Tabnabbing, el sigiloso ataque que suplanta tus pestañas del navegador
La mayoría de los usuarios navega por internet con múltiples pestañas abiertas. Entre redes sociales, correos electrónicos y búsquedas, es habitual que algunas queden olvidadas o en segundo plano. Este hábito aparentemente inofensivo es, precisamente, lo que aprovecha el tabnabbing.
Este método de suplantación se basa en modificar el contenido de una pestaña que ha quedado inactiva, transformándola en una copia exacta de una web conocida, como un portal bancario o de correo. Cuando el usuario regresa a esa pestaña, cree estar ante una pantalla legítima de inicio de sesión, introduce sus datos... y estos acaban en manos del atacante.
¿Cómo se ejecuta el tabnabbing?
Inicio discreto: el usuario accede a una página aparentemente inofensiva, que puede ser un artículo, un foro o un sitio con contenido de interés.
Cambio de pestaña: al cambiar de pestaña, la página queda en segundo plano, esperando a que el usuario se olvide de ella.
Transformación silenciosa: mediante un script o un refresco automático, la pestaña cambia su apariencia por completo, mostrando una réplica de un sitio fiable.
Captura de datos: al regresar, el usuario introduce su contraseña creyendo que su sesión ha expirado o que debe volver a iniciar sesión. En realidad, está entregando sus credenciales a un tercero.
Este proceso es especialmente efectivo porque no genera alertas visuales ni errores. El engaño reside en su sutileza: todo parece normal.
¿Por qué sigue funcionando?
Aunque los navegadores modernos han implementado medidas para limitar estas técnicas, el tabnabbing sigue siendo una amenaza. Su éxito radica en dos factores clave:
Confianza visual: los usuarios suelen juzgar la autenticidad de una web por su diseño, sin verificar la barra de direcciones.
Rutina digital: la costumbre de tener varias pestañas abiertas y la tendencia a no cerrarlas hace que este tipo de ataques tenga un amplio margen de acción.
A pesar de ser conocido desde hace años, el tabnabbing ha evolucionado. Hoy puede incluir favicons falsos, títulos engañosos e incluso redireccionamientos que ocultan cualquier rastro de actividad sospechosa.
Cómo protegerte del tabnabbing
Revisa siempre la URL: antes de introducir datos sensibles, asegúrate de que estás en el sitio correcto. No basta con que “se parezca”.
Cierra pestañas que no uses: mantener solo lo necesario reduce las posibilidades de ser víctima de este ataque.
Activa la verificación en dos pasos (2FA): añade una capa adicional de seguridad, especialmente útil si alguna de tus credenciales se ve comprometida.
Usa un gestor de contraseñas: estas herramientas no rellenan datos en sitios falsos, lo que puede alertarte de intentos de engaño.
Mantén el navegador actualizado: las versiones más recientes suelen incluir parches de seguridad frente a este tipo de amenazas.
Recomendaciones para desarrolladores
Utiliza el atributo rel="noopener" en los enlaces target="_blank": impide que la pestaña nueva pueda manipular la original.
Implementa políticas de aislamiento entre orígenes (COOP y COEP): limitan la interacción entre sitios de distinta procedencia.
Evita scripts innecesarios en pestañas inactivas: reducir el uso de JavaScript minimiza los vectores de ataque.
Un riesgo que podemos evitar
El tabnabbing nos recuerda que en internet, incluso las acciones más simples pueden esconder peligros. Al volver a una pestaña, es fácil bajar la guardia. Por eso, la atención al detalle, los buenos hábitos de navegación y la seguridad proactiva son esenciales.
Prevenir este tipo de ataques está en nuestras manos. Solo necesitamos ser conscientes de que una pestaña olvidada puede convertirse en una puerta de entrada al robo de nuestra identidad digital.
