Siga ZDNET: Agréganos como fuente preferida en Google.
Conclusiones clave de ZDNET
- Las vulnerabilidades de WhisperPair afectan un protocolo para conectar dispositivos y productos de audio.
- Los atacantes pueden apoderarse de un dispositivo de audio, alterar los controles y potencialmente escuchar sus conversaciones.
- Muchos proveedores han lanzado parches, pero algunos dispositivos aún son vulnerables
Los investigadores han revelado WhisperPair, una familia de vulnerabilidades que afectan un protocolo comúnmente utilizado para emparejar auriculares, audífonos y otros productos de audio con dispositivos Bluetooth.
También: Su PC con Home windows necesita este parche para protegerse del desagradable malware bootkit: actualice ahora
¿Qué es WhisperPair?
como primero reportado por cableadoWhisperPair fue descubierto por un equipo de investigadores de la Universidad KU Leuven de Bélgica, con el apoyo del Programa de Investigación en Ciberseguridad del gobierno.
El recomendaciones se relacionan con la implementación inadecuada del protocolo Quick Pair de Google, que permite el emparejamiento con un solo toque y la sincronización de cuentas entre accesorios Bluetooth. Si el protocolo no se implementa correctamente, se introduce una falla de seguridad que “permite a un atacante secuestrar dispositivos y rastrear a las víctimas utilizando la purple Discover Hub de Google”, según los investigadores.
Además: Cómo este ataque Copilot con un solo clic eludió los controles de seguridad y qué hizo Microsoft al respecto
La investigación de vulnerabilidad se informó a Google de forma privada en agosto de 2025 y se le otorgó una calificación crítica en CVE-2025-36911. Se acordó un plazo de divulgación de 150 días y se otorgó una recompensa por el error de 15.000 dólares.
¿Cómo funciona WhisperPair?
WhisperPair se produce porque muchos accesorios de audio omiten un “paso crítico” durante el emparejamiento rápido. Así es como funciona: un “buscador”, como un dispositivo móvil con Bluetooth, envía un mensaje al “proveedor”, un accesorio de audio. El mensaje incluye una solicitud de emparejamiento.
Si bien el protocolo Quick Pair especifica que estos mensajes deben ignorarse cuando un accesorio no está en modo de emparejamiento, esta verificación no siempre se realiza, lo que permite que dispositivos no autorizados inicien el emparejamiento sin permiso.
Además: Los mejores auriculares de 2026: probados y revisados por expertos
“Después de recibir una respuesta del dispositivo susceptible, un atacante puede finalizar el procedimiento de emparejamiento rápido estableciendo un emparejamiento Bluetooth regular”, dicen los investigadores.
¿Qué puede hacer WhisperPair?
Si un atacante puede emparejar de forma encubierta a su buscador con auriculares o audífonos vulnerables, podría obtener un management complete sobre ellos, incluida la manipulación de controles como el volumen. Más importante aún, es posible que puedan grabar en silencio conversaciones realizadas con micrófonos integrados.
Los ataques WhisperPair se probaron a una distancia de hasta 14 metros y se pueden realizar de forma inalámbrica.
Además: estos 8 productos de audio en CES 2026 fueron tan impresionantes que tuve que escucharlos dos veces
Lamentablemente, la cosa no termina ahí. Si un dispositivo admite pero no se ha registrado en Google Buscar centro En la purple, los atacantes podrían, en teoría, registrar ellos mismos un dispositivo objetivo en su propia cuenta y rastrear el accesorio y su usuario. Si bien aparecerá una notificación de seguimiento inesperada, solo se mostrará el dispositivo del usuario, por lo que es posible que se ignore esta advertencia.
¿Qué dispositivos se ven afectados?
Los auriculares y accesorios de audio de empresas como Google, Sony, Harman (JBL) y Anker se encuentran entre los que figuran como vulnerables al momento de escribir este artículo.
Debido a que WhisperPair explota una falla en la implementación de Quick Pair en los accesorios Bluetooth, los dispositivos Android no son los únicos en riesgo. Los usuarios de iPhone con accesorios vulnerables también se ven afectados.
¿Cómo sé si mi dispositivo es susceptible?
El equipo de investigación ha publicado un catálogo de auriculares, audífonos y otros accesorios de audio populares que han sido probados. Hay una útil función de búsqueda puede usar para verificar si su producto está en la lista: busque o ingrese el nombre del proveedor para ver el estado del producto que le interesa, y el directorio le indicará si es susceptible a los ataques de WhisperPair.
¿Qué debo hacer a continuación?
Si su accesorio todavía está etiquetado como susceptible a este ataque, primero verifique si hay parches disponibles del proveedor. Incluso si su dispositivo se describe como “no susceptible”, debe tomarse un momento para asegurarse de que esté actualizado y haya aceptado nuevas actualizaciones de software program.
Como señalan los investigadores, “la única forma de prevenir los ataques de WhisperPair es instalar un parche de software program emitido por el fabricante”. Puede consultar las aplicaciones o sitios internet de los proveedores que lo acompañan para ver si hay algo disponible, pero si no, desafortunadamente, es solo un juego de espera. Si su accesorio es appropriate con Discover Hub pero no ha sido emparejado con un dispositivo Android, el equipo cube que los atacantes podrían “rastrear su ubicación”, por lo que debe actualizarse tan pronto como haya una solución disponible.
Además: ¿Por qué llevo estos 4 pares de auriculares conmigo en todo momento?
Incluso si puedes desactivar Quick Pair en tu teléfono inteligente, esto no mitigará el riesgo de compromiso.
“Hasta donde sabemos, los accesorios compatibles tienen Quick Pair habilitado de forma predeterminada sin una opción para desactivarlo”, agregaron los investigadores. “La única forma de prevenir ataques de WhisperPair es realizando una actualización del firmware del accesorio”.
