidad de Fast Pair afecta a usuarios de las marcas de auriculares Sony, Bose o Jabra!

Millones de auriculares inalámbricos pueden ser hackeados por culpa de Google y el protocolo Fast Pair
Descubierta una vulnerabilidad crítica en el protocolo Fast Pair de Google
Publicado en Tecnología
Por por Gabriela Martínez

Una implementación defectuosa del protocolo Fast Pair de Google ha afectado a cientos de millones de dispositivos de audio Bluetooth con vulnerabilidades críticas. El ataque conocido como WhisperPair, ha dejado en evidenciado como la democratización de los protocolos de conexión rápida ha priorizado la gratificación inmediata sobre la robustez del enlace.

Marcas de renombre como Sony, Bose, OnePlus, Jabra, Xiaomi y la propia Google han sido señaladas por tener modelos vulnerables. El problema es sistémico: Google proporciona la especificación, pero la validación y certificación del cumplimiento de las normas de seguridad parecen haber fallado en múltiples niveles de la cadena de producción.

WhisperPair: privacidad en riesgo

El protocolo Fast Pair utiliza Bluetooth Low Energy (BLE) para emitir una señal que los teléfonos Android cercanos captan inmediatamente. Bajo condiciones normales, un accesorio solo debería aceptar solicitudes de vinculación cuando el usuario activa físicamente el "modo de emparejamiento". Sin embargo, investigadores de la Universidad KU Leuven en Bélgica descubrieron que una enorme cantidad de dispositivos certificados por Google ignoran este paso fundamental.

La falla permite que un atacante a menos de 14 metros de distancia fuerce una conexión con los auriculares, incluso si estos ya están siendo utilizados por el dueño legítimo. Al no rechazar las peticiones de enlace externas, el dispositivo se vuelve vulnerable a un "secuestro" digital en cuestión de segundos (aprox. 15 segundos según las pruebas de laboratorio), sin que el usuario tenga que interactuar con ningún botón.

Tener el control de los auriculares de otra persona los ha expuesto a riesgos graves como:

  • Escucha remota: Un atacante puede activar los micrófonos integrados de los auriculares para escuchar conversaciones ambientales del usuario.
  • Inyección de audio: Se pueden reproducir sonidos o mensajes manipulados directamente en el oído de la víctima.
  • Rastreo de ubicación: Si el atacante es el primero en vincular los auriculares a su propia cuenta de Google mediante este fallo, puede utilizar la red Find My Device (Encontrar mi dispositivo) de Google para rastrear la ubicación física del usuario de forma indefinida.

Google ha catalogado esta vulnerabilidad bajo el código CVE-2025-36911 con una severidad crítica. Aunque la compañía afirma haber trabajado con los fabricantes para distribuir correcciones desde septiembre pasado, la solución real recae en el eslabón más débil: la actualización del firmware.

A diferencia de un sistema operativo móvil que se actualiza casi automáticamente, muchos usuarios nunca conectan sus auriculares a las aplicaciones oficiales del fabricante para buscar parches de seguridad. Esto deja una ventana de exposición masiva que podría durar años. De momento, la recomendación es verificar y actualizar su software de inmediato si usas auriculares con Fast Pair.

Puedes seguir a iPadizate en Facebook, WhatsApp, Twitter (X) o consultar nuestro canal de Telegram para estar al día con las últimas noticias de tecnología.

Para ti
Queremos saber tu opinión. ¡Comenta!