Bluetooth

¿Tus auriculares Bluetooth te están espiando?

Desglosamos el ataque WhisperPair, que permite rastrear a las víctimas a través de auriculares comunes con Bluetooth.

Stan Kaminsky
31 Ene 2026

Una vulnerabilidad recién descubierta llamada WhisperPair puede convertir los auriculares Bluetooth de muchas marcas conocidas en balizas de rastreo personal, independientemente de si los accesorios están conectados a un iPhone, teléfono inteligente Android o incluso un ordenador portátil. Aunque la tecnología detrás de este fallo fue desarrollada originalmente por Google para dispositivos Android, los riesgos de rastreo son en realidad mucho más altos para quienes usan auriculares vulnerables con otros sistemas operativos, como iOS, macOS, Windows o Linux. Para los propietarios de iPhone, esto es especialmente preocupante.

La conexión de auriculares Bluetooth a teléfonos inteligentes Android se volvió mucho más rápida cuando Google lanzó Fast Pair, una tecnología que ahora utilizan docenas de fabricantes de accesorios. Para enlazar un nuevo auricular, solo debes encenderlo y sostenerlo cerca de tu teléfono. Si el dispositivo es relativamente moderno (fabricado después de 2019), aparece una ventana emergente que te invita a conectarte y descargar la aplicación adjunta, si existe. Un toque y listo.

Lamentablemente, parece que algunos fabricantes no prestaron atención a los detalles de esta tecnología al implementarla y ahora el teléfono inteligente de un desconocido puede interceptar sus accesorios en segundos, incluso si el auricular no está en modo de enlace. Esta es la base de la vulnerabilidad WhisperPair, descubierta recientemente por investigadores de KU Leuven y registrada como CVE-2025-36911.

El dispositivo atacante, que puede ser un teléfono inteligente, una tableta o un ordenador portátil estándar, transmite las solicitudes de Fast Pair de Google a cualquier dispositivo Bluetooth dentro de un radio de 14 metros. Resulta que una larga lista de auriculares de Sony, JBL, Redmi, Anker, Marshall, Jabra, OnePlus e incluso el propio Google (los Pixel Buds 2) responderán a estas solicitudes incluso cuando no estén buscando enlazarse. En promedio, el ataque dura solo 10 segundos.

Una vez que los auriculares están enlazados, el atacante puede hacer casi lo mismo que el propietario: escuchar a través del micrófono, reproducir música que quiera o, en algunos casos, ubicar los auriculares en un mapa si es compatible con el Localizador de Google. Esta última función, diseñada en específico para encontrar auriculares perdidos, abre la puerta a un rastreo remoto sigiloso. Y aquí está el giro: en realidad es más peligroso para los usuarios de Apple y cualquier otra persona que use hardware que no sea de Android.

Rastreo remoto y riesgos para los iPhone

Cuando los auriculares o los cascos se conectan por primera vez a un dispositivo Android a través del protocolo de Fast Pair, una clave de propietario vinculada a la cuenta de Google de ese teléfono inteligente se guarda en la memoria del accesorio. Esta información permite encontrar los auriculares más adelante aprovechando los datos recopilados de millones de dispositivos Android. Si algún teléfono inteligente al azar detecta el dispositivo de destino cercano a través de Bluetooth, informa de su ubicación a los servidores de Google. Esta función, el Localizador de Google, es esencialmente la versión de Android de Buscar de Apple y presenta los mismos riesgos de rastreo no autorizado que un AirTag corrupto.

Cuando un atacante intercepta el enlace, su clave se puede guardar como la clave del propietario del auricular, pero solo si el auricular seleccionado a través de WhisperPair no se ha vinculado previamente a un dispositivo Android y solo se ha utilizado con un iPhone u otro hardware, como un ordenador portátil, con un sistema operativo diferente. Una vez que los auriculares están enlazados, el atacante puede rastrear su ubicación en un mapa a su gusto y, sobre todo, en cualquier lugar (no solo dentro del rango de 14 metros).

Los usuarios de Android que ya han usado Fast Pair para vincular sus auriculares vulnerables están a salvo de este truco específico, dado que ya han iniciado sesión como propietarios oficiales. Sin embargo, todas las demás personas deberían verificar dos veces la documentación del fabricante para ver si están a salvo. Por suerte, no todos los dispositivos vulnerables al exploit son compatibles con el Localizador de Google.

Cómo neutralizar la amenaza de WhisperPair

La única forma eficaz de corregir este error es actualizar el firmware de tus auriculares, siempre que haya una actualización disponible. Por lo general, puedes buscar e instalar actualizaciones a través de la aplicación complementaria oficial de los auriculares. El equipo de investigación ha compilado una lista de dispositivos vulnerables en su sitio, pero es casi seguro que no sea exhaustiva.

Después de actualizar el firmware, debes realizar un restablecimiento de fábrica para borrar la lista de dispositivos enlazados, incluidos aquellos no deseados.

Si no hay ninguna actualización de firmware disponible y estás usando tus auriculares con iOS, macOS, Windows o Linux, la única opción restante es rastrear un teléfono inteligente Android (o buscar a alguien de confianza que tenga uno) y usarlo para reservar la función de propietario original. Esto evitará que cualquier otra persona añada tus auriculares al Localizador de Google a tus espaldas.

La actualización de Google

En enero de 2026, Google impulsó una actualización de Android para parchear la vulnerabilidad desde el sistema operativo. Lamentablemente, los detalles no se han hecho públicos, por lo que solo nos queda adivinar qué modificaron a nivel interno. Lo más probable es que los teléfonos inteligentes actualizados ya no informen la ubicación de los accesorios interceptados a través de WhisperPair a la red del Localizador de Google. Pero dado que no todo el mundo es rápido cuando se trata de instalar actualizaciones de Android, es seguro decir que este tipo de rastreo de auriculares seguirá siendo viable durante al menos un par de años más.

¿Quieres saber de qué otra forma tus dispositivos podrían estar espiándote? Mira estas publicaciones:

Cómo protegerte del acoso por Bluetooth y más

Cómo rastrear usuarios a través de la red Find My

Cómo evitar que te rastreen a través de balizas Bluetooth como el AirTag

Cómo crean un dosier sobre ti los teléfonos inteligentes

Por qué los brokers de datos crean dosieres sobre ti y cómo evitar que lo hagan

Epochalypse Now, o cómo abordar el problema Y2K38

¿Qué es el problema del año 2038 (también conocido como “Unix Y2K”) y cómo preparar los sistemas de TI corporativos para él?

Privacidad y niños

¿Tus auriculares Bluetooth te están espiando?

Rastreo remoto y riesgos para los iPhone

Cómo neutralizar la amenaza de WhisperPair

La actualización de Google

Ataques de skimming con NFC

¿Qué sucede con los datos que se roban mediante phishing?

Epochalypse Now, o cómo abordar el problema Y2K38

Consejos

Del CVSS a la RBVM: cómo priorizar correctamente las vulnerabilidades

Todo sobre el CVSS: la evolución de la puntuación de vulnerabilidades

Lluvia de bitcoins: Falso regalo de Nvidia

Te chantajean porque te han pillado viendo porno

Soluciones domésticas

Para pequeñas empresas

Para empresas medianas

Para empresas grandes

Securelist

Eugene Personal Blog

Enciclopedia