Cierra todas las pestañas que no estás usando del navegador si no quieres que roben tus contraseñas

Autoridades como el Instituto Nacional de Ciberseguridad de España (INCIBE) han lanzado una advertencia sobre el aumento de los ataques conocidos como tabnabbing, una sofisticada técnica de phishing que puede comprometer la seguridad de usuarios desprevenidos.

Dejar pestañas abiertas en el navegador sin supervisión puede facilitar que ciberdelincuentes manipulen esas páginas para suplantar sitios legítimos y robar contraseñas de acceso a servicios sensibles como bancos o correos electrónicos.

La Policía Nacional de España y entidades como el Banco de España se suman a esta alerta, por el incremento de incidentes y el riesgo que representa para ciudadanos y empresas.

Qué es el tabnabbing y cómo opera este ciberataque

El tabnabbing consiste en modificar el contenido de una pestaña del navegador que el usuario ha dejado inactiva, transformándola en una réplica visual convincente de un sitio al que suele acceder con frecuencia.

“Tabnabbing es una técnica de phishing que aprovecha el descuido del usuario al dejar pestañas abiertas en su navegador”, advierte el INCIBE.

Esta técnica busca que, al volver a la pestaña, la persona crea estar en una página auténtica como su servicio bancario, correo electrónico o una red social, e introduzca sus credenciales de forma inadvertida. Los atacantes capturan estos datos sin que la víctima detecte la suplantación al instante.

Cuáles son los tipos más comunes de esta modalidad de fraude

El tabnabbing se presenta en dos variantes principales: clásico o pasivo, y reverse tabnabbing. El primero es el más extendido y sucede cuando el usuario visita una página aparentemente legítima, la deja en segundo plano y, al regresar, se encuentra con una réplica falsa que solicita sus datos de acceso.

El reverse tabnabbing ocurre cuando un enlace abre una nueva pestaña en el navegador, pero esa nueva ventana puede cambiar automáticamente el contenido de la original por una página fraudulenta.

Si no se presta atención, el usuario puede ingresar datos sensibles convencido de que la ventana sigue siendo legítima. “Ambos tipos explotan la confianza del usuario en las pestañas abiertas y suponen un riesgo serio para la seguridad de la información personal y corporativa”, recalca el INCIBE.

Qué casos documentados de ataques de tabnabbing existen

Este tipo de incidentes no siempre se hacen públicos, pero diferentes organismos han detectado y advertido sobre situaciones reales derivadas de tabnabbing.

El Banco de España ha informado sobre episodios en los que el contenido de pestañas inactivas se sustituye por versiones falsas de servicios de banca online para capturar credenciales bancarias.

Asimismo, la Policía Nacional emitió una alerta ante el aumento de fraudes por tabnabbing en España, advirtiendo sobre la importancia de no dejar abiertas pestañas no necesarias.

También, se han reportado ataques en grandes empresas, donde empleados perdieron el acceso a sistemas internos tras ingresar datos en páginas manipuladas. Según el INCIBE, estos casos pueden tener graves consecuencias tanto a nivel individual como empresarial.

Cuáles son los mayores riesgos para usuarios y empresas

El principal riesgo es el robo de identidad. Al introducir datos en una página falsificada, un tercero puede acceder a cuentas de correo, redes sociales o sistemas internos corporativos y actuar en nombre de la víctima.

En el terreno financiero, si se facilita información bancaria en una pestaña adulterada, los atacantes pueden realizar compras no autorizadas, sacar dinero de cuentas o utilizar los datos para operaciones ilícitas en el futuro.

Para evitar caer en la trampa, el INCIBE sugiere no dejar abiertas páginas de origen desconocido o poco confiable, y prestar atención a cualquier cambio sospechoso en las sesiones abiertas.

Otra medida esencial es verificar con cuidado la URL antes de ingresar credenciales, porque los sitios falsos suelen mostrar direcciones ligeramente alteradas o sin el candado de conexión segura.