- Google prepara que WebGPU se desactive en Chrome para Android al activar el modo de protección avanzada.
- La API WebGPU ofrece gran potencia gráfica, pero se ha usado para ejecutar código remoto y supone un riesgo.
- La función aparece escondida en Google Play Services v26.10.31 y se orienta a perfiles de alto riesgo.
- El cambio refuerza el ecosistema de seguridad de Android 16, sacrificando rendimiento gráfico a cambio de más protección.
Google está dando un paso más en la protección de los móviles Android al preparar un cambio importante en Chrome para Android: la posibilidad de desactivar automáticamente la API WebGPU cuando se active el modo de protección avanzada del sistema. Esta decisión llega tras el creciente foco en los riesgos asociados a las tecnologías que dan acceso directo al hardware, especialmente en un contexto en el que la privacidad y la seguridad son cada vez más delicadas en Europa y el resto del mundo.
Con esta medida, la compañía busca reducir la exposición de los usuarios a ataques sofisticados que aprovechan fallos en el navegador. Aunque WebGPU se creó para ofrecer mejor rendimiento gráfico y cálculo intensivo en la web, su potencia también ha abierto la puerta a técnicas de ejecución remota de código, algo especialmente preocupante para perfiles sensibles como periodistas, activistas o responsables de empresas.
Qué es WebGPU y por qué preocupa tanto a Google
La API WebGPU es el relevo natural de WebGL en los navegadores modernos y permite que las páginas web se conecten de forma mucho más directa con la GPU del dispositivo. Gracias a ello, es posible ejecutar gráficos 3D avanzados, simulaciones complejas o herramientas web muy pesadas con una fluidez que antes solo se veía en aplicaciones nativas.
En Chrome para Android, WebGPU viene activada por defecto desde la versión 121 en la mayoría de móviles recientes con Android 12 o superior, especialmente aquellos basados en chips Qualcomm o ARM, que dominan el parque de dispositivos en Europa. Para el usuario de a pie, esto se traduce en webs más rápidas, juegos en el navegador más fluidos y aplicaciones online más completas.
El problema es que conceder un acceso tan profundo a la GPU aumenta también la superficie de ataque. Distintos equipos de investigación en ciberseguridad han demostrado que la API puede explotarse para ejecutar código malicioso de forma remota desde una página web. Es decir, basta con que la víctima visite un sitio comprometido para que un atacante pueda intentar aprovechar vulnerabilidades sin que el usuario note nada raro.
Esta situación coloca a WebGPU en una posición delicada: por un lado, es clave para la evolución de las aplicaciones web; por otro, se ha convertido en un objetivo prioritario para quienes buscan agujeros por los que colarse en el sistema. Google parchea estos fallos a medida que los detecta, pero siempre existe una ventana de tiempo entre el descubrimiento de una vulnerabilidad y la llegada de la actualización al usuario final.
En ese contexto, desactivar WebGPU en escenarios de máxima protección se perfila como una forma de reducir riesgos para quienes no pueden permitirse ni el más mínimo fallo de seguridad, aunque ello implique sacrificar parte del rendimiento gráfico del navegador.
Cómo se integrará el bloqueo de WebGPU en el modo de protección avanzada
La pista de este cambio no ha llegado mediante un anuncio oficial, sino a través del análisis del código. El medio especializado Android Authority ha encontrado, dentro de Google Play Services v26.10.31, una nueva opción aún oculta con el texto: «Desactivar WebGPU para protegerse contra amenazas de seguridad». Esta cadena aparece ligada al futuro modo de protección avanzada de Android 16.
Este modo funciona como un interruptor global de seguridad que, al activarse, reúne en un mismo perfil las defensas más estrictas del sistema. Está pensado para personas con un riesgo elevado de ciberataques dirigidos: periodistas de investigación, activistas, defensores de derechos humanos, cargos públicos o directivos que puedan ser objetivo de espionaje digital.
Cuando el usuario active este perfil reforzado, el sistema aplicará de golpe varias restricciones, entre ellas la desactivación de WebGPU en Chrome. De este modo, se bloquea el acceso de las páginas web a ese componente de hardware interno que es la GPU, cerrando una vía potencial de intrusión sin necesidad de que el usuario tenga que ir ajustando opciones técnicas una a una.
Por ahora, la función está en fase de desarrollo y no se ha activado públicamente. Analizar el código interno sirve para entender hacia dónde apunta la estrategia de Google, pero siempre existe la posibilidad de que el ajuste cambie, se limite a ciertos mercados o incluso se descarte antes de llegar a los móviles que se venden en España y el resto de Europa.
Pese a esa incertidumbre, el simple hecho de que la opción figure ya en los servicios de Google Play indica que la compañía está trabajando seriamente en este enfoque: combinar un alto nivel de seguridad con controles específicos sobre APIs sensibles como WebGPU.
Impacto para los usuarios de Android en España y Europa
En el día a día, la mayoría de usuarios europeos de Android notarán este cambio solo si deciden activar el modo de protección avanzada. En condiciones normales, WebGPU seguirá encendida por defecto en Chrome, garantizando la mejor experiencia posible en juegos web, entornos 3D, aplicaciones de diseño o herramientas de análisis de datos que funcionan directamente desde el navegador.
Sin embargo, quienes opten por priorizar la seguridad por encima del rendimiento verán cómo algunas páginas modernas dejan de funcionar con la misma fluidez o pierden ciertas funciones visuales. Sitios que dependan mucho de cálculos gráficos avanzados podrían volverse más lentos o incluso mostrar errores si no cuentan con rutas alternativas a WebGPU.
Para el entorno europeo, donde la regulación en materia de privacidad y seguridad es especialmente exigente, este tipo de medidas encajan con la tendencia general: ofrecer controles adicionales a los usuarios y limitar el acceso al hardware cuando se considera que el riesgo puede superar los beneficios. Usuarios que manejan información sensible o trabajan en sectores críticos pueden ver en esta opción un aliado más para blindar sus dispositivos.
En el caso de España, donde el parque de móviles Android es mayoritario y el uso de Chrome es muy extendido, la integración de este ajuste dentro del modo de protección avanzada puede convertirse en una recomendación habitual entre departamentos de TI, medios de comunicación o organizaciones del tercer sector que deseen mitigar exposiciones innecesarias a vulnerabilidades del navegador.
Eso sí, esta decisión no convierte a WebGPU en una tecnología insegura por definición. Más bien refleja una postura prudente: si el usuario pide el máximo nivel de protección, el sistema limita todo aquello que pueda abrir un canal de ataque, incluso cuando ese canal también aporte ventajas claras en términos de rendimiento y experiencia de uso.
Un modo de protección avanzada cada vez más estricto
El modo de protección avanzada de Android 16 no se limita a WebGPU. Esta opción funciona como un perfil integral que agrupa varias capas de defensa adicionales cuando el usuario activa este nivel de seguridad. De hecho, la desactivación de la API gráfica se suma a otras restricciones que ya se han ido descubriendo en el código del sistema.
Entre las funciones que acompañan a este modo destacan las protecciones frente a la descarga lateral de aplicaciones, bloqueando o limitando las instalaciones que no provengan de la tienda oficial Google Play. Con ello se reduce la posibilidad de que el usuario, a veces sin darse cuenta, instale software malicioso desde repositorios no verificados, algo que sigue siendo una de las vías de infección más habituales.
También se refuerza la protección frente al robo del dispositivo, con opciones de bloqueo incluso cuando el móvil está sin conexión, y se introducen barreras extra frente a webs inseguras, ampliando el filtrado y las advertencias del navegador para evitar que el usuario caiga en trampas de phishing o en dominios comprometidos.
Otra medida llamativa vinculada a este perfil es la posibilidad de impedir la conexión con redes 2G. Aunque estas redes ya apenas se usan en buena parte de Europa, siguen siendo un punto débil en términos de cifrado y autenticación. Bloquearlas reduce el margen de maniobra para atacantes que recurren a técnicas de interceptación en entornos con infraestructuras antiguas.
Además, el mismo modo avanzado ha empezado a incluir otras limitaciones técnicas, como el bloqueo del uso abusivo de AccessibilityService por parte de aplicaciones que no sean herramientas de accesibilidad certificadas. Este tipo de APIs, pensadas para ayudar a personas con discapacidad, han sido empleadas en ocasiones por malware para conseguir permisos excesivos y tomar control del dispositivo.
En conjunto, el resultado es un perfil extremadamente restrictivo que busca blindar al máximo el teléfono a costa de recortar comodidades y funciones. No está pensado para todo el mundo, sino para quienes valoran más la seguridad que la flexibilidad, algo muy presente en entornos profesionales, administraciones públicas y organizaciones de la sociedad civil europeas.
Equilibrio entre rendimiento, experiencia web y seguridad
La decisión de ligar la desactivación de WebGPU al modo de protección avanzada refleja el dilema clásico de cualquier plataforma tecnológica: cómo equilibrar innovación y seguridad. Por un lado, herramientas como WebGPU permiten que los navegadores se conviertan en verdaderas plataformas de aplicaciones, capaces de reemplazar programas de escritorio en muchos ámbitos. Por otro, esa misma potencia aumenta el impacto de una posible vulnerabilidad.
Google parece inclinarse por una solución intermedia: mantener WebGPU disponible por defecto para el gran público que quiere el mejor rendimiento posible, pero ofrecer un interruptor claro para aquellos que necesitan reducir al mínimo la superficie de ataque. Desde el punto de vista de la experiencia de usuario, esto permite que cada persona elija qué priorizar en función de su perfil y de los riesgos que asume en su día a día.
En el ámbito europeo, donde las instituciones han puesto el foco en la protección de datos y en la seguridad de las infraestructuras digitales, esta flexibilidad encaja con las recomendaciones habituales: configuraciones reforzadas para colectivos de alto riesgo, sin penalizar al resto de usuarios que buscan un uso más cómodo y fluido del dispositivo.
Quedan por ver algunos detalles prácticos, como si el ajuste afectará a todos los navegadores basados en Chromium o se limitará a Chrome, o si fabricantes de móviles en Europa aplicarán capas adicionales sobre esta función en sus propias versiones de Android. En cualquier caso, el movimiento apunta a un escenario donde las APIs críticas para el rendimiento gráfico estarán cada vez más vigiladas y controladas.
Todo apunta a que, si esta opción llega finalmente a los móviles que se venden en España y el resto del continente, se convertirá en una herramienta útil para reforzar la seguridad de Chrome para Android allí donde más falta hace. Aunque suponga renunciar a parte de la potencia de WebGPU, muchos usuarios de alto riesgo verán en este sacrificio un precio asumible a cambio de ganar tranquilidad frente a posibles ataques dirigidos desde el propio navegador.