El ‘tabnabbing’ acaba de llegar a España y trae de cabeza a la Policía: todo el mundo pica

• Janire Manzanas
• Graduada en Marketing y experta en Marketing Digital. Redactora en OK Diario. Experta en curiosidades, mascotas, consumo y Lotería de Navidad.
• • 04/04/2025 11:00
  • Actualizado: 04/04/2025 11:00

Vivimos en una era digital en la que realizar gestiones bancarias, comprar online o acceder a servicios en la nube es tan habitual como preparar el café por la mañana. Con apenas unos clics, podemos hacer transferencias de dinero o comprar entradas, y todo sin salir de casa. Pero esta comodidad conlleva ciertos riesgos, y uno de ellos, tan silencioso como efectivo, está ganando terreno a pasos agigantados: el tabnabbing. Quizás nunca hayas oído hablar de este término, pero es probable que hayas estado expuesto a él sin saberlo. De hecho, la Policía Nacional ha lanzado recientemente una alerta para advertir sobre esta técnica de suplantación que cada vez es más sofisticada y difícil de detectar.

Y es que el tabnabbing no requiere enlaces sospechosos, correos extraños ni aplicaciones dudosas. Se basa en un hábito cotidiano que millones de personas hacemos cada día sin pensar en las consecuencias: dejar pestañas abiertas en el navegador. Lo más inquietante del es que no necesitas hacer nada para activarlo. Y justo por eso es tan peligroso.

¿Cómo funciona el tabnabbing?

@policia 💻¿Sueles tener muchas #ventanas abiertas al mismo tiempo en tu navegador?🤔 ⚠️¡Cuidado!⚠️➡️ podrías ser víctima del #tabnabbing ¿Sabes lo que es? Te lo explicamos ☝🏼 #ciberseguridad #consejos #phishing #policia #policianacional ♬ Timeless – Franksille

El tabnabbing es una forma de phishing, pero mucho más silenciosa y pasiva. A diferencia de los correos fraudulentos o los SMS engañosos (smishing), esta técnica no necesita que hagas clic en ningún sitio ni que descargues nada. Simplemente actúa en segundo plano.

El navegador mantiene la pestaña abierta, y si esa página no tiene medidas de seguridad o contiene algún código malicioso, los ciberdelincuentes sustituyen el contenido por otro casi idéntico. Y ahí es cuando aparece el falso mensaje: «Tu sesión ha caducado, vuelve a iniciar sesión» o «Se requiere verificación adicional». ¿El resultado? Muchos usuarios introducen sus credenciales sin dudar, creyendo que es una simple verificación. La interfaz es igual, y, aparentemente, todo está en orden.

Si en algún momento crees que has podido ser víctima de tabnabbing, lo primero que debes hacer es cambiar las contraseñas de los servicios afectados. Hazlo lo antes posible, especialmente si notas algo extraño en tu cuenta o recibes notificaciones de accesos sospechosos.  Además, revisa la actividad reciente de tus cuentas y, si es posible, activa la verificación en dos pasos si aún no la tenías habilitada.

¿Cómo protegerse?

La buena noticia es que, aunque el tabnabbing es difícil de detectar, también es bastante fácil de prevenir adoptando algunos hábitos sencillos. Aquí van las principales recomendaciones:

• Cierra las pestañas que no estés utilizando: cerrar una pestaña que ya no necesitas puede ahorrarte muchos problemas. No dejes abiertas páginas importantes como tu correo, redes sociales o banca online si no las estás usando.
• Revisa siempre la URL antes de introducir datos: una página falsa puede parecer idéntica a la original, pero su dirección web no lo será. Antes de escribir tus contraseñas o cualquier información personal, asegúrate de que la URL es la correcta, sin cambios sutiles ni errores ortográficos sospechosos.
• Evita redes Wi-Fi públicas: las redes abiertas, como las de cafeterías, aeropuertos o centros comerciales, son terreno fértil para todo tipo de ataques. Si necesitas hacer algo importante, usa tu red móvil o una conexión privada. Y si puedes, conéctate a través de una VPN para aumentar tu seguridad.
• Desactiva la restauración automática de sesiones del navegador: muchos navegadores ofrecen la opción de restaurar todas las pestañas abiertas cuando los vuelves a iniciar. Aunque es cómodo, también implica que las páginas potencialmente peligrosas pueden quedarse abiertas durante días sin que te des cuenta. Mejor empieza desde cero cada vez.
• Activa la verificación en dos pasos: este consejo es válido para todo tipo de amenazas digitales. Si un ciberdelincuente consigue tu contraseña, la verificación en dos pasos puede detenerlo en seco. Es una capa extra de seguridad que siempre merece la pena tener activada.

Otras formas de phishing

Además del tabnabbing, existen muchas otras formas de phishing que siguen siendo igual de peligrosas. Una de las más comunes es el phishing clásico a través del correo electrónico. Consiste en enviar mensajes que aparentan ser de entidades legítimas, como bancos o plataformas conocidas, y que incluyen enlaces a páginas falsas donde se solicita información personal o financiera. Suelen usar mensajes alarmantes como «Tu cuenta ha sido bloqueada» para generar urgencia y hacer que el usuario actúe sin pensar.

Otro método bastante utilizado hoy en día es el smishing, que es una variante del phishing pero a través de SMS. Los delincuentes envían mensajes de texto que contienen enlaces maliciosos o piden que se devuelvan datos personales. Similar a éste está el vishing, que se realiza por llamada telefónica. Aquí, el estafador se hace pasar por un empleado de una empresa o institución para obtener información sensible.