- Google planea desactivar la API WebGPU en Chrome para Android cuando se active el modo de protección avanzada.
- WebGPU ofrece acceso directo a la GPU y mejora el rendimiento, pero también aumenta la superficie de ataque.
- La nueva opción se ha detectado en el código de Google Play Services v26.10.31 y aún no es visible para el público.
- La medida refuerza la protección de usuarios de alto riesgo y se suma a otras restricciones de seguridad avanzadas de Android.
Google está preparando un cambio relevante en la forma en que Chrome para Android gestiona la API WebGPU cuando el sistema entra en su configuración de seguridad más estricta. La compañía quiere reducir el margen que puedan tener los atacantes para aprovechar fallos en esta tecnología, sin renunciar por completo a las mejoras de rendimiento que aporta en el día a día.
En concreto, la firma trabaja en una opción para que, al activar el modo de protección avanzada de Android, se deshabilite automáticamente el acceso a WebGPU en Chrome. Esta decisión busca limitar el uso malicioso de la API en dispositivos móviles, una preocupación que no es teórica: ya se ha demostrado que puede explotarse para ejecutar código remoto en determinados escenarios.
Según el análisis de cadenas internas realizado sobre Google Play Services v26.10.31, se ha encontrado una nueva configuración con el texto «desactivar WebGPU para proteger contra amenazas de seguridad». Aunque todavía no se ha hecho visible para los usuarios, todo indica que Google está probando esta función de manera interna, de cara a futuras versiones de Android y Chrome.
Este movimiento se enmarca en la tendencia general del ecosistema Android, incluida Europa y España, de reforzar las barreras de protección para perfiles considerados de alto riesgo, al tiempo que se mantiene una experiencia web avanzada para el resto de usuarios cuando no se encuentra activo el modo de protección reforzada.
Qué es WebGPU y por qué se ha vuelto un foco de seguridad
Para entender el alcance de esta medida conviene recordar qué hace exactamente WebGPU. Se trata de una API de nueva generación para navegadores que permite a las páginas web comunicarse de forma mucho más directa con la unidad de procesamiento gráfico del dispositivo, la GPU.
Gracias a este acceso, los desarrolladores pueden ejecutar cálculos de alto rendimiento y renderizar gráficos complejos sin salir del navegador, algo especialmente útil en aplicaciones web avanzadas, visualizaciones 3D, herramientas de diseño o procesamiento intensivo de datos. Es, en la práctica, el relevo natural de WebGL, con una arquitectura más moderna y eficiente.
En Chrome para Android, WebGPU está activada por defecto desde la versión 121 en dispositivos con Android 12 o superior y hardware compatible (principalmente chips Qualcomm y ARM, que dominan la mayoría de móviles actuales en España y el resto de Europa). Esto significa que, en muchos terminales, ya forma parte de la experiencia de navegación habitual.
El problema es que este acceso tan directo al hardware convierte a WebGPU en una superficie de ataque muy interesante para investigadores y ciberdelincuentes. Distintos trabajos de seguridad han demostrado que se puede aprovechar para filtrar información o incluso desencadenar cadenas de explotación que terminen en ejecución de código remoto desde una página web maliciosa.
En la práctica, esto implica que una vulnerabilidad sin parchear podría permitir que un atacante manipule la GPU y, desde ahí, intente tomar el control parcial del dispositivo o espiar determinadas operaciones. Aunque se publican correcciones de seguridad de forma periódica, existe un intervalo de tiempo entre el hallazgo del fallo y la instalación del parche en cada móvil, y es precisamente ese hueco el que Google quiere reducir en los entornos más sensibles.
Cómo funciona el modo de protección avanzada de Android
El llamado modo de protección avanzada es una configuración que agrupa en un solo interruptor varias de las defensas más estrictas de Android. Esta característica, pensada para próximas versiones como Android 16, está orientada a quienes pueden ser objetivo de ataques especialmente sofisticados.
Entre los perfiles a los que más interesa este modo destacan periodistas de investigación, activistas, cargos públicos, directivos de grandes empresas o, en general, usuarios cuyas comunicaciones puedan tener un interés especial para atacantes con recursos. En Europa y España, donde la regulación y la protección de datos tienen un peso significativo, este tipo de funciones encajan con las recomendaciones habituales de minimizar riesgos en colectivos vulnerables.
Cuando se activa el modo de protección avanzada, Android aplica un conjunto de medidas que van más allá de la configuración de seguridad estándar. Por ejemplo, puede bloquear la instalación de aplicaciones desde fuentes externas a Google Play (lo que se conoce como descarga lateral), restringir el acceso a determinadas APIs del sistema y endurecer los controles contra webs sospechosas o conexiones poco seguras.
Entre las restricciones detectadas en desarrollo está también el bloqueo de la API AccessibilityService para aquellas aplicaciones que no sean herramientas de accesibilidad validadas. Esta API es muy potente y, si se abusa de ella, puede utilizarse para automatizar acciones o capturar información sensible. Su limitación va en la misma línea de cerrar puertas que puedan ser aprovechadas por malware o campañas de espionaje.
Con la nueva opción, el paquete de medidas del modo de protección avanzada sumaría un elemento más: impedir que Chrome use WebGPU mientras el usuario mantenga activado ese nivel extra de protección, lo que reduce de golpe un vector de ataque potencialmente crítico.
Por qué Google quiere desactivar WebGPU en Chrome al reforzar la seguridad
El razonamiento de Google parte de una idea sencilla: cuanto mayor es el acceso al hardware desde la web, mayor es también el riesgo si aparece una vulnerabilidad. WebGPU abre la puerta a funcionalidades impresionantes a nivel gráfico y de cálculo, pero también permite que el navegador toque partes del sistema que antes estaban más aisladas.
Varios estudios de seguridad han mostrado que WebGPU puede utilizarse, por ejemplo, para medir con precisión tiempos de ejecución y, a partir de ahí, inferir información sensible o establecer canales encubiertos. En casos más graves, un exploit bien diseñado podría terminar componiendo una cadena de fallos que culminase en ejecución de código arbitrario aprovechando la GPU.
De ahí que, para los usuarios que opten por el máximo nivel de protección, tenga sentido renunciar temporalmente a ese acceso avanzado. La idea de Google es que WebGPU Chrome siga disponible por defecto para la mayoría de personas, que priorizan rendimiento y experiencia visual, pero que quede bloqueada cuando se activa el modo de protección avanzada.
Esta aproximación permite mantener un cierto equilibrio: quienes necesiten sacar partido a aplicaciones web complejas seguirán pudiendo hacerlo en condiciones normales, mientras que los perfiles más expuestos a ciberataques podrán optar por un modo en el que se sacrifica parte del rendimiento para ganar seguridad.
Conviene insistir en que la función está todavía en fase de desarrollo. La referencia localizada en Google Play Services v26.10.31 apunta a una opción con la descripción «desactivar WebGPU para protegerse contra amenazas de seguridad», pero eso no garantiza al cien por cien que se vaya a estrenar tal cual en la versión final de Android o Chrome. Aun así, es una señal clara de hacia dónde se dirige la estrategia de seguridad de la compañía.
Impacto para los usuarios de Android en España y Europa
En el contexto europeo, donde la normativa sobre privacidad y seguridad digital es especialmente exigente, este tipo de cambios encajan con la presión regulatoria y las recomendaciones de los organismos de ciberseguridad. Para los usuarios en España, la medida se traduciría en un plus de protección en situaciones de riesgo, sin necesidad de que el propio usuario maneje configuraciones técnicas complejas.
La activación del modo de protección avanzada funciona como un interruptor: al encenderlo, Android se encarga de cerrar el acceso de las páginas web a componentes internos como la GPU mediante WebGPU, limitar APIs delicadas y endurecer la navegación. No hay que ir opción por opción, algo que puede resultar especialmente útil para personas menos familiarizadas con los ajustes de seguridad.
Para la mayoría de usuarios que utilizan el móvil principalmente para redes sociales, mensajería, banca online y navegación habitual, es probable que no noten grandes cambios en el día a día, ya que muchas webs aún no dependen de WebGPU para su funcionamiento básico. Donde sí podría apreciarse alguna diferencia es en aplicaciones web 3D, juegos en el navegador o herramientas de diseño avanzado.
En entornos profesionales o institucionales sensibles, como redacciones de medios, organizaciones no gubernamentales, despachos de abogados o administraciones públicas, la posibilidad de activar un modo que reduzca al mínimo la superficie de ataque desde el navegador resulta especialmente atractiva. Poder desactivar WebGPU sin tener que ir navegador por navegador facilita la aplicación de políticas de seguridad coherentes en flotas de dispositivos Android.
En cualquier caso, se trata de una opción complementaria a otras buenas prácticas, como mantener Android y Chrome siempre actualizados, revisar los permisos de las aplicaciones instaladas, utilizar autenticación de dos factores cuando sea posible y evitar conectarse a redes Wi-Fi abiertas sin protección adecuada.
Un paso más en el endurecimiento de la seguridad de Android
La posible desactivación de WebGPU en el modo de protección avanzada no es una medida aislada, sino parte de una tendencia más amplia en Android: ir cerrando progresivamente las vías que pueden aprovecharse para ataques complejos, sobre todo en escenarios donde está en juego información especialmente sensible.
El bloqueo de la API AccessibilityService para apps no certificadas, la restricción de la descarga lateral de aplicaciones, las protecciones adicionales frente a webs maliciosas o la opción de impedir conexiones con redes 2G forman parte de este mismo enfoque de endurecer las capas de seguridad disponibles.
Para Google, el reto está en encontrar el equilibrio entre ofrecer un sistema flexible y abierto, que permita a los desarrolladores innovar, y garantizar que quienes lo necesiten puedan reforzar el dispositivo al máximo con un solo ajuste. Android ha ido incorporando con los años más y mejores controles, y este nuevo ajuste en torno a WebGPU encaja plenamente en ese camino.
Aunque muchas de estas funciones se diseñan pensando en amenazas de alto nivel, también tienen implicaciones prácticas para el usuario medio. Al mejorar la seguridad estructural del sistema, se reduce la probabilidad de que campañas de malware a gran escala puedan explotar agujeros como los asociados a WebGPU antes de que se publiquen parches.
Al final, el mensaje que transmite este desarrollo es claro: en un escenario donde la web tiene acceso cada vez más profundo al hardware del dispositivo, reforzar los mecanismos de control no es opcional. La posibilidad de desactivar WebGPU en Chrome cuando se active el modo de protección avanzada va precisamente en esa dirección, ofreciendo a los usuarios más vulnerables una capa de defensa adicional sin necesidad de configuraciones complicadas.
Todo apunta a que, si esta función termina llegando al gran público, se convertirá en una pieza más del catálogo de herramientas con las que Android intenta responder a un panorama de amenazas en constante evolución, combinando rendimiento y seguridad de forma cada vez más ajustable a las necesidades de cada persona.
