El tabnabbing es una técnica de phishing avanzada que aprovecha la confianza del usuario cuando mantiene abiertas varias pestañas en su navegador. Aunque no es tan conocido como otros ciberataques, representa un riesgo real de robo de credenciales y datos personales, especialmente en entornos de trabajo donde se utilizan múltiples pestañas de forma simultánea.
El tabnabbing consiste en modificar en segundo plano el contenido de una pestaña abierta, generalmente inactiva, para suplantar una página legítima. El usuario cree que sigue en un sitio confiable como su correo electrónico, una red social o la web de su banco, pero en realidad la pestaña ha sido manipulada y redirigida a una falsa página de inicio de sesión.
La clave está en que la pestaña cambiada suele pasar inadvertida. Cuando la persona regresa a ella, introduce sus credenciales convencida de que lo hace en el sitio auténtico, sin saber que los datos van directamente a un atacante.
Cómo funciona el ataque
El tabnabbing aprovecha principalmente la gestión de pestañas del navegador. El usuario abre una página aparentemente inofensiva que contiene un código oculto. Cuando esa pestaña queda inactiva o en segundo plano, el sistema de hackeo (malware) espera un tiempo prudente y luego reemplaza el contenido por una página falsa que imita a la original. Al volver a la pestaña, el usuario encuentra lo que parece un sitio legítimo que solicita el inicio de sesión. Al introducir sus credenciales, la información es enviada al atacante, que ya puede acceder a la cuenta comprometida. Este mecanismo convierte al tabnabbing en un ataque sigiloso y difícil de detectar a simple vista.
El tabnabbing resulta especialmente peligroso en páginas de uso cotidiano que requieren inicio de sesión, como correos electrónicos, plataformas bancarias, comercios electrónicos, redes sociales o servicios en la nube. En un entorno laboral, un empleado que trabaje con varias pestañas abiertas puede ser víctima sin darse cuenta, comprometiendo tanto sus datos personales como los de su empresa.
Protegerse del tabnabbing
Existen varias medidas para reducir el riesgo: Una de ellas es mantener el navegador actualizado y asegurarse de que soporte las últimas funciones de seguridad. También conviene cerrar pestañas inactivas procedentes de sitios desconocidos y comprobar siempre la URL (código de dirección de la web) real antes de introducir credenciales, ya que aunque el diseño de la página sea idéntico, la dirección web suele delatar la falsificación.
El tabnabbing no tiene la masividad de otros ataques de phishing, pero su peligrosidad radica en el factor sorpresa y en la costumbre de los usuarios de confiar en las pestañas que han dejado abiertas. La mejor defensa sigue siendo la vigilancia constante, tanto a nivel individual como en las empresas.
