Tabnabbing

Tabnabbing es una técnica avanzada de ciberdelincuencia que consiste en manipular el contenido de una pestaña inactiva del navegador para suplantar páginas legítimas y así engañar al usuario y robarle información confidencial.

El tabnabbing es una de las formas más sofisticadas de phishing. El primero que utilizó el nombre de tabnabbing para referirse a este tipo concreto de ciberdelito fue el desarrollador Aza Raskin, en el año 2010.

Cómo funciona el tabnabbing

Su capacidad para pasar desapercibido y suplantar páginas populares son las señas de identidad del llamado tabnabbing.

El tabnabbing funciona de la siguiente manera:

Un usuario visita una página web que, sin que se note, es controlada por un ciberdelincuente.

Deja esa pestaña abierta y sigue navegando o utilizando su dispositivo, manteniéndola en segundo plano.

Al regresar a la pestaña abierta, el usuario se encuentra que su sesión ha caducado y, sin sospechar, escribe de nuevo sus credenciales, pero ahora ya se trata de una página fraudulenta, así que los datos van directamente al atacante.

Porque cuando la pestaña queda inactiva, el sitio malicioso detecta la inactividad y reemplaza su contenido por una copia falsa de una página legítima. Este cambio suele realizarse mediante JavaScript, aunque también puede hacerse con técnicas como el meta refresh de HTML y funciona incluso si los scripts están bloqueados.

Cómo puedo evitar sufrir tabnabbing

El tabnabbing se aprovecha de la costumbre de tener muchas pestañas abiertas y de la confianza del usuario en las páginas que él mismo abrió. El usuario no suele revisar la URL ni sospechar del cambio, ya que la pestaña parece legítima porque el atacante puede modificar el título o el contenido de la página para imitar con gran nivel de precisión y realismo la web suplantada.

Así que es un ciberdelito especialmente difícil de detectar, pero podemos tener en cuenta varias recomendaciones que nos ayuden a evitar ser víctimas del tabnabbing:

Cierra las pestañas que no estés usando, especialmente aquellas de servicios más sensibles, como correo electrónico, banca electrónica o perfiles de redes sociales.
Evita restaurar pestañas automáticamente.
Comprueba siempre la URL antes de introducir credenciales, sobre todo si una página pide que vuelvas a iniciar sesión inesperadamente.
Usa extensiones de seguridad que bloqueen cambios inesperados en pestañas inactivas.
Utiliza gestores de contraseñas, pues suele funcionar el autocompletar solo en sitios legítimos. Si el gestor no reconoce la página o no autocompleta los datos, es una señal de alerta.
Activa la autenticación en dos pasos.
Mantén actualizado tu navegador y utiliza herramientas de protección contra ataques cibernéticos y phishing.

¿Qué es tabnabbing?

Cómo funciona el tabnabbing

Cómo puedo evitar sufrir tabnabbing

Lo + leído

Alianzas

R y S2 Grupo se unen para cuidar la ciberseguridad de tu empresa

#HablandoCon

Jorge Catoira sobre ciberseguridad

Casos de éxito

Ferrol cuenta con un Centro de Operaciones de Ciberseguridad con R e INNOVASUR

Casos de éxito

STI Norland, empresa líder de seguidores solares, aborda su transformación digital con nosotros

Eventos

Xornadas Tecnolóxicas R 2025

Empresas

Ética e IA: evolución y principios fundamentales

Alianzas

R y S2 Grupo se unen para cuidar la ciberseguridad de tu empresa

#HablandoCon

Jorge Catoira sobre ciberseguridad

Casos de éxito

Ferrol cuenta con un Centro de Operaciones de Ciberseguridad con R e INNOVASUR

Términos de ciberseguridad

WAF

Términos de ciberseguridad

SIEM

Términos de ciberseguridad

CSIRT

Términos de ciberseguridad

Botnet

Términos de ciberseguridad

Vishing

Términos de ciberseguridad

Rootkit