- Una vulnerabilidad en Fast Pair permite secuestrar auriculares y altavoces Bluetooth dentro de un radio de unos 15 metros.
- El fallo, bautizado como "WhisperPair", afecta a al menos 17 modelos de marcas como Sony, JBL, Xiaomi, Logitech u OnePlus.
- Google reconoce la brecha, avisa a los fabricantes y recomienda actualizar el firmware de los dispositivos afectados.
- Los investigadores piden reforzar la seguridad criptográfica de Fast Pair y limitar la posibilidad de que haya un “propietario secundario” no autenticado.
MADRID, 16 Ene. (Portaltic/EP) – Un fallo de seguridad en el sistema Fast Pair de Google ha dejado en entredicho la protección de millones de auriculares, altavoces y otros dispositivos de audio Bluetooth en todo el mundo, también en Europa y España, al facilitar que un atacante pueda conectarse sin permiso y tomar el control del equipo.
La vulnerabilidad, identificada por investigadores de la Universidad KU Leuven (Bélgica), afecta a la forma en que Fast Pair automatiza el emparejamiento con móviles Android y dispositivos con ChromeOS. El problema abre la puerta a que un ciberdelincuente, situado dentro del alcance del Bluetooth, pueda secuestrar el dispositivo de audio, controlar altavoces y micrófonos e incluso rastrear la posición aproximada del usuario.
Cómo funciona Fast Pair y dónde está el agujero de seguridad
Fast Pair es una función desarrollada por Google para que los usuarios puedan vincular rápidamente auriculares y otros accesorios Bluetooth a móviles Android o equipos con ChromeOS, de manera parecida a cómo los AirPods se conectan automáticamente a los dispositivos de Apple. El objetivo era simplificar el proceso de emparejamiento, pero una implementación deficiente ha acabado generando una brecha importante.
Según el equipo de Seguridad Informática y Criptografía Industrial de KU Leuven, el protocolo está diseñado para que, al acercar un dispositivo compatible, el sistema detecte el accesorio y complete el emparejamiento casi sin intervención del usuario. El problema es que este mecanismo, tal y como se usa en determinados modelos, permite que un tercero dentro del radio de acción del Bluetooth pueda aprovecharse de la misma vía automática.
Los investigadores han bautizado esta vulnerabilidad con el nombre de «WhisperPair». En sus pruebas comprobaron que, dentro de un alcance aproximado de 15 metros, un atacante puede conectarse de forma silenciosa a auriculares y altavoces, incluso aunque ya estén vinculados a otro dispositivo legítimo, y hacerse con el control del periférico.
Tal y como explican, el atacante puede iniciar un nuevo emparejamiento sin que el usuario reciba un aviso claro, aprovechando la confianza que el sistema concede a las conexiones Fast Pair. De este modo, el dispositivo de audio termina aceptando a ese nuevo “dueño” y quedando expuesto a acciones arbitrarias.
Qué dispositivos y marcas se han visto afectados
El trabajo del equipo de KU Leuven ha identificado al menos 17 modelos concretos de auriculares y altavoces afectados por la implementación vulnerable de Fast Pair. Entre ellos se encuentran productos de fabricantes muy populares: Sony, Jabra, JBL, Marshall, Xiaomi, Nada (Nothing), OnePlus, Soundcore, Logitech y la propia Google.
En su reporte, los investigadores apuntan a que el alcance real del problema es mucho mayor, ya que se trata de un fallo en la forma de integrar Fast Pair y no de un único dispositivo aislado. De ahí que se hable de cientos de millones de unidades potencialmente expuestas en todo el mundo, incluyendo el mercado europeo.
Aunque no se ha hecho público el listado detallado de todos los modelos afectados, las marcas citadas han sido informadas de manera individual. En algunos casos se han habilitado páginas de soporte o herramientas para que los usuarios puedan comprobar si su modelo concreto es vulnerable, bien introduciendo el número de serie o revisando la versión de firmware que tienen instalada.
Para los consumidores en España y el resto de Europa, el impacto se deja notar especialmente en auriculares inalámbricos de uso diario (para calle, oficina o transporte público) y altavoces Bluetooth portátiles, muy extendidos en el mercado y que suelen anunciar compatibilidad con Fast Pair como ventaja de comodidad.
Qué puede hacer realmente un atacante con esta vulnerabilidad
Los investigadores de KU Leuven explican que el riesgo no se limita a un simple corte de conexión. Una vez que el atacante logra emparejarse aprovechando Fast Pair, pasa a tener un control muy amplio sobre el dispositivo de audio. En palabras de Sayon Duttagupta, recogidas por Wired: “Vas por la calle con los auriculares puestos y escuchando música. En menos de 15 segundos, podemos secuestrar tu dispositivo”.
Ese control permitiría, por ejemplo, redirigir el sonido, cambiar lo que está escuchando la víctima o silenciar el audio. Pero el problema va más allá del simple fastidio. Si el dispositivo integra micrófono, existe la posibilidad de que el atacante pueda activar o manipular entradas de audio y, en determinados escenarios, obtener información sensible o comprometer la privacidad del usuario.
Otro de los puntos que destacan los investigadores es la capacidad de rastrear la ubicación aproximada del usuario. Dado que el atacante se convierte en un “propietario” más del dispositivo, podría monitorizar cuándo y dónde se conecta el equipo, generando un patrón de movimiento. Esto preocupa especialmente en entornos urbanos densos en Europa, donde es habitual llevar auriculares conectados durante largos trayectos.
Nikola Antonijevic, también miembro del grupo de KU Leuven, resume el alcance del problema con una frase contundente: “El atacante ahora es dueño de este dispositivo y básicamente puede hacer lo que quiera con él”. Eso incluye desconectar al verdadero propietario, forzar nuevos emparejamientos, aprovechar el micrófono o simplemente usar el dispositivo a su antojo.
Respuesta de Google y parches de seguridad
La vulnerabilidad fue comunicada a Google por primera vez en agosto por el equipo belga, siguiendo los canales habituales de divulgación responsable. Desde entonces, la compañía ha reconocido la labor de los investigadores y ha asegurado que ha contactado con los fabricantes afectados para coordinar actualizaciones de seguridad en los modelos implicados.
Marcas como Xiaomi, JBL, Logitech y OnePlus han confirmado, en declaraciones recogidas por medios como Wired, que ya han puesto en marcha actualizaciones de firmware para corregir el problema en algunos de sus productos. En la práctica, esto significa que muchos usuarios deberán revisar las aplicaciones de gestión de sus auriculares o altavoces para comprobar si tienen disponible una nueva versión del software interno.
En un correo remitido a Engadget, Google ha recomendado de forma explícita que los usuarios comprueben que sus dispositivos Bluetooth compatibles con Fast Pair cuentan con la versión de firmware más reciente. La empresa añade que “evalúa y mejora constantemente la seguridad de Fast Pair y Find Hub”, dos de las piezas clave de su ecosistema de emparejamiento rápido.
Google también ha señalado que, hasta el momento, no tiene constancia de ataques reales fuera de los experimentos de laboratorio llevados a cabo por el equipo de KU Leuven. Sin embargo, los investigadores recuerdan que la compañía solo puede ver lo que ocurre en los dispositivos bajo su control directo, por lo que no puede descartar que existan incidentes en otros equipos o regiones.
Qué pueden hacer los usuarios si su dispositivo es vulnerable
De cara a los usuarios que sospechen que sus auriculares o altavoces pueden estar afectados, los investigadores de KU Leuven y la propia Google coinciden en varias recomendaciones prácticas. La primera es revisar si existe una actualización de firmware a través de la app oficial del fabricante o de la configuración del dispositivo, y aplicarla cuanto antes.
El investigador Seppe Wyns advierte, no obstante, de una limitación importante: la función de Fast Pair no se puede desactivar en los dispositivos compatibles. Es decir, aunque el usuario quiera prescindir de esta característica por seguridad, no dispone de un botón para apagarla en el sistema, por lo que la función permanece activa por defecto.
Una opción que sí tienen los usuarios es restablecer el dispositivo de audio a los ajustes de fábrica. Con este proceso se borra la lista de dispositivos emparejados, incluido el atacante si hubiera logrado registrarse como “propietario” del equipo. Eso obliga a que cualquier intento de ataque deba repetirse desde cero, aunque no elimina el fallo de diseño de Fast Pair.
Google dispone además de la aplicación «Fast Pair Validator», pensada para comprobar que la implementación del sistema cumple ciertos requisitos de seguridad. Sin embargo, los investigadores señalan que todos los dispositivos con los que trabajaron ya contaban con esta herramienta y, aun así, siguieron siendo vulnerables, por lo que su utilidad en este caso concreto es limitada.
En el contexto europeo, donde el uso de auriculares Bluetooth es masivo tanto en entornos laborales como personales, la recomendación general para los usuarios españoles y del resto de la UE es mantener los dispositivos actualizados, ser prudentes en espacios públicos muy concurridos y, si se detectan comportamientos extraños (desconexiones inesperadas, cambios de audio no explicados), considerar un restablecimiento de fábrica y consultar con el soporte oficial del fabricante.
Qué cambios piden los investigadores en Fast Pair
Más allá de los parches puntuales para cada modelo de auriculares o altavoces, el equipo de KU Leuven insiste en que el problema de fondo está en cómo se gestiona la autenticación y la propiedad en el protocolo Fast Pair. Según su análisis, el sistema es demasiado permisivo a la hora de aceptar nuevos emparejamientos y no verifica de forma robusta quién debe tener control prioritario sobre el dispositivo.
Entre las soluciones que proponen se encuentra un refuerzo criptográfico del proceso de emparejamiento, de modo que solo el propietario legítimo pueda autorizar nuevas conexiones. Esto pasaría por exigir una autenticación más fuerte antes de admitir a un nuevo “dueño” del dispositivo y dificultar que un atacante pueda hacerse pasar por un equipo de confianza.
Otra de las recomendaciones clave es prohibir o restringir de forma estricta la figura del “propietario secundario” sin autenticación adicional. En el estado actual, el sistema puede llegar a conceder permisos amplios a un segundo dispositivo sin exigir pruebas sólidas de que realmente debe tener ese nivel de control, algo que se convierte en la puerta de entrada para ataques como WhisperPair.
Los investigadores también plantean la necesidad de que Google y los fabricantes ofrezcan mayor transparencia y control al usuario sobre Fast Pair. Esto incluiría la posibilidad de desactivar la función por completo en los dispositivos que así lo deseen, o al menos introducir modos de seguridad reforzados que limiten el emparejamiento automático en entornos sensibles, como oficinas, centros educativos o espacios públicos concurridos.
Mientras estas mejoras de diseño no se trasladen al estándar y a las implementaciones comerciales, los expertos consideran que el riesgo para la privacidad y la seguridad de los usuarios seguirá presente, aunque los fabricantes vayan corrigiendo modelos concretos con actualizaciones de firmware. Fast Pair seguirá siendo un objetivo atractivo para atacantes interesados en el control silencioso de periféricos de audio.
La brecha identificada en Fast Pair y la investigación WhisperPair ponen sobre la mesa el lado menos visible de la comodidad tecnológica: cuanto más automatizado y transparente es el emparejamiento de dispositivos, más importante resulta blindar sus mecanismos internos. El caso sirve de aviso tanto para Google como para los fabricantes de auriculares y altavoces Bluetooth, pero también para los usuarios en España y Europa, que deben asumir que mantener su equipo actualizado y cuestionar los permisos que conceden es, hoy por hoy, una parte imprescindible de usar tecnología inalámbrica con cierta tranquilidad.