La seguridad online es ya una preocupación diaria para consumidores y usuarios digitales. En estas semanas, Policía Nacional ha lanzado una alerta en TikTok sobre una estafa poco conocida: el tabnabbing, una variante sofisticada del phishing que actúa de forma silenciosa en las pestañas abiertas del navegador.
La recomendación inicial ha sido cerrar las pestañas que no se estén usando y comprobar la autenticidad de la url de aquellas páginas web que soliciten una contraseña de activación. Pero en OCU vamos un poco más allá, y en este mes, en que la ciberseguridad es nuestra prioridad, creemos que es importante que el usuario sepa cómo funciona este fraude, qué medidas te pueden proteger y cómo actuar en caso de que hayas picado. Un consumidor bien informado está más protegido.
¿Qué es el tabnabbing?
El tabnabbing ("tab" = pestaña, "nabbing" = atrapar) es una técnica de phishing avanzada que aprovecha las pestañas inactivas del navegador. Los ciberdelincuentes crean una página que cuando el usuario la abre en una pestaña es aparentemente legítima, pero al cabo de un tiempo de inactividad, esta puede transformarse para mostrar una falsa página de inicio de sesión. Al regresar, el usuario cree que su sesión ha caducado y, sin sospechar, introduce sus credenciales en una página fraudulenta que imita servicios como Gmail, Facebook o su banca online. La clave es que todo ocurre mientras la pestaña está en segundo plano, jugando con la confianza del usuario.
¿Y cómo funciona?
El ataque del tabnabbing suele seguir estos pasos:
- El usuario accede a un enlace desde un email o web aparentemente inocente, que abre una nueva pestaña que parece segura (un blog, foro, etc.) y que queda olvidada en segundo plano.
- Pasado un tiempo, la página cambia automáticamente su contenido y carga una falsa pantalla de login que simula un servicio conocido.
- El usuario regresa a esa pestaña confiado y, al ver la pantalla de acceso, introduce su contraseña sin comprobar la URL. Sus datos ya están en manos del estafador.
Protégete contra el tabnabbing
Este ataque es efectivo porque se aprovecha de la costumbre de los usuarios de no revisar las URLs cuando vuelven a una pestaña "que ya conocen". Por eso es importante seguir estas recomendaciones:
- Comprueba siempre la URL: Incluso si es una pestaña vieja, revisa la barra de direcciones antes de introducir tus credenciales. Asegúrate de que el dominio es correcto y tiene HTTPS.
- Activa la autenticación en dos pasos (2FA): Aunque tus credenciales caigan en malas manos, este segundo nivel de protección puede bloquear el acceso.
- Usa extensiones anti-phishing: Algunas herramientas alertan si una pestaña cambia de contenido o dominio de forma sospechosa.
- Desconfía de cierres de sesión inesperados: Los servicios legítimos no suelen cerrar sesiones de forma brusca ni mostrar pantallas de login fuera de su dominio oficial.
- Cierra pestañas que no estés usando: Es una solución sencilla que reduce el riesgo. Menos pestañas abiertas, menos exposición.
Y si has picado, reclama
Si han sacado dinero de tu cuenta con engaños o han usado tu tarjeta en fraude, debes proceder según estos pasos para poder recuperarlo.
- Avisa enseguida a la entidad bancaria o emisora de la tarjeta de los cargos fraudulentos.
- Acude a comisaría y presenta una denuncia, dejando claro que hubo engaño.
- Reclama el importe defraudado al banco o al emisor de la tarjeta.
El problema puede surgir si la entidad niega posteriormente la devolución aduciendo que el pago se autorizó o que el cliente ha actuado con negligencia grave.En ese caso, te animamos a reclamar judicialmente. ¡Podemos ayudarte!
Contra los ciberengaños, cuenta con OCU
Ningún pago realizado bajo los efectos de un engaño podrá ser considerado como autorizado y, por lo tanto, deberá ser reembolsado de forma automática. La Autoridad Bancaria Europea no solo define como fraudulentas las transacciones de pago no autorizadas, también aquellas en las que se manipuló al pagador para admitir una orden de pago. Es más, el propio Código Civil, en su artículo 1.265 y siguientes considera que el consentimiento será nulo si se presta por error. De hecho, la mayoría de las sentencias son favorables al cliente del banco.
Refuerza tu protección con un buen antivirus
Contar con un buen antivirus es clave no solo frente al tabnabbing, sino también ante otros fraudes y ciberataques. Estos programas pueden bloquear URLs maliciosas, detectar páginas de phishing y frenar scripts sospechosos que intentan modificar pestañas inactivas.
Eso sí, no todos los antivirus ofrecen la misma protección, especialmente frente al phishing. Por eso, te recomendamos consultar nuestro comparador de antivirus antes de elegir el más adecuado para tu equipo.
Tienes que iniciar sesión para ver los comentarios