El protocolo Fast Pair de Google ofrece una de las mejores experiencias Bluetooth que encontrará en la actualidad, ya que empareja automáticamente auriculares inalámbricos, parlantes y otros accesorios y comparte esos detalles en su cuenta. Desafortunadamente, un nuevo documento revela algunos problemas de seguridad bastante serios con algunos dispositivos Fast Pair, y necesitarás actualizar cada uno de tus dispositivos individualmente para solucionarlo.
Investigadores de la Universidad KU Leuven de Bélgica publicaron sus hallazgos en un grupo de vulnerabilidades de Fast Pair que llaman WhisperPair. Estos agujeros se informaron inicialmente a Google en agosto de 2025, después de lo cual estos problemas se marcaron como críticos y se les dio una ventana de divulgación de 150 días para mantener a los usuarios lo más seguros posible. Aunque no parece que la mayoría de los usuarios estén en riesgo con WhisperPair en este momento, vale la pena aprender cómo funciona.
A través de WhisperPair, los atacantes pueden utilizar cualquier dispositivo con capacidad Bluetooth, desde una computadora portátil hasta una Raspberry Pi, para apuntar a un dispositivo vulnerable, emparejándose de forma remota sin tener que interactuar físicamente con su teléfono, auriculares o cualquier otra cosa. El agujero de seguridad surge de accesorios que omiten una parte crucial del proceso de emparejamiento: detectar si el producto está activo o no en modo de emparejamiento. Si esta verificación no está incluida en el software del producto, los piratas informáticos pueden comenzar a emparejarse con el producto de forma remota, y la única manera de saberlo es a través de una posible notificación de “seguimiento no deseado” que, desafortunadamente, muestra el propio dispositivo del usuario como fuente.
El defecto se debe a que muchos accesorios no cumplen con un paso crítico en el proceso de emparejamiento. Para iniciar el procedimiento de Emparejamiento Rápido, un Buscador (un teléfono) envía un mensaje al Proveedor (un accesorio) indicando que desea emparejarse. La especificación Fast Pair establece que si el accesorio no está en modo de emparejamiento, debe ignorar dichos mensajes. Sin embargo, muchos dispositivos no aplican esta verificación en la práctica, lo que permite que dispositivos no autorizados inicien el proceso de emparejamiento. Después de recibir una respuesta del dispositivo vulnerable, un atacante puede finalizar el procedimiento de emparejamiento rápido estableciendo un emparejamiento Bluetooth normal.
Anuncio: desplácese para ver más contenido
No todos los accesorios Fast Pair pueden ser secuestrados mediante estos métodos, pero los que son vulnerables le dan a un hacker potencial una gran ventaja para trabajar. El seguimiento de ubicación a través de Find Hub, la interrupción de la reproducción de audio y las llamadas telefónicas y la grabación ambiental son solo algunas de las amenazas que enfrentan los dispositivos afectados aquí. Estos riesgos incluso se extienden más allá de Android a iOS, porque el objetivo es el accesorio habilitado para Fast Pair, y no su teléfono específico.
Algunos de los productos actualmente listados en Lista de WhisperPair de dispositivos afectados Incluye los auriculares WH-1000XM6 de Sony (así como sus dos predecesores, los XM5 y XM4, y sus homólogos de auriculares de Sony), Nothing’s Ear (a), OnePlus Nord Buds 3 Pro y Pixel Buds Pro 2 de Google.
El sitio web oficial de WhisperPair, así como un informe en profundidad de Wired – profundice mucho más en cómo funciona todo esto, y definitivamente le sugiero que consulte ambos si le preocupan sus propios accesorios compatibles con Fast Pair. Mientras tanto, estos investigadores sugieren mantener sus dispositivos compatibles con Fast Pair actualizados con cualquier parche, ya que no existe una forma real para que los usuarios finales deshabiliten esta funcionalidad por sí mismos.
FTC: Utilizamos enlaces de afiliados automáticos que generan ingresos. Más.
