- Google prueba una opción para desactivar WebGPU en Chrome cuando se active el modo de protección avanzada de Android 16.
- La API WebGPU ofrece gran potencia gráfica pero puede abrir la puerta a ejecución remota de código desde páginas web maliciosas.
- El ajuste, detectado en Google Play Services v26.10.31, aún no es público y se dirige sobre todo a usuarios de alto riesgo.
- La medida busca equilibrar rendimiento gráfico y seguridad, con impacto especial en perfiles sensibles en España y Europa.
En los últimos meses, la seguridad del navegador en móviles Android se ha colocado en primer plano dentro de la estrategia de Google. Uno de los focos de debate es WebGPU, la API de gráficos de nueva generación que ya está activada por defecto en Chrome y que, al mismo tiempo, se ha convertido en un posible vector de ataque para actores maliciosos.
Según distintos análisis de código, la compañía está preparando un ajuste específico para desactivar la API WebGPU en Chrome cuando se active el denominado modo de protección avanzada de Android 16. Esta nueva capa de defensa pretende reducir las posibilidades de que un fallo en la API pueda derivar en ejecución remota de código desde una simple página web, algo especialmente sensible para usuarios europeos preocupados por su privacidad y la exposición a ciberataques sofisticados.
Qué es WebGPU y qué papel juega en Chrome para Android
Para entender por qué Google se plantea poner freno a esta tecnología en determinados contextos, conviene recordar qué hace exactamente WebGPU y por qué se ha vuelto tan importante en los navegadores modernos.
WebGPU es una interfaz de programación que permite que las páginas web accedan directamente a la unidad de procesamiento gráfico (GPU) del dispositivo. Gracias a este canal de comunicación, un sitio web puede apoyarse en la potencia de la tarjeta gráfica del móvil para realizar cálculos muy exigentes o generar imágenes y efectos visuales complejos directamente desde una pestaña de Chrome.
Esta API llega como relevo natural de WebGL, con la idea de ofrecer mayor eficiencia y mejores capacidades gráficas. En la práctica, permite que en el navegador se ejecuten desde simulaciones 3D y juegos avanzados hasta herramientas de diseño o aplicaciones de análisis de datos que antes requerían software específico instalado.
En el ecosistema Android, WebGPU está activada por defecto a partir de Chrome 121 en dispositivos con Android 12 o superior y hardware compatible, principalmente chips de Qualcomm y ARM. Esto significa que una parte muy significativa del parque de móviles actuales, también en España y el resto de Europa, ya navega con esta tecnología disponible sin que el usuario tenga que tocar nada en los ajustes.
El problema es que ese acceso tan privilegiado al hardware, que resulta ideal para lograr una navegación fluida y vistosa, también hace que WebGPU sea un objetivo especialmente interesante para quienes buscan vulnerabilidades explotables desde la web.
Riesgos de WebGPU: de la potencia gráfica a la ejecución de código remoto
Los expertos en ciberseguridad llevan tiempo advirtiendo de que las APIs que conceden un acceso profundo a componentes internos del dispositivo pueden convertirse en una puerta de entrada para exploits sofisticados. WebGPU no es una excepción: su capacidad para comunicarse de forma directa con la GPU ha sido aprovechada en pruebas de concepto para ejecutar código de manera remota.
En escenarios de ataque, una vulnerabilidad en esta API podría permitir que una página web especialmente diseñada lanzara instrucciones en el dispositivo del usuario sin necesidad de instalar aplicaciones ni conseguir permisos adicionales. Basta con que la víctima visite el sitio malicioso desde Chrome, algo que incrementa notablemente la superficie de exposición.
Cuando se detectan fallos de este tipo, Google y otros actores del ecosistema reaccionan lanzando parches de seguridad, que suelen llegar al usuario a través de actualizaciones de Chrome y de los Servicios de Google Play. Sin embargo, siempre existe una ventana de tiempo entre el descubrimiento de la vulnerabilidad, la publicación del fix y la instalación de la actualización en todos los dispositivos afectados.
Para la mayoría de usuarios, esta ventana puede pasar desapercibida. No obstante, para perfiles de alto riesgo —como periodistas, activistas, cargos públicos o directivos— incluso unas pocas horas con una brecha abierta resultan preocupantes. Precisamente a ese tipo de escenario responde la idea de poder desactivar WebGPU en Chrome cuando se prioriza la seguridad por encima del rendimiento gráfico.
En este contexto, la API se considera una función especialmente susceptible a vulnerabilidades, ya que combina acceso al hardware, ejecución de código desde la web y una base de dispositivos muy amplia, tanto en Europa como en otros mercados donde Android domina el segmento móvil.
Así funciona el modo de protección avanzada en Android 16
El ajuste que Google está preparando no llega de forma aislada, sino integrado dentro de un conjunto más amplio de medidas de seguridad agrupadas en el llamado modo de protección avanzada de Android 16. Esta configuración, que actúa como una especie de interruptor general, activa de golpe las defensas más estrictas del sistema para quienes necesitan un nivel extra de protección.
Cuando el usuario habilita este modo, Android aplica de manera automática varias restricciones: limitación de la instalación de apps desde fuera de Google Play (la conocida descarga lateral o sideloading), más filtros frente a páginas consideradas peligrosas, bloqueo de conexiones con redes 2G —consideradas menos seguras— y medidas adicionales frente al robo del dispositivo, como funciones de bloqueo incluso sin conexión.
La idea es que las personas que se mueven en entornos delicados no tengan que bucear por menús complejos, sino que dispongan de un único control que les permita activar de una vez todas las protecciones recomendadas por Google para escenarios de riesgo elevado.
Dentro de este paquete de medidas avanzadas, la compañía está probando incluir una opción específica para desactivar WebGPU en Chrome. El objetivo es sencillo: cuando el usuario decida activar el modo de protección avanzada, el sistema impide que las páginas web accedan a la GPU a través de esta API, reduciendo así uno de los vectores potenciales de ataque.
Este enfoque se complementa con otros cambios detectados en el mismo modo, como el endurecimiento del uso de la API AccessibilityService para aplicaciones que no sean herramientas de accesibilidad certificadas, con el fin de cerrar posibles vías de abuso que también han sido aprovechadas por software malicioso en el pasado.
Qué ha revelado el análisis de Google Play Services v26.10.31
La existencia de esta futura opción no se ha conocido a través de un anuncio oficial, sino gracias al trabajo de análisis de medios especializados. En concreto, Android Authority ha examinado el contenido de Google Play Services v26.10.31, una versión en desarrollo que incluye referencias a ajustes todavía ocultos para el gran público.
Al revisar el código, los investigadores encontraron una cadena de texto relacionada con el modo de protección avanzada que hace referencia expresa a la idea de “desactivar WebGPU para protegerse contra amenazas de seguridad”. Al activar manualmente este componente interno, pudieron comprobar que el sistema mostraría al usuario un interruptor destinado a bloquear la exposición de la API en Chrome cuando se activa el perfil reforzado.
En la práctica, esto supondría que, con el modo de protección avanzada encendido, Chrome dejaría de ofrecer WebGPU a las páginas web. Cualquier sitio que intente utilizar esta API vería ese acceso denegado, lo que limita la posibilidad de que un exploit aproveche la GPU como vehículo para la ejecución remota de código.
Conviene recordar que, a día de hoy, esta opción no aparece en los ajustes visibles de Android ni en la configuración estándar de Chrome. Se trata de funcionalidades en pruebas que pueden cambiar de nombre, modificarse o incluso desaparecer antes de que la versión final de Android 16 llegue a los usuarios de España, Europa y el resto del mundo.
Aun así, la presencia de estas referencias en los Servicios de Google Play ofrece una pista bastante clara sobre la dirección que está tomando la compañía: reforzar los perfiles de mayor riesgo con herramientas específicas y asumir ciertos sacrificios de experiencia de uso para reducir el impacto de posibles vulnerabilidades en APIs avanzadas como WebGPU.
Equilibrio entre rendimiento gráfico y protección del usuario
El debate de fondo en torno a WebGPU y su posible desactivación en el modo de protección avanzada refleja un dilema clásico en tecnología: hasta qué punto compensa priorizar la seguridad frente al rendimiento y las funcionalidades avanzadas. En el caso de esta API, las mejoras en fluidez y calidad gráfica son evidentes, sobre todo en sitios que hacen un uso intensivo de la GPU.
Con WebGPU activa, muchas aplicaciones web modernas pueden cargar más rápido y mostrar gráficos 3D o simulaciones complejas directamente en el navegador. Esto incluye desde juegos y experiencias inmersivas hasta herramientas profesionales de visualización de datos que, poco a poco, empiezan a utilizarse también en empresas europeas para tareas cotidianas.
El inconveniente es que, al mantener abierto un canal tan potente hacia el hardware, cualquier fallo de seguridad se vuelve más delicado. Si un atacante consigue explotar una vulnerabilidad en WebGPU, el potencial de daño aumenta, ya que puede intentar usar la GPU como punto de apoyo para comprometer el dispositivo.
La estrategia que se perfila con el modo de protección avanzada es un modelo flexible: WebGPU seguirá disponible por defecto en Chrome para la mayoría de usuarios, que continuarán disfrutando de las ventajas en rendimiento y experiencia visual. Sin embargo, quienes se vean más expuestos a ataques o simplemente quieran extremar precauciones podrán optar por desactivar la API automáticamente al activar el perfil reforzado.
Este enfoque tiene un coste evidente. Si se opta por desconectar WebGPU, algunas páginas pueden perder parte de sus efectos visuales o funcionar de forma menos fluida. Determinadas herramientas web basadas en gráficos avanzados o cálculos intensivos podrían no rendir igual de bien, e incluso ciertas funciones podrían quedar deshabilitadas temporalmente.
Pese a todo, para usuarios que manejan información sensible, ese sacrificio en calidad gráfica suele verse como un precio razonable a pagar a cambio de reducir la superficie de ataque del navegador, especialmente en un momento en el que los ciberataques dirigidos y el espionaje digital se han vuelto más sofisticados.
Impacto en usuarios de Android en España y el resto de Europa
En territorios como España y el conjunto de la Unión Europea, donde la protección de datos y la ciberseguridad ocupan un lugar destacado en la agenda pública, este tipo de medidas encajan con la creciente sensibilidad de los usuarios y de los reguladores. La posibilidad de desactivar WebGPU en Chrome dentro de un modo de seguridad reforzada puede convertirse en una herramienta relevante para quienes requieren un control más estricto sobre su navegación.
Para la mayoría de personas que utilizan Android a diario, la llegada de este ajuste no cambiará demasiado su experiencia, ya que WebGPU continuará activada por defecto en Chrome y solo se desconectará si el usuario decide activar el modo de protección avanzada. De este modo, el impacto se concentrará sobre todo en aquellos que, por su perfil o entorno, prefieran un enfoque más conservador frente a posibles amenazas en la web.
En organizaciones europeas —desde medios de comunicación hasta ONG, empresas tecnológicas o instituciones públicas—, la existencia de un interruptor de este tipo facilitará que los departamentos de TI definan configuraciones de seguridad recomendadas para móviles corporativos. Bastará con activar el perfil reforzado en dispositivos que manejen información sensible para que, de forma automática, se bloqueen funciones consideradas de mayor riesgo, como WebGPU.
Este movimiento también refuerza la imagen de Android y Chrome como plataformas que van incorporando capas de protección cada vez más granulares. En lugar de limitarse a parches reactivos, Google empieza a ofrecer opciones que permiten adaptar el nivel de exposición tecnológica al perfil de cada usuario, algo especialmente valorado en mercados donde la privacidad y la seguridad son factores de decisión a la hora de elegir dispositivo.
Aunque por ahora la función sigue en fase de desarrollo y no hay garantía total de que llegue exactamente en la forma en que se ha detectado, todo apunta a que la compañía se toma muy en serio la amenaza potencial que pueden suponer APIs tan potentes como WebGPU en manos de atacantes. Si finalmente se integra en Android 16, es previsible que la opción de bloquear el acceso de las webs a la GPU llegue también a los móviles vendidos en España y Europa con esta versión del sistema o posteriores.
En conjunto, la posible posibilidad de desactivar la API WebGPU en Chrome dentro del modo de protección avanzada refuerza la tendencia de Google hacia un modelo donde el usuario gana margen de maniobra para ajustar el equilibrio entre rendimiento y seguridad. Con la web como puerta de entrada a cada vez más servicios, reducir el riesgo de ejecución remota de código y limitar el acceso a componentes internos del dispositivo se perfila como un paso más para navegar con algo más de tranquilidad, aunque suponga renunciar en ciertos casos a la experiencia gráfica más puntera.
