Abrir múltiples pestañas al navegar es algo tan habitual que muchos ya ni prestan atención a lo que dejan en segundo plano. Pero ese gesto cotidiano se ha convertido en terreno fértil para una de las técnicas de phishing más sigilosas y peligrosas del momento. Lo preocupante es que funciona sin necesidad de conocimientos avanzados… y las consecuencias pueden ser devastadoras.

Una trampa digital que se activa cuando bajas la guardia

La amenaza se conoce como tabnabbing, y consiste en manipular el contenido de una pestaña que el usuario dejó inactiva, sin cerrarla. A simple vista, no hay señales de peligro. Pero, cuando se regresa a esa pestaña, lo que parece una sesión expirada de tu banco o tu correo electrónico es, en realidad, una réplica falsa diseñada para robar tus credenciales.

Existen dos modalidades principales. La primera, más tradicional, actúa cuando el usuario mantiene abierta una página aparentemente legítima en segundo plano. En ese tiempo, el atacante reemplaza el contenido original por una copia visualmente idéntica de un sitio de confianza. Cuando el usuario vuelve y ve que “la sesión expiró”, introduce sus datos sin sospechar que está entregándolos directamente al atacante.

La segunda, más reciente, ocurre cuando el usuario hace clic en un enlace que abre una nueva pestaña. Esa pestaña, desde su código, puede alterar otra ya abierta y mostrar una página falsa. Ambas variantes explotan un mismo punto débil: la confianza que depositamos en lo que creemos haber dejado “esperando” en el navegador.

Quiénes están más expuestos a esta forma de phishing

Aunque cualquier persona puede ser víctima, ciertos perfiles corren mayor riesgo. Según alertas recientes del Banco de España y la Policía Nacional, quienes acostumbran a tener múltiples pestañas abiertas sin supervisión están especialmente expuestos. Este grupo incluye tanto usuarios particulares como empleados que utilizan navegadores para acceder a plataformas corporativas.

Los daños trascienden la pérdida de una cuenta personal. Para empresas, puede suponer filtraciones graves: accesos no autorizados a documentos internos, robo de datos de clientes o incluso daños legales por incumplimientos de protección de datos.

Lo más alarmante es que no se requiere una gran infraestructura para ejecutar estos ataques. Bastan algunos scripts y un diseño convincente para que la estafa funcione. Y en un entorno de distracción digital constante, muchas veces el usuario no repara en pequeños detalles como una URL alterada o un formulario sospechoso.

Cómo protegerte antes de que sea demasiado tarde

Afortunadamente, protegerse del tabnabbing no exige ser experto en ciberseguridad. El Instituto Nacional de Ciberseguridad (INCIBE) recomienda una serie de pasos sencillos pero efectivos que pueden marcar la diferencia:

• Cierra las pestañas que no estés usando. No dejes abiertas páginas sensibles por largos periodos sin atención.
• Revisa siempre la URL antes de introducir datos. Una letra de más o un dominio ligeramente distinto pueden delatar una falsificación.
• Usa contraseñas únicas para cada servicio. Los gestores de contraseñas pueden ayudarte a generar combinaciones fuertes y diferentes.
• Activa la autenticación en dos pasos. Así, aunque alguien robe tus datos, necesitará una segunda verificación.
• Mantén tu navegador actualizado. Muchas vulnerabilidades usadas en estos ataques se corrigen con parches recientes.
• Considera instalar extensiones de seguridad. Herramientas como uBlock Origin o NoScript pueden bloquear scripts maliciosos que facilitan este tipo de ataques.

Más allá de las herramientas técnicas, la mejor defensa sigue siendo la atención consciente. Detenerse un segundo antes de hacer clic, revisar detalles y evitar la automatización excesiva son prácticas que refuerzan tu seguridad.

El tabnabbing no es nuevo, pero sí cada vez más sofisticado y extendido. Y lo más preocupante es que opera en silencio, confiando en que bajarás la guardia justo cuando menos deberías. Porque, a veces, todo empieza con una pestaña olvidada… y termina con un desastre digital.