Navegar por internet se ha vuelto parte de nuestra vida diaria: consultamos el correo electrónico, accedemos a redes sociales, hacemos gestiones bancarias o simplemente nos informamos. Muchas veces lo hacemos con varias pestañas abiertas en nuestro navegador, sin prestar atención a qué ocurre en cada una. Precisamente ese hábito aparentemente inocuo puede convertirse en un riesgo si no sabemos protegernos, porque existe una técnica de fraude digital llamada tabnabbing que aprovecha esa costumbre para intentar robar nuestros datos personales o contraseñas sin que te des cuenta.
En este artículo te explicamos qué es el tabnabbing, cómo funciona, qué riesgos implica, y, sobre todo, cómo puedes evitar ser víctima de este tipo de ataque.
Qué significa tabnabbing
El término tabnabbing proviene de las palabras inglesas tab (pestaña) y nabbing (captura o atrapar) y se refiere a un tipo de ataque informático clasificado dentro del phishing. En este fraude, un ciberdelincuente aprovecha una pestaña del navegador que ha quedado inactiva, modifica su contenido por una página falsa que imita un sitio legítimo (por ejemplo, el de tu banco, correo electrónico o red social). El usuario, al volver a ella, cree que su sesión ha caducado o que necesita volver a iniciar sesión, por lo que introduce sus credenciales sin sospechar que está siendo engañado.
Origen del término y cómo surgió
El término tabnabbing fue acuñado a principios de la década de 2010 por el investigador de seguridad Aza Raskin para describir esta forma de phishing que aprovecha la falta de atención al revisar varias pestañas abiertas en un navegador. En lugar de depender de técnicas tradicionales de phishing (como correos con enlaces maliciosos), este ataque se basa en aprovechar el comportamiento natural del usuario al navegar.
Diferencia entre tabnabbing y reverse tabnabbing
Aunque los términos suenan similares, no significan exactamente lo mismo, según explica el Instituto Nacional de Ciberseguridad (INCIBE):
- El tabnabbing tradicional, el más común, “ocurre cuando el usuario visita una página aparentemente inofensiva y luego cambia a otra pestaña. Mientras la pestaña original está inactiva, el contenido se reemplaza por una página falsa que imita un sitio legítimo (como Gmail, Facebook o un banco). Cuando el usuario regresa, cree que su sesión ha expirado vuelve a ingresar sus credenciales, que son capturadas por el atacante”.
- El reverse tabnabbing, sin embargo, sucede cuando haces clic en un enlace que abre una nueva pestaña en tu navegador. Mediante código malicioso, la página recién abierta modifica la pestaña original para redirigirla a un sitio falso sin que lo notes.
Cómo funciona un ataque de tabnabbing
Entender cómo funciona este ataque te ayuda a reconocerlo y a no caer en la trampa.
El papel de las ventanas abiertas en el navegador
Cuando tienes varias pestañas abiertas y una de ellas no está activa, algunos scripts o técnicas de redirección pueden aprovechar ese tiempo de inactividad para cambiar el contenido de esa pestaña sin que te des cuenta. El usuario vuelve más tarde y al ver la pantalla de inicio de sesión de su banco, correo o red social, cree que está en la página correcta, porque confía en que era una pestaña que él mismo abrió anteriormente.
Ejemplo paso a paso de un ataque de tabnabbing
Qué riesgos implica el tabnabbing
El tabnabbing es más que una curiosidad técnica y puede tener consecuencias muy serias para tu seguridad digital.
Robo de contraseñas y datos personales
El principal riesgo es el robo de credenciales de servicios sensibles. Si introduces tu usuario y contraseña en una página falsa, los ciberdelincuentes pueden acceder a tu cuenta real sin que te des cuenta. Esto puede ocurrir con servicios de correo, redes sociales o plataformas profesionales si compartes dispositivos en casa.
Ataques en entornos laborales y bancarios
El peligro aumenta si trabajas desde casa o accedes a servicios financieros desde tu ordenador familiar. Un tabnabbing bien diseñado puede suplantar una página de banca online o del portal de tu empresa y lograr que ingreses datos sensibles bajo la falsa sensación de seguridad. Incluso si usas antivirus, este tipo de ataque puede pasar desapercibido porque no depende de malware tradicional, sino de la manipulación del navegador y la psicología del usuario.
Cómo prevenir el tabnabbing
La buena noticia es que la mayoría de medidas preventivas están al alcance de cualquier usuario con hábitos de navegación responsable. El Instituto Nacional de Ciberseguridad (INCIBE) detalla una serie de recomendaciones para protegerte del tabnabbing:
Cómo eliminar el tabnabbing si ya has sido víctima
Si sospechas que has sido víctima de un ataque de tabnabbing —por ejemplo, porque detectas accesos no autorizados a tu correo o cuentas bancarias— actúa rápidamente:
- Cambia las contraseñas de las cuentas afectadas desde otro dispositivo seguro.
- Activa la autenticación de dos factores si no lo tenías activado.
- Revisa la actividad de sesiones recientes en tus cuentas para identificar accesos no autorizados.
- Escanea tu equipo con un antivirus actualizado, aunque el ataque de tabnabbing no instala malware, es buena práctica verificar el estado general de seguridad.
Si la vulneración es grave o afecta a información sensible (como datos bancarios), considera también contactar con tu entidad financiera y, si corresponde, con las autoridades de ciberseguridad o tu proveedor de servicios.
