Google está ultimando un cambio importante en la forma en que Android protege a los usuarios que navegan con Chrome. El sistema incorporará una opción para desactivar por completo la API WebGPU cuando se active el llamado modo de Protección Avanzada, una configuración pensada para quienes necesitan un plus de seguridad frente a ataques sofisticados.
Esta novedad, descubierta en el código interno de los servicios de Google Play, permitiría que las páginas web pierdan el acceso directo al procesador gráfico del móvil cuando el usuario prioriza la seguridad sobre el rendimiento. El movimiento encaja con la tendencia de la compañía a reforzar las capas de protección del navegador, sobre todo en un contexto europeo donde la privacidad y la ciberseguridad están cada vez más vigiladas por reguladores y usuarios.
Qué es WebGPU y por qué se ha convertido en un problema de seguridad
WebGPU es una API relativamente reciente que permite a los navegadores comunicarse de forma muy directa con la unidad de procesamiento gráfico (GPU) del dispositivo. Nació como sustituta de WebGL con la idea de ofrecer gráficos más complejos, cálculos pesados y experiencias web mucho más fluidas directamente desde el navegador, sin necesidad de apps instaladas.
En la práctica, esta tecnología se utiliza para renderizar entornos 3D, simulaciones avanzadas o herramientas de diseño que se ejecutan desde una pestaña de Chrome. Desde la versión 121 del navegador, WebGPU viene activada por defecto en Android en la mayoría de móviles modernos con Android 12 o superior y hardware compatible de Qualcomm o ARM, lo que cubre buena parte del parque de dispositivos en España y el resto de Europa.
El problema es que ese acceso tan profundo al hardware también abre la puerta a que la API sea aprovechada de forma maliciosa. Investigadores de ciberseguridad han demostrado que WebGPU puede utilizarse para ejecutar código remoto desde una página web, es decir, que un atacante puede llegar a lanzar instrucciones en el dispositivo simplemente haciendo que la víctima visite un sitio especialmente preparado.
Aunque Google corrige estos agujeros tan pronto como los expertos los reportan, siempre existe una ventana de tiempo entre que se descubre una vulnerabilidad y se distribuye el parche. Para usuarios de alto riesgo, esa pequeña ventana ya supone un motivo más que suficiente para limitar o bloquear el uso de tecnologías con tanto poder de acceso al hardware.
Así funciona el modo de Protección Avanzada en Android 16
Android 16 incluirá un perfil de seguridad reforzada conocido como modo de Protección Avanzada, que actúa como un gran interruptor general: al activarlo, el sistema enciende de golpe sus defensas más estrictas. La idea es que el usuario no tenga que ir opción por opción, sino contar con un único ajuste preparado para los escenarios más delicados.
Este modo está especialmente orientado a colectivos con mayor exposición a ciberataques, como periodistas, activistas, cargos públicos o directivos, aunque cualquier persona preocupada por su privacidad podría beneficiarse. Entre las medidas que aplica se incluyen restricciones a la instalación de aplicaciones desde fuera de Google Play, protecciones extra frente a webs inseguras o la posibilidad de impedir conexiones a redes 2G, consideradas menos seguras.
Dentro de este conjunto de ajustes avanzados, Google ha empezado a probar una nueva opción que permitiría desactivar WebGPU específicamente en Chrome. El texto que se ha encontrado en el código de los servicios del sistema hace referencia a un ajuste con la descripción “Desactivar WebGPU para protegerse contra amenazas de seguridad”, claramente vinculado a este modo reforzado.
Además, el modo de Protección Avanzada incorpora otros cambios importantes, como el bloqueo de la API AccessibilityService para aquellas aplicaciones que no sean herramientas de accesibilidad certificadas. Se trata de cerrar posibles vectores de ataque que, aunque útiles en el día a día, también pueden ser aprovechados por software malicioso para tomar control del dispositivo.
Qué ha descubierto Android Authority en Google Play Services
La pista sobre este nuevo ajuste no ha llegado a través de un anuncio oficial, sino de un análisis técnico. El medio especializado Android Authority ha revisado el contenido de Google Play Services v26.10.31, una versión todavía en fase de desarrollo, y ha encontrado referencias directas a la futura opción para desactivar WebGPU en Chrome dentro del modo de Protección Avanzada.
Al habilitar de forma manual las cadenas ocultas, los investigadores han podido ver el texto de la configuración interna y comprobar que el sistema ofrecería al usuario un interruptor para bloquear el acceso de las webs a la GPU. En la práctica, esto supone que Chrome dejaría de exponer WebGPU cuando el perfil reforzado esté activo, reduciendo así la superficie de ataque disponible para posibles exploits basados en la tarjeta gráfica.
Conviene subrayar que, por ahora, esta función no aparece en los ajustes visibles de Android ni en la versión estable de Chrome. Se trata de código en pruebas que podría cambiar notablemente o incluso desaparecer antes de que Android 16 llegue al público general en Europa y otros mercados.
Este tipo de hallazgos en el interior de Google Play Services permite, no obstante, hacerse una idea bastante clara de la dirección que está tomando Google en materia de seguridad: reforzar los perfiles de alto riesgo y ofrecer herramientas más agresivas de protección que asumen sacrificios en experiencia de uso.
Equilibrio entre rendimiento gráfico y seguridad del usuario
La decisión de vincular WebGPU al modo de Protección Avanzada tiene mucho que ver con el clásico dilema entre rendimiento y seguridad. Por un lado, esta API ofrece mejoras notables en fluidez y capacidad gráfica para sitios web modernos, juegos en la nube, herramientas de productividad o visualizaciones complejas que se usan cada vez más también en entornos profesionales europeos.
Por otro lado, mantener abierta esa vía de acceso al hardware hace que cualquier error o vulnerabilidad se convierta en un potencial problema grave. Con la nueva opción, Google parece apostar por un modelo flexible: WebGPU seguirá disponible por defecto para la mayoría de usuarios, pero quienes prioricen la protección podrán apagarla con un solo toque al activar el perfil reforzado.
Este enfoque tiene un coste claro. Si el usuario decide deshabilitar WebGPU, algunas webs cargarán más lento o perderán parte de sus efectos visuales avanzados. Determinadas aplicaciones web basadas en gráficos 3D, procesamiento intensivo de datos o experiencias interactivas podrían dejar de funcionar con la misma suavidad o, directamente, no ofrecer todas sus funciones.
A cambio, Android reduce la capacidad de que una página maliciosa utilice la GPU como puerta de entrada a la ejecución de código remoto. En un contexto donde los ataques dirigidos contra periodistas, activistas y cargos públicos son cada vez más sofisticados, renunciar a algo de espectacularidad gráfica puede ser un precio asumible para quienes se mueven a diario en escenarios de riesgo.
Esta medida se suma a las actualizaciones de seguridad frecuentes que llegan a Chrome, que en Europa y el resto del mundo se distribuyen de forma silenciosa a través de Google Play. El navegador ya recibe parches de seguridad con bastante regularidad, pero el bloqueo de WebGPU en el modo reforzado añade una barrera adicional en capas profundas del sistema.
Impacto para los usuarios de Android en España y Europa
En mercados como España y el conjunto de la Unión Europea, donde existe una fuerte sensibilidad hacia la protección de datos y la privacidad, una opción de este tipo encaja bien con las expectativas de muchos usuarios. Aunque el cambio se aplique a nivel global, la preocupación por los ciberataques dirigidos y el uso de vulnerabilidades en navegadores para espionaje es especialmente visible en el entorno europeo.
Para el usuario medio, el cambio apenas será perceptible, ya que WebGPU continuará activo de serie en Chrome y solo se desactivará al optar por el modo de Protección Avanzada. Sin embargo, perfiles que manejan información sensible o se desplazan con frecuencia por países con mayor vigilancia digital podrán apoyarse en este nuevo escudo como parte de su estrategia de seguridad.
En organizaciones europeas, desde medios de comunicación hasta ONG y entidades públicas, este tipo de herramientas facilita que los departamentos de TI recomienden configuraciones estándar de seguridad para móviles corporativos Android. Un simple ajuste permite reducir el riesgo asociado al uso intensivo de la web sin necesidad de formar a los empleados en detalles técnicos de APIs y motores gráficos.
Aunque de momento todo se mueve en el plano del código en desarrollo, la presencia de esta opción en Google Play Services apunta a que Google se toma en serio la amenaza que puede suponer WebGPU en manos de atacantes. Si la prueba se consolida, es razonable esperar que la nueva protección llegue también a los dispositivos comercializados en España y el resto de Europa con Android 16 o posteriores.
Queda por ver, eso sí, si la empresa decide ampliar esta filosofía a otras APIs de alto riesgo, como ciertas funciones avanzadas de sensorística o acceso a componentes internos del sistema. Lo que ya parece claro es que la compañía quiere que los usuarios con más necesidad de protección no tengan que elegir entre navegar o estar seguros, sino contar con un modo que limite al máximo los puntos débiles, aunque eso implique renunciar a algunas comodidades.
Con este paso, Android y Chrome dan otra vuelta de tuerca a su estrategia de seguridad: el navegador seguirá ofreciendo capacidades gráficas avanzadas gracias a WebGPU para la mayoría de usuarios, pero quienes activen el modo de Protección Avanzada en Android 16 podrán cortar de raíz el acceso de las webs a la GPU, reduciendo la posibilidad de ejecución remota de código y reforzando un ecosistema donde, poco a poco, la seguridad pesa tanto como el rendimiento.
