Qué es el ‘tabnabbing’, el fraude que se aprovecha de las pestañas inactivas del navegador

Si eres de los que deja varias ventanas abiertas en segundo plano en el ordenador podrías ser víctima de una estafa denominada tabnabbing, que es una técnica de phishing que cambia el contenido de una pestaña inactiva del navegador sin que el usuario se de cuenta para hacerse con sus credenciales. 

• Tabnabbing es la unión de los términos ingleses tab (pestaña) y nabbing (que puede traducirse como capturando o robando). 

¿Qué es el tabnabbing? La Policía Nacional explica en un vídeo en su cuenta oficial de TikTok que los ciberdelincuentes aprovechan las ventanas abiertas e inactivas que se dejan en el navegador durante un tiempo para cambiarlas “por una copia maliciosa con apariencia similar”. 

• Al regresar a esa pestaña, y con excusas como que “la sesión ha caducado”, te pueden volver a pedir contraseñas, información personal o bancaria que puedes llegar a facilitar al pensar que estás en la web oficial, añade la policía. 

Antonio Fernandes, divulgador y experto en ciberseguridad, explica a Newtral.es que el tabnabbing se produce debido a que los ciberdelincuentes “utilizan un código JavaScript ” en la web a la que el usuario fue en primer lugar y dejó en segundo plano para suplantarla.  

Fernando Aparicio, profesor de la IE Business School especializado en seguridad de la información, explica a Newtral.es que “a diferencia del phishing clásico, donde recibes un correo sospechoso con un enlace falso, aquí el engaño ocurre dentro del navegador, sin que el usuario se dé cuenta y de manera mucho menos perceptible, puesto que no requiere de ninguna interacción del usuario”. 

Más frecuente en ordenadores. Aparicio explica que, aunque el tabnabbing “puede darse tanto en ordenadores como en móviles, es más común en los primeros”. 

• Fernandes agrega que “aunque en el móvil podría llegar a ocurrir, es más difícil por cómo tratan los móviles las aplicaciones de navegación para ahorrar consumo de batería y porque, por lo general, no tenemos tantas pestañas abiertas”. 

Más sofisticado con la IA. Aparicio señala que el “uso malicioso de la inteligencia artificial por parte de los estafadores puede hacer que el tabnabbing sea mucho más creíble y peligroso”. 

• Añade que puede crear “páginas falsas casi indistinguibles de las reales” o “adaptar el contenido al idioma del usuario, su ubicación o los servicios que usa”. 

Recomendaciones. La Policía Nacional explica que para evitar ser víctima de una estafa de tabnabbing es recomendable mantener abiertas solo las ventanas activas y revisar la URL de las webs que vuelvan a solicitar los datos para comprobar que “no las han sustituido por una copia maliciosa”. 

• Fernandes recomienda “tener el software actualizado y estar atento a cada web en la que vamos a introducir datos”. 

• Aparicio agrega que “si usamos gestores de contraseñas y la web no es la original, a veces no completan los datos automáticamente, lo cual puede alertarnos”.