Qué es el tabnabbing, la última estafa silenciosa que se cuela en tu ordenador al cambiar de pestaña

Las estafas y timos online están a la orden del día y, por desgracia, son muchos quienes terminan cayendo en una de estas trampas para hacerse con tus datos o dinero. Los ciberdelincuentes no dejan pasar ninguna oportunidad para confundir a sus víctimas y sus técnicas están cada vez más perfeccionadas y pensadas para que pasar totalmente desapercibidas y colarse en nuestos dispositivos.

De hecho, estas estafas están tan bien pensadas que muchos ni siquiera se dan cuenta que han sido víctimas de una de ellas hasta que ya es demasiado tarde. Por eso es importante conocer el modus operandi básico que siguen este tipo de timos para poder identificar cuanto antes si estás a punto de caer en una y ahorrarte un buen susto.

La última de estas ciberestafas de la que ha avisado la Policía Nacional y también se ha hecho eco la OCU (Organización de Consumidores y Usuarios), es el «tabnabbing». Se trata de una técnica con la que «un simple descuido al volver a una pestaña antigua podría costarte tus contraseñas», explican desde la organización.

«El tabnabbing («tab» = pestaña, «nabbing» = atrapar) es una técnica de phishing avanzada que aprovecha las pestañas inactivas del navegador», detalla la OCU. ¿Cómo funciona? Los ciberdelincuentes crean una página que cuando el usuario la abre en una pestaña es aparentemente legítima, pero al cabo de un tiempo de inactividad, esta puede transformarse para mostrar una falsa página de inicio de sesión. Al regresar, el usuario cree que su sesión ha caducado y, sin sospechar, introduce sus credenciales en una página fraudulenta que imita servicios como Gmail, Facebook o su banca online. «La clave es que todo ocurre mientras la pestaña está en segundo plano, jugando con la confianza del usuario», señalan desde la organización.

Según indican desde la OCU, el ataque del tabnabbing suele seguir estos tres pasos:

1. El usuario accede a un enlace desde un email o web aparentemente inocente, que abre una nueva pestaña que parece segura (un blog, foro, etc.) y que queda olvidada en segundo plano.

2. Pasado un tiempo, la página cambia automáticamente su contenido y carga una falsa pantalla de login que simula un servicio conocido.

3. El usuario regresa a esa pestaña confiado y, al ver la pantalla de acceso, introduce su contraseña sin comprobar la URL. Sus datos ya están en manos del estafador.

Este ataque es efectivo porque se aprovecha de la costumbre de los usuarios de no revisar las URLs cuando vuelven a una pestaña «que ya conocen». Por eso es importante comprobar siempre la URL, cerrar pestañas que no estés usando para evitar el riesgo y activar al autentificación en dos pasos para evitar problemas mayores en caso de que tus credenciales caigan en malas manos.