El dicho popular de “cuando se cierra una puerta se abre una ventana” adquiere un sentido literal en la época de la multitarea. Acumular decenas de ventanas abiertas es una práctica común como consecuencia del síndrome de Diógenes digital. Esta práctica, a priori inofensiva, podría exponer a los usuarios a un tipo de ciberataque conocido como tabnabbing. Mediante esta técnica, los ciberdelincuentes roban información personal y claves de acceso. Y todo, por el simple hecho de acumular decenas y decenas de pestañas abiertas.

¿Qué es el tabnabbing?

El tabnabbing es una técnica de phishing(ciberataque que suplanta la identidad del usuario) que aprovecha la mala costumbre de mantener múltiples pestañas abiertas en el navegador. Ocurre mientras los usuarios visitan otros sitios web. El estafador manipula una pestaña inactiva que pasa a pedir al usuario sus credenciales de correo u otro tipo de información confidencial.

La Policía Nacional ha emitido alertas sobre este tipo de estafas en sus redes sociales por la popularidad que está adquiriendo. El modus operandi es simple pero efectivo: cuando el usuario abandona temporalmente una pestaña para centrarse en otra, la página maliciosa detecta esta inactividad y cambia su apariencia para suplantar un sitio legítimo. Al regresar a esa pestaña, el usuario se encuentra con lo que parece ser la página de inicio de sesión de un banco o correo electrónico, solicitando las credenciales debido a un supuesto "cierre de sesión por inactividad". Introducir datos personales en ese formulario falsificado, entregaría directamente las contraseñas al ciberdelincuente.

¿Cómo evitar el tabnabbing?

Para protegernos contra este tipo de ataques, los expertos en ciberseguridad recomiendan adoptar las siguientes medidas preventivas:

  • Limitar el número de pestañas abiertas: Mantener un máximo de 5 a 7 pestañas activas simultáneamente reduce significativamente el riesgo de exposición.
  • Utilizar gestores de contraseñas: Estas herramientas no solo almacenan nuestras credenciales de forma segura, sino que también pueden detectar cuando estamos en un sitio falso, ya que no ofrecerán rellenar automáticamente los datos en páginas no reconocidas.
  • Activar la autenticación de dos factores(2FA): Esta capa adicional de seguridad hace que, incluso si los atacantes obtienen nuestras contraseñas, no puedan acceder a nuestras cuentas sin el segundo factor de verificación.
  • Cerrar sesión activamente: En lugar de simplemente abandonar una pestaña, es recomendable cerrar sesión explícitamente en servicios sensibles como banca online o correo electrónico.
  • Verificar la URL antes de introducir credenciales: Prestar atención a la dirección web y comprobar que contiene el protocolo"https://" y el candado de seguridad.
  • Actualizar regularmente el navegador: Los desarrolladores de navegadores implementan continuamente parches de seguridad para proteger contra nuevas amenazas.
  • Utilizar extensiones de seguridad: Existen complementos específicos para navegadores que alertan sobre posibles páginas de phishing o intentos de tabnabbing.
  • Desconfiar de solicitudes inesperadas de credenciales: Si una página nos solicita iniciar sesión nuevamente sin motivo aparente, es recomendable cerrar esa pestaña y acceder directamente al sitio oficial mediante una nueva ventana.