Investigadores de seguridad han descubierto una vulnerabilidad llamada WhisperPair en 17 dispositivos de audio que utilizan el protocolo Google Fast Pair, lo que permite a los hackers acceder a los micrófonos y rastrear ubicaciones dentro del alcance de Bluetooth. La falla afecta a productos de 10 fabricantes, incluidos Sony y Google, y se debe a una implementación inadecuada del estándar de emparejamiento. Google ha colaborado con los investigadores para abordar el problema, aunque las correcciones completas dependen de los socios de hardware.
Un equipo de investigadores de la Universidad KU Leuven de Bélgica reveló la vulnerabilidad WhisperPair el 15 de enero de 2026, que afecta a 17 modelos de auriculares y altavoces certificados para el protocolo Google Fast Pair. Esta función de emparejamiento en un toque, diseñada para simplificar las conexiones Bluetooth, ha sido implementada incorrectamente por algunos socios de hardware, permitiendo emparejamientos no autorizados incluso fuera del modo de emparejamiento. El ataque requiere que un hacker esté dentro del alcance de Bluetooth, hasta 14 metros, y conozca el número de modelo del dispositivo, que es fácil de obtener. Toma una mediana de 10 segundos, o menos de 15 en algunos casos, para secuestrar el dispositivo. Como explicó el investigador de KU Leuven Sayon Duttagupta a Wired: «Estás caminando por la calle con tus auriculares puestos, escuchando música. En menos de 15 segundos, podemos secuestrar tu dispositivo. Lo que significa que puedo activar el micrófono y escuchar el sonido ambiental. Puedo inyectar audio. Puedo rastrear tu ubicación». Una vez conectado, los atacantes pueden interrumpir flujos de audio, reproducir sus propios sonidos, espiar a través del micrófono o usar el Find Hub de Google para rastrear la ubicación del dispositivo. La vulnerabilidad afecta incluso a usuarios no Android si el dispositivo no ha sido vinculado a una cuenta de Google, permitiendo potencialmente a los hackers vincularlo a su propia cuenta. Los investigadores notificaron a Google en agosto de 2025, lo que impulsó una colaboración a través del programa de Recompensas por Vulnerabilidades de la compañía. Google proporcionó correcciones a los socios en septiembre de 2025 y actualizó su red Find Hub, pero el equipo encontró rápidamente una solución alternativa. Un portavoz de Google declaró: «Apreciamos colaborar con investigadores de seguridad... Trabajamos con estos investigadores para corregir estas vulnerabilidades, y no hemos visto evidencia de explotación fuera del entorno de laboratorio de este informe. Como mejor práctica de seguridad, recomendamos a los usuarios que verifiquen que sus auriculares tengan las últimas actualizaciones de firmware». Los fabricantes afectados incluyen Sony, Jabra, JBL, Marshall, Xiaomi, Nothing, OnePlus, Soundcore, Logitech y Google. Los Pixel Buds de Google han recibido parches, mientras que OnePlus está investigando. La falla no se puede desactivar, y muchos usuarios pueden seguir siendo vulnerables sin instalar aplicaciones de los fabricantes para actualizaciones. Los investigadores recomiendan verificar regularmente el firmware y realizar un restablecimiento de fábrica si se sospecha de un compromiso, señalando que no hay exploits conocidos en el mundo real hasta la fecha.
