AirDrop y Quick Share amenazados por un fallo en 5 mil millones de dispositivos. Te aconsejamos cómo protegerte

  • Investigadores del centro CISPA describieron seis fallos de seguridad en el uso compartido de AirDrop y Quick Share
  • Según ellos, las vulnerabilidades afectan a más de cinco mil millones de dispositivos con iOS, macOS, Android y Windows
  • Al atacante le basta un portátil y una distancia de unos 30 metros; la víctima no necesita hacer clic en nada

Sdílejte:
Adam Kurfürst
Adam Kurfürst
3. 7. 2026 12:00

Damos por sentada la rápida compartición de archivos entre teléfonos: tocas el nombre de la otra persona y la foto está al otro lado en un instante. Pero precisamente esta comodidad fue aprovechada por investigadores alemanes: descubrieron una serie de fallos tanto en AirDrop como en Quick Share, que permiten a un atacante deshabilitar de forma remota las funciones inalámbricas de miles de millones de dispositivos.

Las vulnerabilidades afectaban a 5 mil millones de dispositivos

Detrás del descubrimiento están dos investigadores del centro alemán de ciberseguridad CISPA – Arash Ale Ebrahim y Nils Ole Tippenhauer. En su estudio describieron un total de seis vulnerabilidades, tres en Apple AirDrop y tres en Quick Share de Google. En conjunto, afectan a los sistemas iOS, macOS, Android y Windows, y se dice que el número de dispositivos afectados podría ser superior a los cinco mil millones. Sin embargo, esta cifra incluye todos los dispositivos que utilizan dichos protocolos, por lo que debe tomarse más como una estimación del alcance del problema que como el número de teléfonos realmente vulnerables.

¿Cómo se llevaría a cabo el ataque?

Lo más desagradable de todo es la sencillez del ataque. Basta con un portátil común con Wi-Fi y acercarse a la víctima a unos 30 metros – sin enlaces fraudulentos, sin emparejamientos, la otra parte no necesita hacer absolutamente nada. Luego, solo se envía una única solicitud maliciosa que derriba el servicio que se ejecuta en segundo plano.

En el caso de AirDrop, esto tiene una implicación desagradable. El servicio que lo gestiona en segundo plano también se encarga de AirPlay, Handoff, Universal Clipboard o Continuity Camera – si se cae, todo este conjunto de funciones deja de funcionar de repente. Y enviando solicitudes repetidamente, se puede mantener fuera de servicio prácticamente de forma permanente.

¿En qué se diferencia Quick Share de AirDrop?

Mientras que los fallos en AirDrop terminan principalmente en un bloqueo, en Quick Share los investigadores fueron más allá. En un Samsung Galaxy S23 Ultra lograron eludir la autenticación antes de que los dispositivos intercambiaran las claves de cifrado – el protocolo lee y procesa varios marcos de datos antes de que tenga lugar la parte de seguridad del acuerdo. El segundo fallo permitió eludir también el cifrado de los marcos que siguen al establecimiento de la conexión.

Sin embargo, el hallazgo más grave se refiere al cliente para Windows. Se trataba de un error de tipo use-after-free en la gestión de la memoria, que podría haber llevado a la ejecución de código arbitrario, es decir, a un escenario mucho más grave que un simple bloqueo. Google ya ha parcheado este agujero y ha pagado una recompensa a los autores a través de su programa de recompensas por errores.

Se dice que el trabajo en la corrección de errores continúa

Pero antes de que cunda el pánico, hay algo que alivia la situación: en la mayoría de los casos no se trata de robo de datos, sino de denegación de servicio – es decir, más una molestia que un robo de teléfono. Además, el atacante debe estar físicamente cerca, por lo que no se trata de un abuso masivo a distancia. La excepción es el error de memoria mencionado en Windows, que era más grave – y ya está corregido.

¿Qué pasa con los demás parches? Según los investigadores, Apple ha corregido uno de los tres fallos en AirDrop y le ha asignado un número de identificación CVE; los dos restantes están siendo abordados. Google, además del fallo de Windows, está trabajando en otros puntos como parte de una divulgación coordinada. Por lo tanto, el conjunto completo de correcciones aún no ha sido lanzado.

Sin embargo, es posible defenderse incluso sin esperar las actualizaciones. La clave es no dejar la recepción de archivos abierta a todo el mundo: en la configuración de AirDrop y Quick Share, cambie la visibilidad a «Solo contactos», o desactive la recepción directamente cuando no la necesite. Para la gran mayoría de las personas, esta es una defensa completamente suficiente.

¿Deja su teléfono visible para todos o solo para sus contactos?

Fuentes: arXiv, Android Authority, The Hacker News, Help Net Security

Sobre el autor

Adam Kurfürst

Adam studuje na gymnáziu a technologické žurnalistice se věnuje od svých 14 let. Pakliže pomineme jeho vášeň pro chytré telefony, tablety a příslušenství, rád se… Más sobre el autor

Adam Kurfürst
Sdílejte: