Cuidado con tus pestañas abiertas
Abrir múltiples pestañas mientras navegas se ha convertido en un hábito común: revisas redes, correo, noticias y más al mismo tiempo. Pero ese uso intensivo también abre una puerta para que los atacantes se aprovechen mediante un ataque llamado tabnabbing.
Aunque no muy conocido, es eficaz y peligroso: aprovecha la distracción del usuario para cambiar el contenido de una pestaña inactiva por una página falsa. El descuido puede costar contraseñas o datos sensibles.
¿Qué es el tabnabbing?
El término "tabnabbing" combina "tab" (pestaña) y "kidnapping" (secuestro). Funciona así:
1. El usuario abre una pestaña legítima y luego cambia a otra actividad.
2. El atacante, mediante un script, detecta que la pestaña está inactiva.
3. Cuando la pestaña vuelve al frente, ha cambiado su contenido por una página falsa (login de banco, correo, etc.).
4. El usuario cree que es la página original y escribe sus credenciales.
Es una forma de phishing sigilosa: no requiere un correo sospechoso ni un sitio extraño que instales, solo confianza y tiempo.
Cómo funciona técnicamente
• El script monitorea el estado de visibilidad del navegador (page visibility API).
• Si la pestaña no está activa por cierto tiempo, el script redirige automáticamente a una URL falsa.
• Cuando el usuario regresa, ve algo familiar (logo, diseño) y no advierte que ha sido engañado.
¿Por qué muchas pestañas aumentan el riesgo?
Mientras más pestañas abiertas, mayor es la probabilidad de que una quede inactiva lo suficiente para que el ataque ocurra. Las distracciones frecuentes —consultar redes, abrir videos, responder mensajes— facilitan el escenario perfecto para el tabnabbing.
Cómo protegerse del tabnabbing
• Cerrar pestañas innecesarias: no dejes abiertas páginas que no utilizas.
• Evitar logins sensibles en muchas pestañas abiertas: no ingresar contraseñas en pestañas que podrían estar ocultas.
• Usar extensiones de seguridad: algunas protegen contra redirecciones en pestañas inactivas.
• Actualizar el navegador: los navegadores modernos suelen bloquear scripts que cambian pestañas ocultas.
• Revisar la URL antes de ingresar datos: si algo cambia inesperadamente, no confíes.
Casos recientes documentados
Investigadores han demostrado que incluso sitios legítimos pueden ser vulnerables si aceptan contenido externo o publicidad con scripts maliciosos. Por eso muchas plataformas web ya implementan defensas mitigatorias.
El tabnabbing es una amenaza silenciosa pero efectiva. No necesitas visitar sitios obscuros para caer; basta con tener muchas pestañas abiertas y un momento de distracción.
La clave está en mantener hábitos seguros, estar alerta y usar herramientas que refuercen tu navegación. Porque no siempre lo que ves es lo que crees.