Sus auriculares Bluetooth podrían ser vulnerables a ataques: esto es lo que debe hacer a continuación

Tabla de contenido

Siga ZDNET: Agréganos como fuente preferida en Google.

Conclusiones clave de ZDNET

Las vulnerabilidades de WhisperPair afectan un protocolo para conectar dispositivos y productos de audio.
Los atacantes pueden apoderarse de un dispositivo de audio, alterar los controles y potencialmente escuchar sus conversaciones.
Muchos proveedores han lanzado parches, pero algunos dispositivos aún son vulnerables

Los investigadores han revelado WhisperPair, una familia de vulnerabilidades que afectan un protocolo comúnmente utilizado para emparejar auriculares, audífonos y otros productos de audio con dispositivos Bluetooth.

- Advertisement -[wpcode id="699"]

¿Qué es WhisperPair?

Como informó por primera vez Wired, WhisperPair fue descubierto por un equipo de investigadores de la Universidad KU Leuven de Bélgica, con el apoyo del Programa de Investigación en Ciberseguridad del gobierno.

Los hallazgos se relacionan con la implementación inadecuada del protocolo Fast Pair de Google, que permite el emparejamiento con un solo toque y la sincronización de cuentas entre accesorios Bluetooth. Si el protocolo no se implementa correctamente, se introduce una falla de seguridad que «permite a un atacante secuestrar dispositivos y rastrear a las víctimas utilizando la red Find Hub de Google», según los investigadores.

La investigación de vulnerabilidad se informó a Google de forma privada en agosto de 2025 y se le otorgó una calificación crítica según CVE-2025-36911. Se acordó un plazo de divulgación de 150 días y se otorgó una recompensa por el error de 15.000 dólares.

Leer Walmart está vendiendo un reloj inteligente Samsung de $99 que realmente lo recomiendo mucho

¿Cómo funciona WhisperPair?

WhisperPair se produce porque muchos accesorios de audio omiten un «paso crítico» durante el emparejamiento rápido. Así es como funciona: un «buscador», como un dispositivo móvil con Bluetooth, envía un mensaje al «proveedor», un accesorio de audio. El mensaje incluye una solicitud de emparejamiento.

- Advertisement -[wpcode id="699"]

Si bien el protocolo Fast Pair especifica que estos mensajes deben ignorarse cuando un accesorio no está en modo de emparejamiento, esta verificación no siempre se realiza, lo que permite que dispositivos no autorizados inicien el emparejamiento sin permiso.

«Después de recibir una respuesta del dispositivo vulnerable, un atacante puede finalizar el procedimiento de emparejamiento rápido estableciendo un emparejamiento Bluetooth normal», dicen los investigadores.

¿Qué puede hacer WhisperPair?

Si un atacante puede emparejar de forma encubierta a su buscador con auriculares o audífonos vulnerables, podría obtener un control total sobre ellos, incluida la manipulación de controles como el volumen. Más importante aún, es posible que puedan grabar en silencio conversaciones realizadas con micrófonos integrados.

Los ataques WhisperPair se probaron a una distancia de hasta 14 metros y se pueden realizar de forma inalámbrica.

Lamentablemente, la cosa no termina ahí. Si un dispositivo es compatible con la red Find Hub de Google, pero no ha sido registrado, los atacantes podrían, en teoría, registrar ellos mismos un dispositivo objetivo en su propia cuenta y rastrear el accesorio y su usuario. Si bien aparecerá una notificación de seguimiento inesperada, solo se mostrará el dispositivo del usuario, por lo que es posible que se ignore esta advertencia.

¿Qué dispositivos se ven afectados?

Los auriculares y accesorios de audio de empresas como Google, Sony, Harman (JBL) y Anker se encuentran entre los que figuran como vulnerables al momento de escribir este artículo.

Leer Anthrope respalda la factura de seguridad de IA de California, SB 53

Debido a que WhisperPair explota una falla en la implementación de Fast Pair en los accesorios Bluetooth, los dispositivos Android no son los únicos en riesgo. Los usuarios de iPhone con accesorios vulnerables también se ven afectados.

- Advertisement -[wpcode id="699"]

¿Cómo sé si mi dispositivo es vulnerable?

El equipo de investigación ha publicado un catálogo de auriculares, audífonos y otros accesorios de audio populares que han sido probados. Hay una función de búsqueda útil que puede utilizar para verificar si su producto está en la lista: busque o ingrese el nombre del proveedor para ver el estado del producto que le interesa, y el directorio indicará si es vulnerable a los ataques de WhisperPair.

¿Qué debo hacer a continuación?

Si su accesorio todavía está etiquetado como vulnerable a este ataque, primero verifique si hay parches disponibles del proveedor. Incluso si su dispositivo se describe como «no vulnerable», debe tomarse un momento para asegurarse de que esté actualizado y haya aceptado nuevas actualizaciones de software.

Como señalan los investigadores, «la única forma de prevenir los ataques de WhisperPair es instalar un parche de software emitido por el fabricante». Puede consultar las aplicaciones o sitios web de los proveedores que lo acompañan para ver si hay algo disponible, pero si no, desafortunadamente, es solo un juego de espera. Si su accesorio es compatible con Find Hub pero no ha sido emparejado con un dispositivo Android, el equipo dice que los atacantes podrían «rastrear su ubicación», por lo que debe actualizarse tan pronto como haya una solución disponible.

Incluso si puedes desactivar Fast Pair en tu teléfono inteligente, esto no mitigará el riesgo de compromiso.

Leer Los principales líderes de IA están dando forma a VB Transform 2025 - Esto es lo que sigue para Enterprise AI

«Hasta donde sabemos, los accesorios compatibles tienen Fast Pair habilitado de forma predeterminada sin una opción para desactivarlo», agregaron los investigadores. «La única forma de prevenir ataques de WhisperPair es realizando una actualización del firmware del accesorio».