Un fallo de seguridad bautizado como WhisperPair puso en alerta a la industria porque permite secuestrar audífonos y bocinas Bluetooth que usan el emparejamiento rápido de Google (Fast Pair), con riesgo de espionaje, inyección de audio y hasta rastreo en algunos casos. El problema no es “el Bluetooth en general”, sino cómo muchos fabricantes implementaron Fast Pair, dejando la puerta abierta a ataques sin que el usuario toque el botón de emparejamiento.

Puerta de acceso oculta a tu teléfono

Google Fast Pair nació para que conectar audífonos a Android/ChromeOS fuera casi instantáneo, con ese pop-up de “tocar para emparejar” que aparece apenas abres el estuche o enciendes los audífonos.

El giro incómodo: investigadores de KU Leuven (Bélgica) encontraron que, en varios accesorios certificados, Fast Pair puede aceptar solicitudes de emparejamiento aunque el dispositivo no esté realmente en modo pairing, algo que en teoría no debería pasar.

En la práctica, eso significa que un atacante cercano (a distancia Bluetooth) puede intentar forzar una conexión y “robarte” el audio accesorio en segundos, incluso si ya lo estabas usando. Y lo peor: una vez que el atacante logra emparejar, puede obtener acceso “como si fuera el dueño”, con acciones que van desde interrumpir/injectar audio hasta, en modelos con micrófono, intentar llegar a escenarios de escucha indebida (dependiendo del dispositivo y del ataque).

¿Cuáles son las marcas afectadas por la falla de seguridad?

El reporte público sobre WhisperPair apunta a 17 modelos afectados repartidos en 10 compañías que recibieron certificación Fast Pair, incluyendo Sony, Jabra, JBL, Marshall, Xiaomi, Nothing, OnePlus, Soundcore, Logitech y la propia Google. Engadget también recoge que Google afirma que sus Pixel Buds afectados ya están parcheados y protegidos, mientras otros socios siguen investigando o desplegando arreglos.

Lo relevante aquí (y el motivo por el que esto escala a “millones”): Fast Pair está metido en muchísimos audífonos y bocinas modernos, así que un fallo de implementación repetido entre marcas se vuelve un problema de alcance masivo. Y sí, esto no se siente como el típico bug “de nicho”: el ataque se vuelve plausible precisamente por lo cotidiano del escenario (gente caminando con audífonos puestos en espacios públicos).

¿Cómo proteger tu dispositivo?

Los investigadores describen que un atacante dentro del rango Bluetooth puede secuestrar el dispositivo y, según el modelo, activar funciones sensibles (como micrófono) o manipular el audio. Además, hay un ángulo extra: en ciertos casos, si el accesorio no se había vinculado antes a una cuenta, un atacante podría asociarlo a su propia cuenta y usar funciones de localización relacionadas con Find Hub/Find My Device para rastrear el dispositivo, aunque Google dijo haber desplegado mitigaciones y los investigadores reportaron que encontraron un bypass rápido.

Qué hacer:

Actualiza el firmware de tus audífonos/bocina desde la app del fabricante: muchos parches llegan por ahí, no por una actualización del teléfono.



Si usas modelos de las marcas mencionadas, revisa si hay comunicados/updates y no lo dejes “para después”: el riesgo se reduce cuando el accesorio corrige su implementación de Fast Pair.



Si tu dispositivo no tiene app o nunca recibe firmware updates, asume que puede quedarse expuesto más tiempo (y considera reemplazo si es un modelo clave para trabajo/llamadas).



