Cuidado con las pestañas abiertas en Chrome: la Policía advierte del 'tabnabbing', la estafa silenciosa que roba tus datos bancarios

La actividad cibercriminal ha hecho que términos que hace unos años podían parecer más o menos oscuros hayan acabado siendo ampliamente conocidos por los usuarios de internet. 'Phishing', 'vishing', 'smishing' resultan ya familiares por su presencia en los medios y la labor que hacen las instituciones informando de estas amenazas. Es lo que acaba de hacer la Policía Nacional en un vídeo en su cuenta de TikTok en el que alerta de los peligros de una forma de phishing o suplantación de identidad no muy conocida, y por eso particularmente peligrosa. Hablamos del 'tabnabbing'.

'¿Cuántas ventanas tienes abiertas al mismo tiempo en el navegador? Si la respuesta es muchas, bastantes, ni sé... que sepas que esta costumbre puede convertirte en la víctima perfecta del tabnabbing', explica una agente en el vídeo.

Qué es y cómo funciona el tabnabbing

El 'tabnabbing' o 'secuestro de pestañas' es una táctica que fue descrita por primera vez en 2010. Aprovecha un hábito tan común al navegar por internet como el de ir abriendo muchas pestañas y terminar con un buen montón en las que no te acuerdas ni de lo que hay. Costumbre que, si entonces ya era habitual, ahora debe serlo mucho más con el aumento de las capacidades de dispositivos y navegadores.

'El tabnabbing aprovecha esas ventanas que tienes abiertas e inactivas. El ciberdelincuente cambiará alguna de esas webs que tú mismo has abierto por una copia maliciosa con una apariencia similar. Cuando regreses a alguna de esas pestañas y con excusas como, por ejemplo, 'la sesión ha caducado', pueden pedir contraseñas, información personal o bancaria que podrías llegar a facilitar al pensar que estás en la web que tú mismo has abierto', señala la Policía.

@policia 💻¿Sueles tener muchas #ventanas abiertas al mismo tiempo en tu navegador?🤔 ⚠️¡Cuidado!⚠️➡️ podrías ser víctima del #tabnabbing ¿Sabes lo que es? Te lo explicamos ☝🏼 #ciberseguridad#consejos#phishing#policia#policianacional♬ Timeless - Franksille

Ahora, ¿cómo consigue el ciberdelincuente dar el cambiazo de web en tu navegador? ¿Significa eso que tu equipo está infectado? Lo que sí lo está es la web maliciosa a la que has accedido previamente y desencadena el proceso. Este tipo de web, a la que puedes llegar, por ejemplo, a través de un enlace en una red social, tiene una apariencia legítima y no está, aún, intentando suplantarla por cualquiera de los ganchos que utilizan los ciberdelincuentes para sus estafas. Puede ser una página de noticias o cualquier otra cosa, de apariencia inofensiva, pero que está controlada o ha sido comprometida por los ciberdelincuentes y contiene código malicioso en forma de JavaScript.

Cuando la pestaña se queda inactiva por un tiempo determinado, el script lo detecta y cambia discretamente el contenido por una copia exacta o muy parecida de una página legítima: bancos, correo electrónico, redes sociales, etc. Al regresar a esa pestaña, el usuario ve la nueva página falsa, y creyendo que es legítima, introduce sus credenciales (usuario y contraseña), que luego son capturadas por el atacante.

Cómo protegerse del tabnabbing

La Policía realiza dos recomendaciones para evitar situaciones de tabnabbing que exigen lo más difícil a un usuario: cambiar sus hábitos frente a la pantalla.

En primer lugar, mantener abiertas solo las pestañas que se están utilizando y cerrar todas las demás. En segundo lugar, comprobar siempre la URL en una web que te vuelve a solicitar datos y asegurarte de que es la dirección web correcta y no la de una copia maliciosa.

Se podría pensar que utilizar una extensión que bloquee la ejecución de JavaScript o desactivarlo en el navegador —algo que todos permiten en sus opciones de configuración— es suficiente para evitar un ataque de tabnabbing, pero no es así. El ataque puede tener éxito con JavaScript bloqueado, dado que también puede utilizar la función 'meta refresh' de HTML, que recarga automáticamente una página tras cierto tiempo abierta.