Tabnabbing

Tabnabbing é unha técnica avanzada de ciberdelincuencia que consiste en manipular o contido dunha pestana inactiva do navegador para suplantar páxinas lexítimas e así enganar ao usuario e roubarlle información confidencial.

O tabnabbing é unha das formas máis sofisticadas de phishing. O primeiro que utilizou o nome de tabnabbing para referirse a este tipo concreto de ciberdelito foi o desarrollador Aza Raskin, no ano 2010.

Como funciona o tabnabbing

A súa capacidade para pasar desapercibido e suplantar páxinas populares son os acenos de identidade do chamado tabnabbing.

O tabnabbing funciona da seguinte maneira:

Un usuario visita unha páxina web que, sen que se note, é controlada por un ciberdelincuente.

Deixa esa pestana aberta e segue navegando ou utilizando o seu dispositivo, manténdoa en segundo plano.

Ao volver á pestana aberta, o usuario atopa que a súa sesión caducou e, sen sospeitar, escribe de novo as súas credenciais, pero agora xa se trata dunha páxina fraudulenta, así que os datos van directamente ao atacante.

Porque cando a pestana queda inactiva, o sitio malicioso detecta a inactividade e substitúe o seu contido por unha copia falsa dunha páxina lexítima. Este cambio adoita realizarse mediante JavaScript, aínda que tamén pode facerse con técnicas como o meta refresh de HTML e funciona mesmo se os scripts están bloqueados.

Como podo evitar sufrir tabnabbing

O tabnabbing aprovéitase do costume de ter moitas pestanas abertas e da confianza do usuario nas páxinas que el mesmo abriu. O usuario non adoita revisar a URL nin sospeitar do cambio, xa que a pestana parece lexítima porque o atacante pode modificar o título ou o contido da páxina para imitar con gran nivel de precisión e realismo a web suplantada.

Así que é un ciberdelito especialmente difícil de detectar, pero podemos ter en conta varias recomendacións que nos axuden a evitar ser vítimas do tabnabbing:

• Pecha as pestanas que non esteas a usar, especialmente aquelas de servizos máis sensibles, como correo electrónico, banca electrónica ou perfís de redes sociais.

• Evita restaurar pestanas automaticamente.

• Comproba sempre a URL antes de introducir credenciais, sobre todo se unha páxina che pide que volvas iniciar sesión inesperadamente.

• Usa extensións de seguridade que bloqueen cambios inesperados en pestanas inactivas.

• Utiliza xestores de contrasinais, pois adoita funcionar o autocompletar só en sitios lexítimos. Se o xestor non recoñece a páxina ou non autocompleta os datos, é un sinal de alerta.

• Activa a autenticación en dous pasos.

• Mantén actualizado o teu navegador e utiliza ferramentas de protección contra ataques cibernéticos e phishing.

Que é tabnabbing?

Como funciona o tabnabbing

Como podo evitar sufrir tabnabbing

O + lido

Alianzas

R e S2 Grupo únense para coidar a ciberseguridade da túa empresa

Alianzas

Pechamos un acordo con VMware para blindar os centros de datos dos nosos clientes

Casos de éxito

Ferrol conta cun Centro de Operacións de Ciberseguridade con R e INNOVASUR

#FalandoCon

Jorge Catoira sobre ciberseguridade

eventos

Xornadas Tecnolóxicas R 2025

Empresas

Ética e IA: evolución e principios fundamentais

Alianzas

R e S2 Grupo únense para coidar a ciberseguridade da túa empresa

Alianzas

Pechamos un acordo con VMware para blindar os centros de datos dos nosos clientes

Casos de éxito

Ferrol conta cun Centro de Operacións de Ciberseguridade con R e INNOVASUR

Termos de ciberseguridade

WAF

Termos de ciberseguridade

SIEM

Termos de ciberseguridade

CSIRT

Termos de ciberseguridade

Botnet

Termos de ciberseguridade

Vishing

Termos de ciberseguridade

Rootkit