Vulnerabilidad crítica en Google Fast Pair permite secuestrar accesorios Bluetooth en silencio
La Vulnerabilidad crítica en Google Fast Pair, bautizada como WhisperPair, expone a “cientos de millones” de auriculares TWS, cascos y altavoces Bluetooth a un secuestro silencioso: un atacante dentro del alcance de radio puede forzar un nuevo emparejamiento sin que el usuario ponga el accesorio en modo pairing ni pulse ningún botón. El hallazgo es de investigadores de KU Leuven y apunta a un problema de implementación en dispositivos que declaran compatibilidad con el estándar de Google.
Según la investigación, Fast Pair debería aceptar solicitudes de emparejamiento solo cuando el usuario activa explícitamente el modo de emparejamiento del accesorio. Sin embargo, en un número significativo de productos, ese control básico no se aplica correctamente y el dispositivo “acepta” conexiones en cualquier momento, incluso mientras está en uso por su propietario.
Qué implica la Vulnerabilidad crítica en Google Fast Pair
Una vez que el atacante logra emparejar su equipo con el accesorio, obtiene un nivel de acceso equivalente al de un usuario legítimo. Dependiendo del perfil Bluetooth soportado por el dispositivo, el impacto puede incluir interrupción o inyección de audio, manipulación del volumen y, en determinados modelos, escenarios más sensibles como el uso indebido de funcionalidades asociadas al micrófono. El vector de ataque no requiere hardware especializado: un smartphone o portátil cercano puede ser suficiente.
Los investigadores subrayan que el problema no se atribuye al protocolo Bluetooth “en sí”, sino a implementaciones incompletas del lado del fabricante al integrar la especificación de Fast Pair. Fast Pair se diseñó para reducir fricción en Android mediante anuncios Bluetooth Low Energy y procesos de identificación más rápidos, pero depende de que el accesorio aplique restricciones estrictas sobre cuándo permitir un nuevo emparejamiento.
Riesgo adicional: integración con Find My Device
El informe también advierte de un riesgo colateral cuando el accesorio integra funciones relacionadas con la red Find My Device. Si un atacante empareja el dispositivo antes que su propietario, podría llegar a registrarlo en su cuenta y recibir señales de localización a medida que el accesorio se mueve, ampliando el impacto más allá de la simple interferencia de audio.
Google habría sido notificada y, según lo publicado, está trabajando con fabricantes para desplegar correcciones. Parte de los parches estarían llegando como actualizaciones de firmware, aunque la cobertura sería desigual: muchos accesorios de bajo coste no reciben updates de seguridad consistentes o dependen de apps del fabricante con baja adopción.
Por qué esta Vulnerabilidad crítica en Google Fast Pair es especialmente difícil de mitigar
El punto clave es que desactivar Fast Pair o ajustar opciones en el teléfono no resuelve el fallo si el accesorio sigue aceptando emparejamientos no autorizados. En otras palabras: el control que falla está en el firmware del dispositivo Bluetooth, no en la capa de Android que facilita el onboarding.
El caso refuerza una constante en el ecosistema de accesorios y IoT: especificaciones de seguridad sólidas pueden degradarse en la práctica cuando se implementan a escala por decenas de fabricantes con ciclos de lanzamiento agresivos y márgenes ajustados.
Fuentes: investigación de KU Leuven sobre WhisperPair y documentación oficial de Google sobre Fast Pair y sus requisitos de integración, disponibles en KU Leuven (COSIC) y Google Developers (Fast Pair).
En síntesis, la Vulnerabilidad crítica en Google Fast Pair no es un fallo aislado de una marca concreta, sino un síntoma de seguridad irregular en la cadena de fabricación de accesorios Bluetooth, con un impacto potencial masivo mientras no exista un parche de firmware ampliamente desplegado.
