El desconocer y el hábito de aprender

No pasa nada si no sabes algo. Como decía Socrates - del que hablo muchas veces de su Mayeutica - "Sólo sé que no sé nada" es un buen comienzo para aprender. De hecho, no puedes aprender si no sabes que no sabes. Y si a este argumento le das la vuelta te queda que no puedes aprender si crees que sabes, y eso es malísimo. Especialmente en el área profesional de la tecnología en el que nos movemos hoy en día, donde todo cambia en cuestión de meses. Las tecnologías, las plataformas, los programas, ya no duran años. Evolucionan diariamente, y cada vez más rápido.

Figura 1: El desconocer y el hábito de aprender

Así que, no importa si no sabes algo. Un día me acuesto después de haber aprendido muchas cosas, y al día siguiente me levanto, me pongo a leer las noticias de tecnología, los papers publicados, los artículos en los blogs, y me doy cuenta de que no sé aún nada de nada, y que tengo que aprender un montón de cosas nuevas. Yo lo hago para mantenerme, es decir, como una rutina de ir al gimnasio con disciplina, pero es fundamental para mi trabajo intentar aprender el máximo que pueda.

Si estás leyendo y eres de los que piensas que no sabes nada, o que tienes mucho que aprender. Perfecto. No te preocupes. Eso es bueno. Lo único que importa es si quieres aprender y si has desarrollado la capacidad de aprender o no la tienes. Eso es lo que tienes que tener en cuenta. Luego, como el conocimiento se aprende en espiral, puede que estés cerca en conocimientos de aprender eso nuevo, o que estés muy lejos y tengas que aprender muchas cosas antes, pero... si quieres aprenderlo, y tienes la capacidad de aprendizaje desarrollada, entonces puedes hacerlo.

Yo estudio todos los días porque no quiero estar lejos de lo nuevo que sale. Yo estudio todos los días porque nunca fui bueno con los estudios de la noche antes para un examen, y siempre fui más de llevarlo al día. Por supuesto, como todos los demás, a veces me canso, no me entero, y tengo que leer de nuevo. O no tengo tiempo, y se me acumulan cosas que leer y aprender. Mis días tienen las mismas horas que el de todas las personas, pero me exijo mantener el ritmo porque sé que si me distancio mucho, luego va a ser mucho peor y más complejo.

Es tentador, por supuesto, estar tirado en el sofá, viendo series, leyendo cómics, o jugando a juegos. Es tentador estar todo el día tomando algo. Es tentador dormir hasta tarde, y trasnochar, pero sé que luego lo pago. Así que me obligo todos los días a mi disciplina de leer, de estudiar los temas de tecnología, y de no perder el tiempo demasiado. Disfruto del cine y de las series, sí. Pero me las dosifico. Disfruto de jugar en mi máquina arcade retro, sí, pero me la dosifico. Disfruto de dormir y de no hacer nada. También, pero me lo dosifico. También es verdad que hacerlo de continuo, 365 días al año, me ayuda a que no me cueste. Es mi rutina, y así me cuesta mucho menos ponerme a ello cada día. 

Así que, si no sabes cosas.... no pasa nada. Puedes desconocer todo lo último, pero lo que realmente importa es que desarrolles el hábito de aprender. Que te pongas tus rutinas, y las sigas. No te falles a ti mismo, que eres la persona que más te debe importar - incluso para ayudar a otros -, así que si te pones unos retos, hazlos. Como cuando te los pone Duolingo. Crea el hábito de aprender. Todos los días, y verás como te ayuda en tu vida.

Vas a seguir desconocimiento cosas, porque todos los días salen cosas nuevas, pero vas a acortar la distancia entre lo que sabes y lo que quieres aprender, y te va a ayudar en tu vida. Seguro. Pero un aviso, tienes que tener presente que esto no es lo que llamamos un "one-shot". Se trata de que cuando vayas aprendiendo cosas recuerdes que hay muchas que desconoces, así que no se trata de hacer un esfuerzo y ya está, pensando que has llegado a algún sitio. Ni mucho menos.

A lo largo de mi vida, siendo el "jovencito" - cuando lo era -  con el gorro que llegaba haciendo cosas de hacking, he conocido a muchas personas que sabían mucho pero que su soberbia les impedía aprender nada. De hecho, a veces, cuando empezaba o empiezo a explicar cosas dibujando en la pizarra utilizando las palabras más simples que puedo para que todo el mundo me entienda, alguno que "sabe" me quiere rectificar o matizar lo accurate que es el detalle de mi explicación, y entonces tengo que empezar un proceso de "tecnificar" la presentación uno o varios niveles, hasta que la persona llega al punto de ... "...ah, vale. No sé" porque si no, no consigo ganarme su atención, y no va a comenzar la Mayeutica nunca.

No saber está bien. Y es sano. Es bueno.  Es saber que puedes aprender. Que cualquiera te puede enseñar. Y eso es guay. Dice mi amigo Arturo que con los años ha ido perdiendo sus certezas y transformándolas en incertidumbres, y yo con los años me siento un poco igual. Dame gente que no sepa, que esté llena de incertidumbres, pero que quiera y pueda aprender, en lugar de gente que sabe todo, llena de certezas, y tiene cero capacidad de aprender. Seguro que conoces alguno así. Tú, por si acaso, ponte a apuntarte lo que no sabes y create el hábito de aprender. No te va a llevar al punto de Saber, pero sí al de Desconocer un poco menos. Y desde ahí ya saltarás a otro punto.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

WhisperPair: Una vulnerabilidad que permite espiar víctimas con BlueTooth Headset

El mundo de los "Cascos con micrófono", los famosos "Headset" Bluetooth, me ha llamado la atención desde el día uno que tuve los AirPods de Apple. Entonces, jugando con ellos escribí un artículo que se llamaba: "AirPods Pro: Unas pruebas en casa de Safety & Security" donde vi que había algunas cosas que nos estaban bien, por lo que escribí el artículo de "AirPodsSpy: Cómo te pueden vigilar por tus AirPods" que generó mucho ruido. Tiempo después, Apple mejoró algunas de las cosas que yo os decía que tenía que mejorar, y os lo publiqué en el artículo: "Apple arregla el AirPod "Spy" añadiendo alertas de seguridad y permitiendo Find My por Internet".

Figura 1: WhisperPair: Una vulnerabilidad que permite

espiar víctimas con BlueTooth Headset

Todo esto os lo cuento, porque es la razón por la que me ha encantado el trabajo de WhisperPair, donde unos investigadores han descubierto cómo muchas de las implementaciones que están haciendo los fabricantes de "Headset" Bluetooth del protocolo de Google Fast Pairing para conectar sus cascos con los dispositivos Android, no es completo.

Figura 2: WhisperPair

Para entender la vulnerabilidad hay que entender que el sistema de Android - igual que el de iPhone - tiene dos procesos distintos. El primero de ellos es el de Conectar un Headset Bluetooth, y el segundo de ellos es del Parear un Headset Bluetooth, que parece lo mismo, pero no lo es. El primero de ellos es, permite que unos "Headset" se utilicen en un dispositivo Android. Este es un proceso sencillo que seguro que muchos habéis hecho. Y pueden ser tus cascos o los cascos de otro. No pasa nada.

Figura 3: Google Fast Pair Service

Lo único que pasa es que el dueño, gracias a la red de localización de dispositivos basada en los terminales Android - igual que Apple hace con sus iPhone - el dueño puede localizar dónde se encuentra su dispositivo porque los terminales Android reportan los dispositivos Bluetooth que ellos ven a su alrededor. Una red mundial para localizar cualquier dispositivo.

He aquí el punto: los Bluetooth Headset pueden funcionar sin tener ningún dueño.

¿Y esto es un problema? No lo sería si un atacante no pudiera forzar un dispositivo remotamente a Parearse con una cuenta de Google controlada por el espía, sin necesidad tan siquiera de tocar el dispositivo. Esto es lo que permite muchas implementaciones incompletas del protocolo Google Fast Pair que permite parear una cuenta de Google con un nuevo dispositivo - no registrado previamente por nadie - con un solo mensaje.

Figura 4: Una vez que se parea, se puede localizar

usando Google "Find Hub" network

Y esto es lo que han demostrado los investigadores. Con la herramienta de WhisperPair, lo que demuestran en el vídeo que han publicado es cómo, a distancia, se pueden escanear los dispositivos, y enviarles una petición de Pairing. Si el dispositivo responde a ese paquete, porque el "Headset" está abierto, lo único que tiene que hacer el atacante es terminar el proceso de Pairing haciendo una conexión.

Figura 5: Demostración de WhisperPair

Así que, estando hasta una distancia de 14 metros de la víctima, se puede hacer este escaneo, este "Hijaking" o secuestro del dispositivo, y luego el pareo para terminar de controlarlo. Y el resto... pues os lo podéis imaginar. Utilizando la red de Google "Find Hub", es posible saber en todo momento que se solicite donde está ese dispositivo, ya que el atacante es el dueño del dispositivo, y Google se lo va a decir.

Figura 6: La víctima recibirá una alerta, pero es de dónde se encuentra.

Pero además, por supuesto, si está en la cercanía, se puede conectar al HeadSet y activar lo que se está haciendo, así que se puede escuchar lo que se está diciendo en una determinada sala. Esto lo hice yo con mis hijas con los AirPods en el artículo de Safety & Security, donde explicaba cómo se pueden configurar estos "cascos" en modo escucha.

Figura 7: CVE-2025-36911

En definitiva, la vulnerabilidad fue reportada en Agosto del 2025, recibió el CVE-2025-36911 y Google tiene disponible para que los fabricantes puedan validar sus implementaciones la herramienta Google Fast Pair Validator, que los fabricantes pueden utilizar para comprobar que no son vulnerables a este tipo de ataque. 

Figura 8: Google Fast Pair Validator

Este tipo de vulnerabilidades, que afectan a la privacidad de las personas, y que pueden permitir a un atacante controlar remotamente a su víctima, son muy peligrosas, porque pueden suponer un riesgo para la integridad física de la persona, así que hay que tomárselas muy en serio.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)