{"id":28918,"date":"2026-01-31T22:39:21","date_gmt":"2026-02-01T04:39:21","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=28918"},"modified":"2026-02-17T06:53:48","modified_gmt":"2026-02-17T12:53:48","slug":"whisperpair-blueooth-headset-location-tracking","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/whisperpair-blueooth-headset-location-tracking\/28918\/","title":{"rendered":"\u00bfTus auriculares Bluetooth te est\u00e1n espiando?"},"content":{"rendered":"

Una vulnerabilidad reci\u00e9n descubierta llamada WhisperPair puede convertir los auriculares Bluetooth de muchas marcas conocidas en balizas de rastreo personal, independientemente de si los accesorios est\u00e1n conectados a un iPhone, tel\u00e9fono inteligente Android o incluso un ordenador port\u00e1til. Aunque la tecnolog\u00eda detr\u00e1s de este fallo fue desarrollada originalmente por Google para dispositivos Android, los riesgos de rastreo son en realidad mucho m\u00e1s altos para quienes usan auriculares vulnerables con otros sistemas operativos, como iOS, macOS, Windows o Linux. Para los propietarios de iPhone, esto es especialmente preocupante.<\/p>\n

La conexi\u00f3n de auriculares Bluetooth a tel\u00e9fonos inteligentes Android se volvi\u00f3 mucho m\u00e1s r\u00e1pida cuando Google lanz\u00f3 Fast Pair, una tecnolog\u00eda que ahora utilizan docenas de fabricantes de accesorios. Para enlazar un nuevo auricular, solo debes encenderlo y sostenerlo cerca de tu tel\u00e9fono. Si el dispositivo es relativamente moderno (fabricado despu\u00e9s de 2019), aparece una ventana emergente que te invita a conectarte y descargar la aplicaci\u00f3n adjunta, si existe. Un toque y listo.<\/p>\n

Lamentablemente, parece que algunos fabricantes no prestaron atenci\u00f3n a los detalles de esta tecnolog\u00eda al implementarla y ahora el tel\u00e9fono inteligente de un desconocido puede interceptar sus accesorios en segundos, incluso si el auricular no est\u00e1 en modo de enlace. Esta es la base de la vulnerabilidad WhisperPair, descubierta recientemente por investigadores de KU Leuven y registrada como CVE-2025-36911<\/a>.<\/p>\n

El dispositivo atacante, que puede ser un tel\u00e9fono inteligente, una tableta o un ordenador port\u00e1til est\u00e1ndar, transmite las solicitudes de Fast Pair de Google a cualquier dispositivo Bluetooth dentro de un radio de 14\u00a0metros. Resulta que una larga lista de auriculares de Sony, JBL, Redmi, Anker, Marshall, Jabra, OnePlus e incluso el propio Google (los Pixel Buds\u00a02) responder\u00e1n a estas solicitudes incluso cuando no est\u00e9n buscando enlazarse. En promedio, el ataque dura solo 10\u00a0segundos.<\/p>\n

Una vez que los auriculares est\u00e1n enlazados, el atacante puede hacer casi lo mismo que el propietario: escuchar a trav\u00e9s del micr\u00f3fono, reproducir m\u00fasica que quiera o, en algunos casos, ubicar los auriculares en un mapa si es compatible con el Localizador de Google. Esta \u00faltima funci\u00f3n, dise\u00f1ada en espec\u00edfico para encontrar auriculares perdidos, abre la puerta a un rastreo remoto sigiloso. Y aqu\u00ed est\u00e1 el giro: en realidad es m\u00e1s peligroso para los usuarios de Apple y cualquier otra persona que use hardware que no sea de Android.<\/p>\n

Rastreo remoto y riesgos para los iPhone<\/h2>\n

Cuando los auriculares o los cascos saludan por primera vez a un dispositivo Android a trav\u00e9s del protocolo de Fast Pair, una clave de propietario vinculada a la cuenta de Google de ese tel\u00e9fono inteligente se guarda en la memoria del accesorio. Esta informaci\u00f3n permite encontrar los auriculares m\u00e1s adelante aprovechando los datos recopilados de millones de dispositivos Android. Si alg\u00fan tel\u00e9fono inteligente al azar detecta el dispositivo de destino cercano a trav\u00e9s de Bluetooth, informa de su ubicaci\u00f3n a los servidores de Google. Esta funci\u00f3n, el Localizador de Google, es esencialmente la versi\u00f3n de Android de Buscar de Apple y presenta los mismos riesgos de rastreo no autorizado que un AirTag corrupto<\/a>.<\/p>\n

Cuando un atacante intercepta el enlace, su clave se puede guardar como la clave del propietario del auricular, pero solo si el auricular seleccionado a trav\u00e9s de WhisperPair no se ha vinculado previamente a un dispositivo Android y solo se ha utilizado con un iPhone u otro hardware, como un ordenador port\u00e1til, con un sistema operativo diferente. Una vez que los auriculares est\u00e1n enlazados, el atacante puede rastrear su ubicaci\u00f3n en un mapa a su gusto y, sobre todo, en cualquier lugar (no solo dentro del rango de 14\u00a0metros).<\/p>\n

Los usuarios de Android que ya han usado Fast Pair para vincular sus auriculares vulnerables est\u00e1n a salvo de este truco espec\u00edfico, dado que ya han iniciado sesi\u00f3n como propietarios oficiales. Sin embargo, todas las dem\u00e1s personas deber\u00edan verificar dos veces la documentaci\u00f3n del fabricante para ver si est\u00e1n a salvo. Por suerte, no todos los dispositivos vulnerables al exploit son compatibles con el Localizador de Google.<\/p>\n

C\u00f3mo neutralizar la amenaza de WhisperPair<\/h2>\n

La \u00fanica forma eficaz de corregir este error es actualizar el firmware de tus auriculares, siempre que haya una actualizaci\u00f3n disponible. Por lo general, puedes buscar e instalar actualizaciones a trav\u00e9s de la aplicaci\u00f3n complementaria oficial de los auriculares. El equipo de investigaci\u00f3n ha compilado una lista de dispositivos vulnerables en su sitio<\/a>, pero es casi seguro que no sea exhaustiva.<\/p>\n

Despu\u00e9s de actualizar el firmware, debes realizar un restablecimiento de f\u00e1brica para borrar la lista de dispositivos enlazados, incluidos aquellos no deseados.<\/p>\n

Si no hay ninguna actualizaci\u00f3n de firmware disponible y est\u00e1s usando tus auriculares con iOS, macOS, Windows o Linux, la \u00fanica opci\u00f3n restante es rastrear un tel\u00e9fono inteligente Android (o buscar a alguien de confianza que tenga uno) y usarlo para reservar la funci\u00f3n de propietario original. Esto evitar\u00e1 que cualquier otra persona a\u00f1ada tus auriculares al Localizador de Google a tus espaldas.<\/p>\n

La actualizaci\u00f3n de Google<\/h2>\n

En enero de 2026, Google impuls\u00f3 una actualizaci\u00f3n de Android para parchear la vulnerabilidad desde el sistema operativo. Lamentablemente, los detalles no se han hecho p\u00fablicos, por lo que solo nos queda adivinar qu\u00e9 modificaron a nivel interno. Lo m\u00e1s probable es que los tel\u00e9fonos inteligentes actualizados ya no informen la ubicaci\u00f3n de los accesorios interceptados a trav\u00e9s de WhisperPair a la red del Localizador de Google. Pero dado que no todo el mundo es r\u00e1pido cuando se trata de instalar actualizaciones de Android, es seguro decir que este tipo de rastreo de auriculares seguir\u00e1 siendo viable durante al menos un par de a\u00f1os m\u00e1s.<\/p>\n

\u00bfQuieres saber de qu\u00e9 otra forma tus dispositivos podr\u00edan estar espi\u00e1ndote? Mira estas publicaciones:<\/p>\n