Investigadores de la Universidad KU Leuven han descubierto importantes fallos de seguridad en la tecnología Fast Pair de Google, una función diseñada para simplificar las conexiones de dispositivos Bluetooth. Las vulnerabilidades, denominadas “WhisperPair”, podrían permitir a los atacantes secuestrar dispositivos de audio, incluidos auriculares y audífonos, desde una distancia de hasta 46 pies.
La vulnerabilidad explicada
Fast Pair, presentado en 2017, tiene como objetivo optimizar el emparejamiento de Bluetooth en Android y Chrome OS con un solo toque. Sin embargo, los investigadores descubrieron que la implementación contiene debilidades que eluden los protocolos de seguridad estándar. Esto significa que los piratas informáticos pueden aprovechar el proceso de conexión para obtener acceso no autorizado a los dispositivos.
La amenaza no es teórica; Los investigadores demostraron con éxito el exploit en productos de importantes fabricantes como Sony, Harman e incluso el propio Google. Si bien Google afirma haber solucionado los problemas mediante actualizaciones de software, los investigadores enfatizan que muchos dispositivos siguen siendo vulnerables.
La respuesta de Google y los riesgos restantes
Google reconoce las fallas y lanzó actualizaciones para sus Pixel Buds Pro, además de avisar a otros fabricantes en septiembre. Sin embargo, la empresa atribuye parte del problema a implementaciones de terceros que no cumplen plenamente con las especificaciones de Fast Pair.
Las principales preocupaciones se centran en dos riesgos clave:
- Secuestro de dispositivo: Los atacantes pueden tomar el control de la transmisión de audio, inyectando potencialmente contenido malicioso o escuchando conversaciones.
- Seguimiento de ubicación: Las vulnerabilidades también podrían permitir a los piratas informáticos rastrear la ubicación de un usuario a través de sus dispositivos Bluetooth emparejados. Google afirma que ha implementado una solución para evitar este problema específico, pero la efectividad depende de que los usuarios apliquen las actualizaciones.
Qué deben hacer los usuarios
Los investigadores recibieron una recompensa de 15.000 dólares por su descubrimiento y acordaron un período de divulgación de 150 días para darle tiempo a Google para implementar parches. A pesar de estos esfuerzos, el equipo advierte que muchos usuarios desconocen las actualizaciones de seguridad críticas.
Para protegerse, los usuarios de dispositivos Bluetooth deben inmediatamente:
- Busque e instale las últimas actualizaciones de firmware del fabricante de su dispositivo.
- Tenga cuidado al emparejar dispositivos nuevos en áreas públicas o concurridas.
- Manténgase informado sobre los avisos de seguridad de Google y otras empresas de tecnología.
“Nuestros hallazgos muestran cómo un pequeño ‘complemento’ de usabilidad puede introducir riesgos de seguridad y privacidad a gran escala para cientos de millones de usuarios”. – Grupo de investigación WhisperPair
Las vulnerabilidades resaltan las compensaciones entre conveniencia y seguridad en la tecnología moderna. Si bien Fast Pair simplifica la experiencia del usuario, también introduce nuevos vectores de ataque que requieren una vigilancia continua tanto por parte de los fabricantes como de los consumidores.
