Llega a España el ‘tabnabbing’, la nueva estafa que trae de cabeza a la Policía

• Janire Manzanas
• Graduada en Marketing y experta en Marketing Digital. Redactora en OK Diario. Experta en curiosidades, mascotas, consumo y Lotería de Navidad.
• • 19/03/2025 11:30
  • Actualizado: 19/03/2025 11:30

El mundo de la ciberdelincuencia evoluciona constantemente, y los estafadores siempre encuentran maneras ingeniosas de engañar a los usuarios. En esta ocasión, la Policía Nacional ha emitido una alerta sobre un tipo de ataque que aprovecha la manera en que las personas navegan por Internet. Este fraude, conocido como «tabnabbing», es una variante del «phishing» y se basa en la explotación de los hábitos de los internautas que suelen mantener múltiples pestañas abiertas en su navegador.

Los ciberdelincuentes han desarrollado estrategias para manipular las páginas inactivas y reemplazarlas por versiones falsas que imitan perfectamente a las originales. El objetivo es hacer que los usuarios, al volver a estas pestañas, introduzcan sus datos personales o credenciales de acceso en una página fraudulenta sin darse cuenta del engaño. A diferencia de otros tipos de «phishing», donde los usuarios reciben un correo electrónico sospechoso o un mensaje fraudulento, en este caso el engaño se produce sin que la víctima sea consciente de ello.

¿En qué consiste el ‘tabnabbing’?

El «tabnabbing» es una técnica de fraude digital que explota la tendencia natural de los usuarios a mantener múltiples pestañas abiertas en su navegador. Mientras una persona navega en diversas páginas, es común que deje inactivas algunas pestañas para consultarlas más tarde. Es aquí donde los ciberdelincuentes entran en acción.

Cuando detectan una pestaña inactiva, aprovechan para modificar su contenido sin que el usuario lo note. Reemplazan la página legítima por una réplica exacta que tiene la misma apariencia que el sitio original. Sin embargo, ésta nueva versión es en realidad una página fraudulenta diseñada para robar contraseñas, información bancaria o cualquier otro dato sensible.

Un ejemplo de esta técnica ocurre con páginas de servicios de correo electrónico, redes sociales o plataformas bancarias. El usuario deja abierta la pestaña de su banco o correo, sigue navegando en otras páginas y, al volver, encuentra un mensaje indicando que su sesión ha expirado. Para iniciar sesión de nuevo, introduce su usuario y contraseña sin percatarse de que se trata de una página falsa.

Cómo protegerse

Uno de los errores más comunes que cometen las víctimas de «tabnabbing» es no revisar la barra de direcciones antes de introducir sus credenciales. Una de las formas más seguras de evitar caer en este tipo de estafas es comprobar siempre la URL del sitio web. Asegúrate de que la dirección sea exactamente la que debería ser y que tenga el protocolo de seguridad HTTPS.

Si bien muchos usuarios acostumbran dejar abiertas varias páginas para consultarlas más tarde, esto representa un riesgo de seguridad. Lo recomendable es cerrar aquellas pestañas que no estén en uso para reducir las oportunidades de ser víctima de esta estafa.

Asimismo, activar la verificación en dos pasos en las cuentas más importantes puede servir como una capa adicional de protección. De esta manera, encluso si un ciberdelincuente obtiene la contraseña, no podrá acceder a la cuenta sin el código adicional de verificación.

Finalmente, los navegadores suelen incluir mecanismos de seguridad que ayudan a detectar sitios fraudulentos, por lo que es esencial mantenerlos actualizados. Además, existen extensiones que pueden alertar sobre intentos de «phishing».

El mundo de la ciberseguridad está en constante evolución, y las amenazas digitales se vuelven cada vez más sofisticadas. La mejor defensa contra el «tabnabbing» y otros tipos de ataques es la prevención.

Otras formas de ‘phishing’

El «phishing» es una de las amenazas más comunes en el ámbito digital. Además del «tabnabbing», existen diversas estrategias utilizadas por los ciberdelincuentes para engañar a los usuarios y robar información confidencial.

En primer lugar, el «spear phishing» es una forma personalizada de «phishing» en la que los atacantes investigan a su víctima y diseñan correos electrónicos o mensajes específicos para generar confianza. A diferencia del phishing tradicional, que se envía a múltiples personas sin distinción, esta técnica se enfoca en individuos o empresas concretas, aumentando las probabilidades de éxito.

Por otro lado, el «vishing» («phishing» por voz) es una táctica en la que los ciberdelincuentes utilizan llamadas telefónicas para engañar a las víctimas. Suelen hacerse pasar por empleados de bancos, administraciones o empresas de tecnología, solicitando datos personales o bancarios bajo falsos pretextos.

Asimismo, el «smishing» sigue una estrategia similar, pero a través de mensajes de texto (SMS). Los atacantes envían mensajes que aparentan provenir de instituciones legítimas, instando al usuario a hacer clic en un enlace fraudulento o llamar a un número falso. En muchos casos, estos enlaces llevan a sitios web diseñados para robar credenciales o instalar malware en el dispositivo de la víctima.

Finalmente, el «pharming» es una técnica más sofisticada que consiste en la manipulación del tráfico web para redirigir a los usuarios a sitios falsos sin que lo noten. En lugar de engañar a la víctima directamente, los ciberdelincuentes alteran el sistema de nombres de dominio (DNS) o infectan su dispositivo con malware, logrando que incluso si la persona escribe la URL correcta, termine en una página fraudulenta.