El tabnabbing o cómo aprovechan los ciberdelincuentes las pantallas abiertas del navegador para robar tus datos
El tabnabbing se aprovecha de un hábito cotidiano: dejar abiertas varias ventanas del navegador mientras se realizan otras tareas
Todo comienza cuando el usuario visita una página comprometida que contiene código malicioso
En un entorno cada vez más digitalizado, donde el navegador web se ha convertido en una herramienta central para millones de profesionales y usuarios, surgen nuevas formas de fraude que ponen en jaque la seguridad de nuestros datos.
Una de las técnicas más silenciosas y menos conocidas es el tabnabbing, una modalidad de suplantación digital que afecta especialmente a quienes trabajan con múltiples pestañas abiertas a la vez.
El tabnabbing se aprovecha de un hábito cotidiano: dejar abiertas varias ventanas del navegador mientras se realizan otras tareas. Lo que parece una simple pausa o un cambio de foco puede convertirse en una puerta de entrada para los ciberdelincuentes.
Sin necesidad de infectar el equipo o instalar malware, esta técnica actúa desde la propia web, suplantando sitios legítimos y esperando el momento en que el usuario regrese a la pestaña inactiva para capturar credenciales o información sensible.
Cómo funciona el tabnabbing y por qué es tan peligroso
Esta técnica, detectada por primera vez hace más de una década, ha resurgido recientemente como una amenaza real, especialmente entre profesionales que operan constantemente conectados: autónomos, consultoras, asesorías o despachos jurídicos.
Según ha alertado la Unidad de Ciberdelincuencia de la Policía Nacional, el tabnabbing se está utilizando para simular páginas de bancos o instituciones públicas, con el objetivo de capturar datos personales o bancarios en momentos de distracción.
Todo comienza cuando el usuario visita una página comprometida que contiene código malicioso. Esta web puede parecer inofensiva, e incluso puede haber sido accedida a través de un anuncio en un medio legítimo. Mientras la pestaña permanece abierta pero en segundo plano, un script se activa y modifica su contenido para parecer una página fiable y reconocible.
Cuando el usuario regresa a esa pestaña -ya sea tras consultar otras ventanas, realizar una llamada o contestar un correo-, la reconoce visualmente, confía en ella y procede a introducir información. En ese momento, los ciberdelincuentes obtienen los datos buscados sin necesidad de lanzar alertas ni activar antivirus.
Este tipo de ataque es especialmente efectivo porque no requiere interacción inmediata ni engaños evidentes. Opera de forma pasiva, esperando el descuido, y puede replicar con precisión el aspecto de sitios tan comunes como plataformas bancarias, portales de la administración o servicios de correo.
¿Quiénes son los más expuestos?
La realidad es que cualquiera puede ser víctima del tabnabbing, pero su impacto es especialmente preocupante entre aquellos que gestionan actividades sensibles o manejan información confidencial desde el navegador. El perfil típico incluye profesionales autónomos o trabajadores remotos, acostumbrados a tener decenas de pestañas abiertas: desde facturación online hasta chats de clientes, pasando por redes sociales o gestores de correo.
En este contexto multitarea, donde se saltan constantemente entre aplicaciones, el tabnabbing encuentra su terreno perfecto. No es necesario que el ordenador esté comprometido, basta con acceder a una página web manipulada que, en apariencia, no ofrece ningún riesgo.
Otra de las razones por las que este método es tan eficaz radica en su capacidad de mimetizarse. Las páginas clonadas no solo imitan el diseño, sino también las URLs o nombres de dominio con pequeñas variaciones difíciles de detectar.
Además, al activarse cuando el usuario vuelve a una pestaña olvidada, reduce la percepción de peligro, pues la atención ya está en otra parte.
Recomendaciones para protegerse del tabnabbing
Aunque se trata de una técnica sofisticada, existen medidas eficaces que ayudan a reducir notablemente el riesgo de ser víctima de este tipo de fraude.
Una de las más sencillas es cerrar las pestañas que no se estén utilizando activamente. Evitar acumular ventanas abiertas durante horas ayuda a minimizar las oportunidades que tiene un script malicioso para ejecutarse en segundo plano.
También es fundamental verificar siempre la dirección web antes de introducir datos personales o iniciar sesión. Si algo no encaja, como un dominio extraño o una conexión insegura, lo mejor es cerrar la pestaña y acceder a la página desde la barra de direcciones manualmente.
Mantener el navegador actualizado con la última versión disponible es clave. Las principales plataformas como Chrome, Firefox o Edge incorporan mejoras constantes de seguridad para proteger contra vulnerabilidades, entre ellas las que explotan el comportamiento de las pestañas.
Adicionalmente, se pueden usar extensiones de seguridad, como NoScript o uMatrix, que bloquean scripts no autorizados y limitan el contenido dinámico que puede manipular la pestaña sin consentimiento del usuario.
El tabnabbing demuestra que no todos los ataques requieren una acción activa del usuario. A veces, basta con una pestaña abierta y un momento de descuido para comprometer la seguridad.
La clave está en tomarse la navegación tan en serio como cualquier otra parte del trabajo digital. Cerrar lo que no se usa, revisar las URLs, y estar al tanto de los cambios en políticas y tecnologías es una inversión sencilla que puede evitar muchos problemas.