La seguridad de los auriculares Bluetooth y dispositivos de audio inalámbricos ha pasado de ser un tema casi anecdótico a una preocupación muy real. Un conjunto de vulnerabilidades, agrupadas bajo el nombre de WhisperPair, ha destapado hasta qué punto la comodidad del emparejamiento rápido puede convertirse en una vulnerabilidad en auriculares Bluetooth y un serio problema de privacidad y seguridad para millones de usuarios en todo el mundo.
Estas brechas afectan al protocolo Google Fast Pair, la tecnología que permite conectar con un toque auriculares, altavoces y otros accesorios Bluetooth a móviles Android y equipos con ChromeOS. Investigadores de la Universidad KU Leuven, en Bélgica, han demostrado que, si el sistema se implementa mal, terceros pueden secuestrar los auriculares, activar el micrófono y, en algunos casos, rastrear la ubicación del usuario sin que este se entere.
Qué es WhisperPair y por qué afecta a Fast Pair
El estudio bautizado como WhisperPair parte de una idea muy sencilla: analizar cómo se está aplicando en la práctica el protocolo Fast Pair de Google en auriculares y altavoces comerciales. Este sistema, introducido en 2017, nació para que el usuario pudiera emparejar un accesorio Bluetooth con solo acercarlo al móvil, sin tener que navegar por menús ni introducir códigos.
El problema aparece cuando los fabricantes no respetan todos los pasos de seguridad que exige el protocolo. Según los investigadores de KU Leuven, muchos accesorios omiten una comprobación crítica: ignorar las peticiones de emparejamiento rápido cuando el dispositivo no está en modo de vinculación. Al no hacer esa verificación, el auricular acepta solicitudes que nunca debería aceptar.
En la práctica, esto permite que un atacante cercano envíe un mensaje de Fast Pair a los auriculares y, tras recibir la respuesta del dispositivo vulnerable, complete un emparejamiento Bluetooth “normal” sin que el usuario intervenga. A partir de ese momento, el atacante tiene una puerta abierta al dispositivo de audio.
Los investigadores explican que este error de implementación no es un problema aislado, sino una familia de vulnerabilidades que han detectado en al menos 17 modelos de audio de diez fabricantes distintos, todos ellos compatibles con Fast Pair.
Qué puede hacer un atacante con tus auriculares Bluetooth
Las pruebas realizadas por el equipo de KU Leuven muestran un escenario preocupante. Con un hardware relativamente sencillo (por ejemplo, un miniordenador tipo Raspberry Pi) y situándose dentro del rango de Bluetooth, un atacante puede forzar el emparejamiento silencioso de los auriculares en menos de 15 segundos.
Una vez logrado ese vínculo, el control sobre el dispositivo es casi total. Entre las acciones posibles, los investigadores detallan que se puede:
- Inyectar audio a través de los auriculares o altavoces de la víctima, incluso a volumen muy alto.
- Interrumpir o manipular llamadas y otras reproducciones de audio.
- Tomar el control de los micrófonos integrados para escuchar el entorno físico del usuario sin que este note nada.
- Rastrear la ubicación del dispositivo en determinados modelos compatibles con la red de búsqueda de Google.
Los ensayos se llevaron a cabo a una distancia de hasta 14 metros (unos 46 pies), suficientes para que un atacante pueda operar desde la misma habitación, desde un local contiguo o incluso desde la calle, según la disposición del espacio. La clave es que el usuario no necesita hacer nada: el proceso se ejecuta en segundo plano y el auricular continúa funcionando con aparente normalidad.
En palabras de los investigadores, cuando el ataque tiene éxito, “el atacante pasa a ser, de facto, el dueño del dispositivo”. Puede subir o bajar el volumen, cortar el audio, grabar conversaciones o convertir unos simples cascos en un discreto micrófono de escucha remota.
El riesgo añadido del rastreo mediante la red Find Hub
Más allá de la escucha o la manipulación de audio, una de las derivadas más delicadas de WhisperPair tiene que ver con el rastreo físico del usuario. Algunos auriculares y dispositivos de audio son compatibles con la red de localización de Google, conocida como Find Hub, pensada para encontrar accesorios perdidos.
El diseño previsto es que el propietario registre sus auriculares en su cuenta de Google y, si los extravía, otros dispositivos Android cercanos colaboren de forma anónima enviando su posición. Sin embargo, los investigadores han demostrado que, en determinados modelos vulnerables, un atacante puede registrar a su nombre unos auriculares que aún no estén asociados a ninguna cuenta.
Ese movimiento convierte los cascos en una baliza de rastreo permanente. El agresor puede consultar su ubicación en el mapa y seguir los desplazamientos de la víctima durante largos periodos. Para más inri, si el sistema envía una alerta de rastreo no deseado, esta puede resultar confusa: técnicamente el dispositivo figura como propiedad de quien lo registró, lo que facilita que la persona vigilada ignore el aviso.
Conscientes del alcance de este problema, desde Google aseguran haber aplicado cambios en la gestión de la red Find Hub para impedir que se active en este escenario concreto. Según la compañía, esta mitigación elimina el vector de rastreo asociado a WhisperPair en todos los dispositivos, aunque sigue siendo imprescindible actualizar el firmware de los auriculares afectados.
Marcas afectadas y alcance global de la vulnerabilidad
Las pruebas de laboratorio han puesto el foco en accesorios de audio de marcas muy populares a nivel internacional, también presentes en España y el resto de Europa. Entre las compañías afectadas aparecen nombres como Sony, JBL, Harman, Jabra, Marshall, Xiaomi, Nothing, OnePlus, Soundcore, Logitech y la propia Google, entre otras.
En total, el equipo de KU Leuven ha identificado vulnerabilidades compatibles con WhisperPair en al menos 17 modelos diferentes pertenecientes a diez fabricantes. No todos los dispositivos se ven afectados de la misma forma: en algunos el atacante puede tomar el control total del audio, mientras que en otros, además, es posible aprovechar la integración con Find Hub para rastrear la ubicación.
Lo más preocupante es la escala. Fast Pair se ha convertido en un estándar de facto en el ecosistema Android y ChromeOS, por lo que se cuentan por cientos de millones los auriculares y altavoces compatibles que podrían estar en riesgo si sus fabricantes no han lanzado o aplicado los parches correspondientes.
Además, el problema no se limita a usuarios de Android. Cualquier persona que utilice unos auriculares vulnerables, aunque se conecte habitualmente desde un iPhone u otro dispositivo, puede verse afectada por el ataque, ya que el eslabón débil es el accesorio, no el teléfono.
La respuesta de Google y de los fabricantes
Tras recibir el informe de KU Leuven en verano, Google reconoció formalmente la existencia de las vulnerabilidades en Fast Pair y clasificó la principal como crítica (CVE-2025-36911). La compañía trabajó con los investigadores dentro de su Programa de Recompensas por Vulnerabilidades, abonando 15.000 dólares por el hallazgo y acordando un plazo de 150 días antes de la divulgación pública completa.
Durante ese periodo, Google afirma haber actualizado el software de varios de sus propios productos de audio, incluidos los Pixel Buds Pro, y haber enviado notificaciones técnicas a los fabricantes implicados, al menos desde septiembre, para que ajustaran sus implementaciones de Fast Pair. Algunos de estos proveedores han comenzado a distribuir ya firmware corregido para sus modelos.
En sus declaraciones públicas, la empresa insiste en que no hay evidencias de explotación de WhisperPair fuera de entornos de laboratorio y recalca que están “evaluando y mejorando de forma continua la seguridad de Fast Pair y Find Hub”. También subrayan que parte del problema se debe a que ciertos fabricantes no siguieron al pie de la letra las especificaciones del protocolo.
Paralelamente, se han liberado actualizaciones de seguridad en Android, Wear OS y dispositivos Google Pixel, donde se detallan los parches relacionados con Fast Pair. No obstante, estas medidas de Google no bastan por sí solas: la puerta de entrada sigue siendo el auricular y cada marca debe publicar e impulsar sus propias actualizaciones de firmware.
El gran olvidado: actualizar el firmware de los auriculares
Uno de los puntos en los que más insisten los investigadores es en el enorme desconocimiento que existe sobre el firmware de los auriculares Bluetooth. Muchos usuarios ni siquiera son conscientes de que sus cascos tienen un software interno actualizable, más allá de la app que utilizan para configurar el sonido.
A diferencia de móviles y ordenadores, que suelen avisar de forma insistente cuando hay una nueva versión disponible, los accesorios de audio no siempre muestran notificaciones claras. En muchos casos, para saber si hay una actualización hay que abrir la app oficial y buscar manualmente en el apartado correspondiente.
Esto provoca que, aun cuando los fabricantes publican parches de seguridad para WhisperPair, muchos usuarios sigan expuestos durante meses o años simplemente porque nunca han instalado la aplicación de la marca o no han entrado a revisar las opciones de actualización.
Los investigadores de KU Leuven han puesto a disposición del público una herramienta en su web donde se puede consultar si un modelo concreto de auriculares o altavoz está afectado y qué pasos seguir para actualizarlo. Insisten en que “la única forma de evitar ataques de WhisperPair es instalar un parche de software emitido por el fabricante”.
Impacto en el día a día: de la oficina al transporte público
Más allá de los detalles técnicos, lo que convierte a WhisperPair en un asunto delicado es su impacto en situaciones cotidianas. Hoy en día se utilizan auriculares inalámbricos para todo: videollamadas de trabajo, clases en remoto, entrenar en el gimnasio, viajar en transporte público o simplemente pasear por la ciudad escuchando música o pódcasts.
En muchos de esos contextos se comparten conversaciones privadas o información sensible que, si se capturan a través del micrófono de los cascos, pueden resultar de gran interés para atacantes, curiosos o incluso acosadores. El hecho de que el ataque pueda llevarse a cabo a varios metros de distancia y en cuestión de segundos hace que un entorno aparentemente seguro deje de serlo.
El estudio también ha reavivado el debate, especialmente en Europa y Estados Unidos, sobre la seguridad real de los dispositivos inalámbricos frente a los de cable. No es la primera vez que figuras públicas o expertos en inteligencia recomiendan utilizar auriculares con cable en reuniones confidenciales o desplazamientos, precisamente para reducir este tipo de riesgos.
WhisperPair no significa que todo uso de auriculares Bluetooth sea inseguro, pero sí apunta a una conclusión clara: tratar estos dispositivos como “gadgets inocuos” es un error. Al fin y al cabo, llevan micrófonos y mantienen una conexión activa con el móvil, la tableta o el ordenador.
Cómo saber si tus auriculares son vulnerables
Para los usuarios que no quieren entrar en tecnicismos, la duda principal es muy directa: ¿están mis auriculares afectados por WhisperPair? Aunque cada marca gestiona la información de forma distinta, hay varios pasos básicos que conviene seguir.
En primer lugar, los investigadores han publicado un catálogo online de modelos probados en el que se puede buscar por fabricante y producto. La herramienta indica si el dispositivo es vulnerable, si existe parche o si no se ha detectado problema. Es un buen punto de partida para quien tenga unos cascos relativamente recientes de marcas conocidas.
En segundo lugar, es recomendable consultar la página de soporte de la marca (Sony, JBL, Xiaomi, Jabra, Nothing, OnePlus, Harman, Google, etc.) y revisar las notas de versión de las últimas actualizaciones de firmware. En muchos casos, aunque no se mencione explícitamente “WhisperPair”, se hace referencia a mejoras de seguridad relacionadas con Fast Pair o con la red de búsqueda de dispositivos.
Por último, si tus auriculares son compatibles con funciones de localización tipo Find Hub y aún no los has vinculado a un móvil Android, es importante registrarlos con tu propia cuenta y mantenerlos actualizados para reducir el margen de maniobra de un posible atacante que intente apropiarse virtualmente del accesorio.
Buenas prácticas para reducir riesgos con auriculares Bluetooth
Aunque la corrección definitiva de WhisperPair depende de los fabricantes, los usuarios pueden adoptar una serie de hábitos sencillos que reducen de forma notable la superficie de ataque de sus auriculares inalámbricos.
Entre las recomendaciones más repetidas por expertos y organismos de ciberseguridad destacan las siguientes:
- Instalar siempre el firmware más reciente de los auriculares usando la app oficial del fabricante.
- Evitar accesorios genéricos o sin soporte claro, que rara vez reciben actualizaciones de seguridad.
- Desactivar el Bluetooth en el móvil, tableta u ordenador cuando no se esté utilizando.
- Limitar el emparejamiento en lugares públicos muy concurridos, especialmente mientras se soluciona el problema en cada modelo.
- Revisar qué dispositivos están emparejados de forma habitual y eliminar aquellos que no se reconozcan.
Estas medidas no hacen milagros, pero sí contribuyen a reducir de forma significativa la probabilidad de que un ataque de este tipo llegue a tener éxito, sobre todo en entornos donde hay muchos desconocidos alrededor, como estaciones, aeropuertos, centros comerciales o eventos multitudinarios.
Conviene recordar además que mantener el firmware al día no solo aporta seguridad: también mejora la estabilidad de la conexión, la calidad del sonido y la autonomía de la batería, e incluso añade funciones nuevas en algunos modelos, por lo que el esfuerzo extra suele merecer la pena.
Todo lo ocurrido con WhisperPair deja claro que incluso los dispositivos más pequeños pueden esconder fallos con impacto masivo. La moraleja que extraen los investigadores es sencilla: los pequeños “extras” de comodidad, como el emparejamiento con un toque, deben diseñarse y aplicarse con el mismo rigor de seguridad que cualquier otra parte del sistema. Para los usuarios, la lección pasa por no olvidar que los auriculares Bluetooth también son ordenadores en miniatura: si no se actualizan y se gestionan con un mínimo de cuidado, pueden acabar siendo una ventana abierta a miradas y oídos ajenos.
