Investigadores del grupo Computer Security and Industrial Cryptography (COSIC) de la Universidad Católica de Lovaina han identificado una vulnerabilidad crítica en Google Fast Pair, catalogada como CVE-2025-36911 y bautizada como WhisperPair. El fallo permite que un atacante tome el control de millones de auriculares y altavoces Bluetooth, active de forma encubierta sus micrófonos y utilice estos dispositivos como herramientas de rastreo de ubicación, sin intervención del usuario.
Qué es Google Fast Pair y por qué WhisperPair es tan preocupante
Google Fast Pair es un protocolo diseñado para simplificar el emparejamiento de accesorios Bluetooth: detecta automáticamente dispositivos cercanos compatibles y permite vincularlos con un toque. Esta facilidad de uso ha llevado a que cientos de millones de auriculares, altavoces y otros accesorios de fabricantes como Google, Jabra, JBL, Logitech, Marshall, Nothing, OnePlus, Sony, Soundcore o Xiaomi integren Fast Pair en su firmware.
La particularidad de WhisperPair es que afecta al accesorio, no al teléfono. Por tanto, no solo están en riesgo usuarios de Android: cualquier persona que utilice unos auriculares Bluetooth con Fast Pair, incluso conectados a un iPhone, portátil o consola, puede verse expuesta. Este tipo de vulnerabilidad en la capa de protocolo recuerda a incidentes anteriores en el ecosistema Bluetooth (como BlueBorne o KNOB), donde fallos de diseño o implementación tuvieron impacto global.
Cómo funciona el ataque WhisperPair (CVE-2025-36911) contra Fast Pair
Error de implementación en dispositivos Fast Pair
La especificación oficial de Google establece que un accesorio con Fast Pair debe ignorar cualquier petición de emparejamiento si el usuario no lo ha puesto explícitamente en modo de “pairing” (por ejemplo, pulsando un botón en el estuche de los auriculares). Ese requisito es crucial para evitar que terceros inicien conexiones no autorizadas.
Sin embargo, el análisis de COSIC revela que numerosos fabricantes no han implementado correctamente este control. En muchos modelos, la comprobación del modo de emparejamiento está ausente o mal programada, de modo que el dispositivo responde a mensajes Fast Pair en todo momento. El atacante envía una solicitud de emparejamiento (Seeker → Provider) que el accesorio nunca debería procesar; al aceptarla, se abre la puerta para completar el enlace mediante el emparejamiento Bluetooth estándar, sin que el propietario toque nada ni reciba una alerta clara.
Escenario práctico de ataque Bluetooth sin interacción del usuario
La explotación de WhisperPair (CVE-2025-36911) no requiere equipamiento especializado. Cualquier equipo con Bluetooth —un portátil, un smartphone, un miniordenador tipo Raspberry Pi— puede actuar como atacante en un radio aproximado de hasta 10–14 metros, dependiendo de la potencia y del entorno radioeléctrico.
Dentro de ese alcance, el atacante fuerza el emparejamiento de su dispositivo con auriculares o altavoces vulnerables presentes en oficinas, espacios de coworking, transporte público o cafeterías. No hace falta acceso físico al accesorio ni que el usuario lo ponga en modo de pairing. Una vez completado el proceso, el atacante puede conectar y reconectar a voluntad siempre que el dispositivo esté encendido y dentro del alcance Bluetooth.
Impacto de la vulnerabilidad: espionaje, sabotaje y rastreo de usuarios
Tras el emparejamiento encubierto, el atacante obtiene control casi total sobre el canal de audio del accesorio. Puede redirigir el audio, modificar el volumen (por ejemplo, subiéndolo al máximo para distraer o incomodar a la víctima), cortar llamadas o desviar el sonido hacia su propio dispositivo. El riesgo más crítico es la capacidad de activar y usar el micrófono para escuchar el entorno sin generar señales evidentes para el usuario.
Este escenario es especialmente sensible en contextos donde se tratan informaciones confidenciales: reuniones de negocio, despachos de abogados, redacciones de medios de comunicación, centros médicos o espacios de administración pública. Históricamente, ataques a protocolos inalámbricos han sido utilizados para obtener ventaja competitiva o información personal; WhisperPair extiende ese vector a dispositivos que muchos usuarios perciben erróneamente como “simples accesorios”.
El estudio revela además un segundo vector: el rastreo de personas a través de la red de localización. Si un accesorio con Fast Pair nunca ha sido vinculado a un dispositivo Android, un atacante puede incorporarlo a su propia cuenta y explotarlo como un tracker Bluetooth. La víctima podría recibir notificaciones de seguimiento no deseado solo horas o días después, y el mensaje podría referirse a lo que parece ser su propio dispositivo, lo que aumenta la probabilidad de que lo ignore.
Alcance de CVE-2025-36911 y respuesta de Google y fabricantes
Según las estimaciones de los investigadores, cientos de millones de auriculares y altavoces Bluetooth en circulación podrían verse afectados por WhisperPair. Esta cifra sitúa a CVE-2025-36911 en la misma liga que otras grandes campañas contra protocolos inalámbricos ampliamente desplegados, y subraya el impacto que tiene desviarse de las especificaciones de seguridad en la implementación de estándares.
Google ha reconocido oficialmente la vulnerabilidad, le ha asignado el identificador CVE-2025-36911 y ha recompensado al equipo de COSIC con el máximo pago previsto en su programa de bug bounty para este tipo de fallos: 15 000 dólares. En coordinación con los fabricantes, se han comenzado a distribuir actualizaciones de firmware, aunque la cobertura aún es desigual. Como suele suceder en el ecosistema de IoT y dispositivos de consumo, modelos antiguos o de gama baja corren el riesgo de quedar sin parchear por falta de soporte.
Recomendaciones de ciberseguridad para mitigar WhisperPair y otros ataques Bluetooth
En el estado actual, la medida de protección más eficaz contra WhisperPair es instalar las actualizaciones de firmware proporcionadas por cada fabricante. Es recomendable revisar periódicamente las apps oficiales (JBL, Sony, Jabra, etc.) o los menús de configuración del sistema para comprobar si hay nuevas versiones disponibles “over the air”.
Un aspecto clave es comprender que desactivar Fast Pair en el teléfono Android no soluciona la vulnerabilidad: el problema reside en la lógica del accesorio. Aunque el usuario deshabilite la función en el móvil, un atacante puede seguir forzando el emparejamiento con el auricular vulnerable desde otro dispositivo cercano.
Como medidas adicionales de higiene de seguridad, conviene no dejar auriculares y altavoces Bluetooth sin supervisión en espacios públicos, vigilar conexiones inesperadas o cambios bruscos de volumen, y revisar regularmente la lista de dispositivos emparejados para eliminar aquellos desconocidos. En entornos corporativos, los accesorios Bluetooth deben incluirse en el inventario de activos, el modelo de amenazas y los procedimientos de actualización, priorizando productos con políticas claras de soporte de seguridad a largo plazo.
WhisperPair (CVE-2025-36911) demuestra que incluso los periféricos aparentemente inofensivos pueden convertirse en el eslabón más débil de la cadena de seguridad. Mantener el firmware al día, prestar atención a las alertas de rastreo y elegir dispositivos con buenas prácticas de seguridad de fábrica son pasos esenciales para reducir el riesgo. Tanto usuarios particulares como organizaciones pueden aprovechar este incidente como una oportunidad para revisar sus hábitos y elevar el nivel de protección de todo su ecosistema Bluetooth.
