Vulnerabilidad WhisperPair en Google Fast Pair: riesgos y cómo protegerte

Portada » Internet » Vulnerabilidad WhisperPair en Google Fast Pair: riesgos y cómo protegerte

La comodidad de encender unos auriculares Bluetooth y que el móvil los detecte al instante tiene truco: detrás de esa magia hay un protocolo de Google llamado Fast Pair que, según se ha descubierto, esconde una vulnerabilidad muy seria bautizada como WhisperPair. Este fallo permite que un atacante cercano tome el control de tus cascos o altavoces inalámbricos, los convierta en un micrófono espía e incluso los use como baliza de rastreo, aunque tú estés usando un iPhone, un ordenador con Windows o un portátil con Linux.

Un grupo de investigadores de la universidad KU Leuven, en Bélgica, ha destapado que la implementación de Fast Pair en muchos modelos de auriculares de marcas tan populares como Sony, JBL, Xiaomi, OnePlus, Jabra, Marshall o incluso los propios Pixel Buds de Google se ha hecho con errores de seguridad de bulto que rompen las garantías básicas de Bluetooth. El resultado es que cientos de millones de dispositivos repartidos por todo el mundo podrían ser secuestrados en cuestión de segundos sin que el usuario se dé cuenta.

Qué es Google Fast Pair y por qué ha acabado siendo un problema

Fast Pair nació como una de las funciones más vistosas del ecosistema Android: encender los auriculares, acercarlos al móvil y ver cómo salta un mensaje en pantalla para conectarlos con un solo toque, sin buscar manualmente en la lista Bluetooth ni pulsar botones físicos de emparejamiento. Este sistema, que Google ha extendido también a ChromeOS, se basa en el protocolo GFPS (Google Fast Pair Service), encargado de gestionar todo el proceso de detección y enlace.

En la teoría, un dispositivo compatible con Fast Pair solo debería aceptar nuevas asociaciones cuando está en modo de emparejamiento. En la práctica, la investigación de KU Leuven ha demostrado que al menos 17 modelos de auriculares y altavoces de 10 fabricantes distintos ignoran esa norma básica: aceptan nuevas conexiones aunque ya estén emparejados y en uso. Es justo esa brecha en la lógica de seguridad la que abre la puerta a WhisperPair.

Google planteó Fast Pair como la alternativa propia a la experiencia de los AirPods en el ecosistema de Apple: un emparejamiento ultrarrápido y casi invisible para el usuario. El problema es que, al priorizar la fluidez y la automatización, se eliminaron pasos de interacción física que servían como última barrera de seguridad, por ejemplo, tener que mantener pulsado un botón en la carcasa de los auriculares para permitir nuevas conexiones.

El corazón de Fast Pair es un sistema de autenticación basado en software y en claves de cifrado intercambiadas en el primer enlace. Si esa fase inicial no se implementa de forma robusta, como ha ocurrido en muchos modelos afectados, un atacante puede suplantar el proceso de emparejamiento y hacerse pasar por un dispositivo legítimo. Eso le permite negociar una conexión sin que el usuario toque nada, ni siquiera vea una alerta en el móvil.

Para el usuario todo sigue igual: la música continúa reproduciéndose, las llamadas se mantienen… pero en segundo plano, el auricular puede haber abierto una segunda conexión con el atacante. Esa segunda sesión encubierta es la que da pie a los escenarios de escucha remota, inyección de audio y rastreo físico descritos en la vulnerabilidad WhisperPair, catalogada formalmente como CVE-2025-36911.

Cómo funciona el ataque WhisperPair paso a paso

El esquema del ataque es, técnicamente, más sencillo de lo que cabría pensar. Los investigadores describen que basta con un dispositivo relativamente barato (desde una Raspberry Pi hasta un móvil Android normal) capaz de emitir solicitudes de Fast Pair a cualquier auricular o altavoz que se encuentre cerca. En las pruebas de KU Leuven, el rango práctico del ataque se situó en torno a los 14-15 metros, es decir, la típica distancia de una cafetería, una oficina compartida o un vagón de metro.

El dispositivo atacante lanza periódicamente los mensajes de descubrimiento de Fast Pair que enviaría un teléfono Android al encender la función. Muchos de los modelos vulnerables responden a esas peticiones incluso aunque no estén en modo de emparejamiento, lo que permite al atacante iniciar un proceso de emparejamiento silencioso que se completa en unos 10-15 segundos. No se requiere interacción alguna por parte de la víctima.

Una vez concluido el proceso de enlace, el auricular acepta comandos del atacante como si fuera su legítimo propietario. Dependiendo del modelo, eso permite interrumpir o controlar la reproducción de audio, colgar llamadas en curso, subir el volumen al máximo o iniciar una transmisión de audio propia. Pero el efecto realmente preocupante es que, en muchos casos, el atacante puede activar el micrófono sin notificarlo al usuario.

Los investigadores lo explican con un ejemplo muy gráfico: vas caminando por la calle, música puesta, auriculares en la oreja. En menos de 15 segundos, alguien dentro del rango de Bluetooth podría secuestrar tus cascos, encender el micrófono y escuchar todo lo que se oye a tu alrededor. No hay luces de aviso, ni sonidos raros, ni nada que te ponga sobre la pista de que tus auriculares ya no responden solo a tu móvil.

Además del control del audio, algunos de los modelos afectados, en particular productos de Google y Sony, están integrados con la red de localización de dispositivos de Google (conocida como Localizador de Google o Find Hub). Eso significa que, si el atacante consigue registrarlos como suyos mediante WhisperPair, podrá ver su ubicación en un mapa con un nivel de detalle muy elevado, utilizando la enorme red de móviles Android que reportan posiciones de dispositivos cercanos.

Riesgos de rastreo físico y por qué los usuarios de iPhone están tan expuestos

La derivada de rastreo físico de WhisperPair es especialmente delicada. Cuando unos auriculares compatibles con Fast Pair se conectan por primera vez a un dispositivo Android, el sistema guarda en la memoria interna del accesorio una clave de propietario asociada a la cuenta de Google de ese teléfono. Esa clave sirve para vincular el dispositivo a la red del Localizador de Google y poder encontrarlo después si se pierde.

El Localizador de Google funciona de forma parecida a la red Buscar de Apple: millones de móviles Android actúan como nodos que detectan dispositivos cercanos vía Bluetooth y envían su ubicación cifrada a los servidores de Google. Si un auricular está registrado como “tuyo”, podrás ver dónde ha sido visto por última vez en el mapa. El problema es que, si un atacante se adelanta y se registra como propietario aprovechando WhisperPair, la baliza de rastreo queda vinculada a su cuenta y no a la de la víctima.

Este escenario es especialmente probable en usuarios que emplean sus auriculares vulnerables exclusivamente con iOS y macOS, Windows o Linux y nunca los han emparejado con un Android mediante Fast Pair. En ese caso, la memoria del accesorio no tiene todavía una clave de propietario registrada, lo que deja la puerta abierta a que el atacante se convierta en el primer y único “dueño” oficial a ojos del Localizador de Google.

Una vez completado ese registro malicioso, el agresor ya no necesita estar cerca físicamente. Cualquier móvil Android de terceros que pase cerca de los auriculares reportará su ubicación a la cuenta de Google del atacante. Eso permite un acecho remoto y sigiloso, muy similar a los casos de uso abusivo de AirTag, pero con la particularidad de que el dispositivo de rastreo son los propios cascos de la víctima, algo que suele llevar encima a todas partes.

Los usuarios de Android que ya emparejaron sus auriculares con Fast Pair antes de que alguien intentara aprovechar WhisperPair están mucho mejor protegidos frente a esta vía concreta, porque su clave de propietario ya está grabada y el atacante no puede sobrescribirla con la suya en las condiciones normales descritas por los investigadores. Aun así, siguen siendo vulnerables a otros efectos del secuestro, como escuchar a través del micrófono o controlar las llamadas.

Marcas y modelos afectados, y alcance real del problema

En el estudio de KU Leuven se analizaron al menos 25 modelos de auriculares y altavoces de distintas marcas para comprobar cómo implementaban el protocolo de Fast Pair. Los resultados son preocupantes: más del 68 % de los dispositivos probados resultaron vulnerables a las técnicas de WhisperPair, lo que deja claro que no hablamos de un descuido puntual de un fabricante, sino de un fallo estructural en la manera en que se ha trasladado el estándar de Google a los productos comerciales.

Entre las marcas citadas por los investigadores y por medios como Wired, Xataka, Engadget o TuoiTre se encuentran nombres tan conocidos como Sony, Jabra, JBL, Marshall, Xiaomi, Nothing, OnePlus, Soundcore, Logitech, Anker y Google. En el caso concreto de Google, se han identificado problemas en los Pixel Buds 2, aunque la compañía asegura haber distribuido ya parches de firmware para corregir la vulnerabilidad.

En la lista inicial de dispositivos plenamente confirmados como vulnerables figuran 17 modelos de 10 fabricantes diferentes, pero los propios investigadores advierten que el listado no es ni de lejos exhaustivo. Dado que muchos fabricantes comparten chipsets y pilas de software Bluetooth, es muy probable que existan más modelos afectados que no han sido evaluados todavía en laboratorio.

Otro matiz importante es que algunos modelos vulnerables a la toma de control (inyección de audio, apertura de micrófono, interrupción de llamadas) no están integrados con el Localizador de Google, con lo que no pueden usarse para rastreo geográfico de alta precisión. Aun así, el simple hecho de poder abrir el micrófono de forma remota es por sí solo un impacto grave en la privacidad.

La investigación también ha puesto de manifiesto un problema clásico del ecosistema Android y del Internet de las Cosas en general: la fragmentación y la falta de hábito de actualizar el firmware en dispositivos periféricos

. Aunque algunos fabricantes han reaccionado lanzando actualizaciones de seguridad, la mayoría de usuarios ni sabe que existen, ni tiene instalada la app de gestión del fabricante necesaria para aplicarlas.

Respuesta de Google y de los fabricantes ante WhisperPair

Tras recibir el informe inicial de KU Leuven en agosto, Google coordinó con los investigadores la publicación responsable de los detalles y emitió un aviso de seguridad reconociendo la existencia de las vulnerabilidades asociadas a WhisperPair. La empresa afirma que no ha detectado explotación activa fuera de los entornos de prueba, aunque los propios investigadores apuntan que, en muchos casos, Google no tendría forma de ver ataques sobre dispositivos que no están bajo su control directo.

Google afirma haber trabajado con varios de los fabricantes afectados para que publiquen actualizaciones de firmware que corrijan la implementación defectuosa de Fast Pair. Marcas como Xiaomi, JBL, Logitech y OnePlus habrían confirmado a medios especializados que ya han liberado parches de seguridad para determinados modelos. Además, Google ha actualizado sus propios Pixel Buds y ha realizado cambios en los Servicios de Google Play relacionados con Fast Pair y Find Hub.

A nivel de sistema operativo, la compañía ha impulsado en enero de 2026 una actualización de Android destinada a mitigar el impacto del fallo desde el propio sistema. Aunque no se han dado detalles técnicos concretos, se especula con que los móviles actualizados dejarán de reportar a la red del Localizador de Google la ubicación de accesorios capturados mediante WhisperPair, reduciendo así el potencial de rastreo abusivo.

Sin embargo, el parche de Android no resuelve los problemas de raíz en todos los escenarios. Por un lado, no todos los usuarios aplican las actualizaciones del sistema con rapidez, especialmente en dispositivos de gamas más antiguas o personalizaciones de fabricantes. Por otro, la corrección de la lógica de emparejamiento reside en el firmware de los propios auriculares, que depende exclusivamentede cada marca y modelo.

Google también dispone de una herramienta llamada Fast Pair Validator, pensada para que los fabricantes verifiquen que su implementación cumple con los requisitos de seguridad del protocolo. Los investigadores señalaron que, incluso en dispositivos que ya habían pasado por esa validación, las técnicas de WhisperPair seguían siendo viables, lo que indica que las pruebas actuales no cubren todos los vectores de ataque descubiertos en el estudio.

Por qué la arquitectura de Fast Pair facilita este tipo de fallos

La vulnerabilidad no se limita a un bug aislado, sino que sirve como ejemplo de los riesgos de priorizar la experiencia de usuario por encima de la seguridad en el diseño de protocolos. Fast Pair pretende eliminar pasos “molestos” como mantener pulsado un botón, confirmar códigos numéricos o abrir menús de Bluetooth. Para ello, traslada el control del flujo de emparejamiento a una serie de mensajes de software y claves de cifrado que se intercambian de manera casi invisible.

En muchos dispositivos, los desarrolladores han confiado en que el móvil que emite las peticiones de Fast Pair es legítimo, sin añadir comprobaciones adicionales ni mecanismos criptográficos robustos que autentiquen de verdad al “dueño” del accesorio. Cuando esas verificaciones se implementan de forma laxa o se omiten, basta con que un atacante imite el comportamiento del cliente Android para engañar al auricular y lograr que lo acepte como nuevo controlador.

Las pruebas realizadas por KU Leuven muestran que la mayoría de los fabricantes no han aplicado todas las medidas de endurecimiento que cabría esperar en un protocolo de este tipo. En muchos casos, ni siquiera se requiere una interacción del usuario para que se establezca una nueva asociación, lo que convierte al auricular en una especie de puerta trasera móvil que cualquiera puede forzar mientras el dueño está dentro del rango de Bluetooth.

Además, las alertas o notificaciones de seguridad asociadas al rastreo mediante la red de localización pueden tardar bastante en aparecer o no estar del todo claras para el usuario. Se ha mencionado que las advertencias de seguimiento no autorizado pueden retrasarse incluso hasta 48 horas en algunos casos, un margen de tiempo muy amplio durante el cual la persona afectada puede ser vigilada sin sospechar absolutamente nada.

Todo esto deja una moraleja clara para la industria: si se elimina la fricción física del proceso de emparejamiento, hay que compensarlo con controles criptográficos mucho más estrictos y comprobaciones de propiedad bien diseñadas. De lo contrario, la comodidad se convierte en la puerta de entrada perfecta para ciberataques en silencio.

Cómo saber si tus auriculares son vulnerables y qué puedes hacer

Lo peor de vulnerabilidades como WhisperPair es que, de cara al usuario, no hay señales fáciles de detectar. Si alguien secuestra tus auriculares, la música puede seguir sonando y las llamadas funcionar aparentemente con normalidad. Por eso, la principal vía de protección pasa por comprobar qué dispositivos están afectados, aplicar actualizaciones de firmware y tomar algunas precauciones prácticas.

En primer lugar, conviene revisar la documentación del fabricante y las listas que han ido publicando tanto los investigadores de KU Leuven como medios especializados para ver si tu modelo aparece entre los afectados. Aun así, dado que el listado oficial es casi seguro incompleto, es recomendable asumir que cualquier auricular Bluetooth relativamente moderno compatible con Fast Pair podría estar en riesgo hasta que se demuestre lo contrario.

Casi todos los fabricantes implicados ofrecen una aplicación oficial (Sony Headphones, JBL, Jabra Sound+, Xiaomi Earbuds, etc.) desde la que se pueden buscar actualizaciones de firmware para el accesorio. Muchos usuarios nunca llegan a instalar estas apps, lo que provoca que millones de auriculares se queden anclados a versiones vulnerables durante años. El paso mínimo de seguridad es descargar la app correspondiente, conectarse con los cascos y forzar una búsqueda de actualizaciones.

Si hay un nuevo firmware disponible, instálalo y, cuando termine el proceso, realiza un restablecimiento de fábrica del auricular para borrar por completo la lista de dispositivos emparejados. Esto elimina también cualquier asociación que un atacante haya podido crear a tus espaldas y obliga a iniciar de cero la relación de confianza entre el accesorio y tus dispositivos.

En caso de que tu modelo no tenga todavía una actualización que corrija la vulnerabilidad, pero cuentes con un dispositivo Android de confianza (propio o de alguien cercano), una posible mitigación es emparejar los auriculares con ese Android mediante Fast Pair para registrar cuanto antes una clave de propietario legítima en el Localizador de Google. De este modo, se bloquea, al menos, la posibilidad de que un atacante se apropie del dispositivo en la red de rastreo.

Buenas prácticas para reducir el riesgo en el día a día

Aunque la solución definitiva pasa por parches de firmware y mejoras en el protocolo, hay varias medidas de sentido común que ayudan a minimizar el impacto de WhisperPair y de fallos similares. La primera es mantener el firmware de todos tus dispositivos IoT tan al día como mantienes el de tu móvil. Eso implica revisar regularmente las apps de los auriculares y altavoces, no solo instalarlas una vez y olvidarse.

También resulta prudente evitar, en la medida de lo posible, emparejar por primera vez unos auriculares nuevos en lugares públicos muy concurridos. Si haces el primer enlace en casa, usando tu propio Android y con la app oficial del fabricante, reduces la ventana en la que alguien puede adelantarse y registrar el dispositivo como suyo. Es una precaución similar a la que se recomienda con etiquetas de rastreo tipo AirTag.

Mientras no se tenga la certeza de que un modelo concreto está parcheado, puede merecer la pena limitar el uso de auriculares vulnerables en entornos donde se traten conversaciones delicadas, como reuniones de trabajo sensibles o espacios privados en los que no quieras correr el más mínimo riesgo de escucha clandestina.

A nivel más general, esta situación recuerda que conviene no confiar ciegamente en cualquier función de automatización “mágica” que nos ofrezcan los fabricantes sin preguntarnos qué implica en términos de seguridad. La comodidad está bien, pero es importante revisar los ajustes, conocer qué datos se comparten y qué redes de rastreo están habilitadas por defecto, especialmente cuando se trata de dispositivos que llevamos encima todo el día.

Finalmente, si sospechas de un comportamiento extraño (cortes repentinos, cambios de volumen sin motivo aparente, desconexiones raras) y sabes que tu modelo forma parte de los afectados, puede ser buena idea restablecer el accesorio a valores de fábrica y repetir el emparejamiento solo con tus propios dispositivos, además de revisar si hay actualizaciones disponibles y, en caso de duda, consultar las páginas oficiales de seguridad del fabricante.

Todo este episodio con WhisperPair y Fast Pair deja claro hasta qué punto un detalle de diseño pensado para hacer la vida más fácil puede transformarse en una vía de entrada para el espionaje digital: unos simples auriculares, que muchos consideran accesorios inofensivos, han demostrado ser capaces de convertirse en micrófonos espía y balizas de rastreo si el software que los gobierna no está a la altura; por eso, estar al tanto de estas vulnerabilidades, actualizar con frecuencia y exigir mejores prácticas de seguridad a fabricantes como Google, Sony, JBL o Xiaomi se ha vuelto casi tan importante como cuidar la contraseña del correo o activar la verificación en dos pasos.