Hacking ONESEC

¡Contáctanos!

WhisperPair: Cómo los hackers pueden espiar tus conversaciones atacando tus audífonos Bluetooth

Hugo Piña

·

·

, , ,

Imagina que caminas por la calle escuchando música con tus audífonos inalámbricos. Sin que lo notes, alguien a menos de 14 metros de ti ejecuta un script desde su laptop. En menos de 15 segundos, esa persona tiene control total de tus audífonos: puede escuchar todo lo que dices a través del micrófono, rastrear tu ubicación en tiempo real, e incluso inyectar audio a máximo volumen. No es ciencia ficción. Es WhisperPair, y probablemente tus audífonos son vulnerables.

El Descubrimiento que Sacudió a la Industria

En agosto de 2025, investigadores del grupo COSIC de la Universidad KU Leuven en Bélgica reportaron a Google una vulnerabilidad crítica en el protocolo Fast Pair. Google clasificó la falla como crítica y le asignó el identificador CVE-2025-36911. La compañía otorgó el bounty máximo de $15,000 USD por el hallazgo y solicitó un período de 150 días antes de la divulgación pública para que los fabricantes pudieran desarrollar parches.

El problema radica en una implementación defectuosa del protocolo Google Fast Pair, diseñado para facilitar el emparejamiento rápido de dispositivos Bluetooth con un solo toque. Según la especificación oficial, los dispositivos solo deberían aceptar solicitudes de emparejamiento cuando están en modo pairing. Sin embargo, los investigadores descubrieron que muchos dispositivos de marcas reconocidas aceptan conexiones en cualquier momento, sin verificar este estado.

Cómo Funciona el Ataque

El atacante no necesita hardware especializado. Cualquier dispositivo con Bluetooth como una laptop, un teléfono o una Raspberry Pi es suficiente. El proceso es devastadoramente simple: el atacante escanea dispositivos Fast Pair cercanos, selecciona el objetivo, y envía una solicitud de emparejamiento que el dispositivo vulnerable acepta erróneamente.

Los investigadores de KU Leuven probaron 25 dispositivos comerciales de 16 fabricantes diferentes, utilizando 17 chipsets Bluetooth distintos. El resultado fue alarmante: el 68% de los dispositivos probados fueron vulnerables al secuestro forzado, y en cada dispositivo comprometido lograron acceso completo al micrófono.

Una vez que el atacante tiene control del dispositivo de audio, las posibilidades son múltiples: puede escuchar conversaciones ambientales a través del micrófono, inyectar audio a volúmenes altos, pausar o controlar la reproducción, y en dispositivos compatibles con Google Find Hub, rastrear la ubicación de la víctima durante días antes de que reciba una notificación. Lo más inquietante es que esta notificación aparecerá como si proviniera de su propio dispositivo, lo que muchos usuarios descartarán como un error del sistema.

Ubicación mediante bluetooth

¿Quiénes Están en Riesgo?

La vulnerabilidad afecta a cientos de millones de dispositivos de audio a nivel mundial. No importa si usas iPhone o Android: la falla está en el firmware de los accesorios, no en el sistema operativo del teléfono. Los investigadores confirmaron que los siguientes dispositivos son vulnerables:

Dispositivos Confirmados como Vulnerables:

  • Sony WH-1000XM6, WH-1000XM5, WH-1000XM4, WF-1000XM5, WH-CH720N
  • Google Pixel Buds Pro 2 (parcheado posteriormente)
  • Jabra Elite 8 Active
  • JBL TUNE BEAM
  • Marshall MOTIF II A.N.C.
  • Soundcore Liberty 4 NC
  • OnePlus Nord Buds 3 Pro
  • Nothing Ear (a)
  • Xiaomi Redmi Buds 5 Pro

Dispositivos Confirmados como NO Vulnerables:

  • Apple AirPods (toda la línea)
  • Sonos Ace
  • Audio-Technica ATH-M20xBT
  • JBL Flip 6
  • Jabra Speak2 55 UC
  • Bose QC Ultra Headphones
  • Poly VFree 60 Series
  • Bang & Olufsen Beosound A1 2nd Gen
  • Beats Solo Buds

Por Qué Actualizar el Teléfono No Es Suficiente

Este es el punto crítico que muchos usuarios no entienden: actualizar Android o iOS no soluciona el problema. La vulnerabilidad reside en el firmware del accesorio Bluetooth, no en el sistema operativo del teléfono. Tampoco sirve hacer un factory reset del dispositivo de audio.

Google Fast Pair no puede desactivarse. La única protección efectiva es instalar las actualizaciones de firmware que los fabricantes han comenzado a liberar. Esto requiere, en la mayoría de los casos, descargar la aplicación del fabricante y ejecutar el proceso de actualización desde ahí.

CVE-2025-36911

Cómo Protegerte

La primera acción es verificar si tu dispositivo está en la lista de vulnerables. Los investigadores mantienen una base de datos actualizada en whisperpair.eu/vulnerable-devices donde puedes buscar tu modelo específico. Si tu dispositivo aparece como vulnerable o no está en la lista, asume que podría serlo y toma las siguientes medidas:

Descarga la aplicación oficial del fabricante de tus audífonos o bocinas Bluetooth. Busca en la sección de configuración o soporte la opción de actualización de firmware. Aplica cualquier actualización disponible inmediatamente. Repite este proceso periódicamente, ya que algunos fabricantes continúan liberando parches.

Si tu dispositivo no tiene actualización disponible, considera limitar su uso en lugares públicos donde un atacante podría estar dentro del rango de 14 metros. Monitorea las notificaciones de rastreo no deseado que puedan aparecer en tu teléfono.

El Panorama Más Amplio

WhisperPair se suma a una lista creciente de vulnerabilidades en Bluetooth: BlueBorne, BLUFFS, KNOB. Cada una ha demostrado que la conveniencia de la conectividad inalámbrica viene con riesgos de seguridad significativos. La eliminación del puerto de audífonos en smartphones modernos ha forzado a millones de usuarios hacia dispositivos Bluetooth, ampliando dramáticamente la superficie de ataque.

Los investigadores de KU Leuven proponen una solución a largo plazo: implementar un enlace criptográfico de intención de emparejamiento directamente en el protocolo, asegurando que los dispositivos no puedan iniciar emparejamientos no autorizados fuera de los flujos esperados. Sin embargo, esto requiere cambios fundamentales que tomarán años en implementarse a nivel industria.

¿Necesitas Evaluar la Seguridad de Tu Infraestructura?

En ONESEC, nuestro equipo de Red Team evalúa constantemente amenazas emergentes como WhisperPair. Si tu organización utiliza dispositivos Bluetooth corporativos, sistemas de conferencia inalámbricos, o simplemente quieres entender tu exposición real a este tipo de vulnerabilidades, podemos ayudarte.

Contáctanos en onesec.mx para una evaluación de seguridad personalizada.

Referencias

BleepingComputer – Critical WhisperPair flaw lets hackers track, eavesdrop via Bluetooth audio devices. Recuperado el 3 de febrero de 2026 de https://www.bleepingcomputer.com/news/security/critical-whisperpair-flaw-lets-hackers-track-eavesdrop-via-bluetooth-audio-devices/

KU Leuven COSIC – WhisperPair: Hijacking Bluetooth Accessories Using Google Fast Pair. Recuperado el 3 de febrero de 2026 de https://whisperpair.eu/

SecurityWeek – WhisperPair Attack Leaves Millions of Bluetooth Accessories Open to Hijacking. Recuperado el 3 de febrero de 2026 de https://www.securityweek.com/whisperpair-attack-leaves-millions-of-bluetooth-accessories-open-to-hijacking/

Malwarebytes – WhisperPair exposes Bluetooth earbuds and headphones to tracking and eavesdropping. Recuperado el 3 de febrero de 2026 de https://www.malwarebytes.com/blog/news/2026/01/whisperpair-exposes-bluetooth-earbuds-and-headphones-to-tracking-and-eavesdropping

Engadget – Flaw in 17 Google Fast Pair audio devices could let hackers eavesdrop. Recuperado el 3 de febrero de 2026 de https://www.engadget.com/cybersecurity/flaw-in-17-google-fast-pair-audio-devices-could-let-hackers-eavesdrop-194613456.html

, , , , ,

Hugo Piña

Share via
Facebook
X (Twitter)
LinkedIn
Mix
Email
Print
Copy Link
Copy link
CopyCopied