Tus auriculares inalámbricos son tu puerta a la música, podcasts o llamadas privadas. Pero, ¿y si te dijera que esa puerta podría estar abierta para que otros escuchen?
Hoy voy a desglosar una nueva y peligrosa amenaza llamada WhisperPair (CVE-2025-36911), un fallo crítico que afecta a millones de dispositivos Bluetooth de marcas populares, y te enseñaré qué hacer para protegerte y asegurar la seguridad de tus auriculares Bluetooth.
La vulnerabilidad fue divulgada públicamente el 15 de enero de 2026 por investigadores de la KU Leuven, como detallan en su web oficial del descubrimiento.
- ¿Qué es el Ataque WhisperPair y a Quién Afecta?
- Fallo técnico: ¿Cómo funciona la vulnerabilidad Google Fast Pair?
- El riesgo real: ¿Qué pueden hacer al escuchar conversaciones por Bluetooth?
- Marcas Afectadas Confirmadas por los Investigadores
- Respuesta de Google y Solución Parcial
- Cómo proteger tus dispositivos Bluetooth del Ataque WhisperPair
- Preguntas Frecuentes (FAQ) sobre WhisperPair
¿Qué es el Ataque WhisperPair y a Quién Afecta?
Investigadores del equipo de Seguridad Informática y Criptografía Industrial de la Universidad Católica de Lovaina han descubierto un error crítico que causa la vulnerabilidad Google Fast Pair. La vulnerabilidad permite tomar el control de millones de dispositivos Bluetooth, rastrear la ubicación de los usuarios y escuchar conversaciones por Bluetooth.
El problema ha recibido el identificador CVE-2025-36911 y el nombre WhisperPair. Afecta a cientos de millones de auriculares y altavoces inalámbricos de diversos fabricantes que soportan Fast Pair. La vulnerabilidad reside en los propios accesorios, no en los smartphones, lo que significa que no solo los propietarios de dispositivos Android están expuestos a esta amenaza, sino también los de iPhone.
Fallo técnico: ¿Cómo funciona la vulnerabilidad Google Fast Pair?
La raíz del problema se encuentra en una implementación incorrecta del protocolo Fast Pair en numerosos dispositivos. La especificación de Google requiere que los dispositivos Bluetooth ignoren las solicitudes de emparejamiento cuando no se encuentran en modo de conexión. Sin embargo, muchos fabricantes no han implementado este mecanismo en sus productos, lo que permite a dispositivos de terceros iniciar el emparejamiento sin el consentimiento o conocimiento del propietario.
“Para iniciar el procedimiento Fast Pair, el Seeker (teléfono) envía un mensaje al Provider (accesorio) indicando que desea realizar el emparejamiento. Según la especificación, si el dispositivo no está en modo de emparejamiento (pairing), debe ignorar dichas solicitudes”, explican los investigadores.
“No obstante, en la práctica, muchos dispositivos no realizan esta verificación, permitiendo que dispositivos no autorizados inicien el proceso. Tras recibir una respuesta del dispositivo vulnerable, el atacante completa el procedimiento Fast Pair con un emparejamiento Bluetooth estándar”.
El riesgo real: ¿Qué pueden hacer al escuchar conversaciones por Bluetooth?
La explotación del ataque WhisperPair puede realizarse desde cualquier dispositivo con Bluetooth, como un portátil, una Raspberry Pi o incluso un smartphone. El atacante fuerza el emparejamiento con accesorios vulnerables de marcas como Google, Jabra, JBL, Logitech, Marshall, Nothing, OnePlus, Sony, Soundcore y Xiaomi a una distancia de hasta 14 metros. No se requiere ninguna acción por parte del usuario ni acceso físico.
Una vez completado el emparejamiento, el atacante obtiene control total sobre el dispositivo de audio y puede activar el volumen máximo o utilizar el micrófono para la escucha. Adicionalmente, CVE-2025-36911 permite rastrear la ubicación de la víctima a través de la red Find Hub; si el accesorio nunca ha sido conectado a un dispositivo Android, puede ser añadido a la cuenta del atacante.
Este método de rastreo es sigiloso, similar a los riesgos que plantean otros dispositivos de seguimiento, sobre los que puedes leer en mi artículo sobre cómo saber si te espían con un AirTag.
“La víctima podría recibir una notificación de seguimiento no deseado después de varias horas o días, pero esta indicará su propio dispositivo“, escriben los especialistas. “Los usuarios pueden interpretar esto como un error e ignorarlo, lo que permitiría al atacante continuar el seguimiento durante un período prolongado“.
Marcas Afectadas Confirmadas por los Investigadores
Según los investigadores, los dispositivos vulnerables incluyen productos de estas marcas (lista parcial confirmada, consulta la web oficial para la lista actualizada y estado de parches):
- Jabra
- JBL
- Logitech
- Marshall
- Nothing
- OnePlus
- Sony
- Soundcore
- Xiaomi
Puedes verificar tu modelo específico y si ya tiene parche en: la lista oficial de dispositivos vulnerables.
Respuesta de Google y Solución Parcial
La noticia ha tenido eco en medios especializados como Bleeping Computer, y Google ha pagado a los investigadores la recompensa máxima por el descubrimiento de esta vulnerabilidad: 15.000 dólares estadounidenses.
En colaboración con los fabricantes, Google ha preparado parches de firmware para muchos dispositivos, pero no todos los modelos los tienen disponibles aún. Revisa regularmente, ya que las actualizaciones siguen llegando.
Cómo proteger tus dispositivos Bluetooth del Ataque WhisperPair
La única forma de proteger tus dispositivos Bluetooth contra esta amenaza es mediante la actualización del firmware.
Aquí te indico los pasos clave:
- Instala actualizaciones de firmware: Es la única protección 100% efectiva. Revisa la aplicación del fabricante de tu accesorio y aplica cualquier parche de seguridad disponible.
- Revisa periódicamente: Como Google Fast Pair no se puede desactivar, haz de la revisión de actualizaciones un hábito regular.
- Limita el uso si no hay parche: Si tu dispositivo aún no tiene una actualización, considera no utilizarlo en lugares públicos o entornos donde la seguridad sea crítica hasta que el fabricante libere la solución.
Preguntas Frecuentes (FAQ) sobre WhisperPair
¿Desactivar Bluetooth en mi móvil me protege de WhisperPair?
No directamente. El ataque se dirige al accesorio (auricular, altavoz) cuando no está en modo de emparejamiento visible. Si bien apagar el Bluetooth de tu móvil cuando no lo usas es una buena práctica de seguridad, la vulnerabilidad reside en el accesorio y este puede ser atacado si está encendido, independientemente de tu teléfono.
¿Mi iPhone está en riesgo por esta vulnerabilidad?
Sí. Los investigadores han confirmado que la vulnerabilidad está en el hardware de los accesorios, no en el sistema operativo del teléfono. Por lo tanto, aunque Fast Pair es un protocolo de Google, si usas unos auriculares vulnerables con un iPhone, también estás expuesto al ataque.
¿Cómo sé si mis auriculares o altavoces han sido actualizados?
Debes abrir la aplicación oficial del fabricante de tus auriculares en tu smartphone (por ejemplo, la app de Sony, JBL, Soundcore, etc.). Dentro de la app, busca una sección de “Ajustes”, “Dispositivo” o “Firmware Update”. La mayoría de las aplicaciones te notificarán si hay una actualización pendiente.
El ataque WhisperPair es una seria llamada de atención sobre la seguridad de los dispositivos que usamos a diario. Como hemos visto, el riesgo es real y afecta a las marcas más confiables del mercado. La única defensa efectiva en este momento es ser proactivo: mantener el firmware de tus accesorios siempre actualizado.
¿Te ha resultado útil esta alerta? Compártela con tus amigos y familiares para que también puedan protegerse.
