Vivimos conectados, con decenas de pestañas abiertas en el navegador que saltan entre el trabajo, el ocio y las redes sociales, un ecosistema digital que damos por sentado. Pero en esa familiaridad reside un peligro latente, una amenaza sigilosa conocida como Tabnabbing, que se aprovecha de nuestra confianza en las pestañas aparentemente inactivas para lanzar sus redes. Esta técnica, sutil y perversa, transforma una ventana olvidada en una puerta trasera para el robo de información sensible, demostrando que ni siquiera lo que ya hemos cargado y apartado está completamente a salvo en el vasto océano de internet. Es un recordatorio incómodo de que la vigilancia debe ser constante, incluso en los rincones más familiares de nuestra vida digital diaria.
Lo verdaderamente inquietante de esta estrategia no es tanto su complejidad técnica, que existe, sino su capacidad para mimetizarse con la normalidad de nuestra navegación cotidiana. No requiere clics impulsivos en enlaces sospechosos ni descargas de archivos adjuntos maliciosos; simplemente espera paciente a que volvamos a una pestaña que creíamos segura, una pestaña cuyo contenido ha sido subrepticiamente alterado mientras nuestra atención estaba en otro lugar. El objetivo final suele ser el mismo que en otros timos digitales más conocidos, como el phishing tradicional: hacerse con nuestras credenciales de acceso, datos bancarios o cualquier otra información valiosa que pueda ser explotada o vendida en la ‘dark web’. Es un golpe maestro de ingeniería social adaptado a nuestros hábitos multitarea.
2EL CIBERCRIMINAL INVISIBLE: CÓMO FUNCIONA PASO A PASO
El proceso técnico detrás de un ataque de Tabnabbing suele comenzar cuando visitamos una página web comprometida o que contiene código malicioso, incluso si esta página parece inofensiva o legítima en apariencia inicial. Desde esta página, si hacemos clic en un enlace que abre una nueva pestaña (por ejemplo, un enlace a una fuente externa o incluso un anuncio), la página original puede mantener cierto control sobre la nueva pestaña o, más peligrosamente, utilizar código JavaScript para detectar cuándo la pestaña original queda inactiva (cuando cambiamos a otra pestaña o aplicación). Es en ese instante de inactividad cuando el script malicioso entra en acción, reemplazando el contenido visible de la pestaña original por una réplica fraudulenta de una página de inicio de sesión conocida.
Cuando el usuario, tras navegar por otras webs o realizar otras tareas, decide volver a la pestaña original que dejó abierta, se encuentra con la sorpresa. Esperaba ver el contenido que dejó, quizás un artículo a medio leer, un servicio de correo o una red social, pero en su lugar, se topa con una pantalla que le pide volver a introducir su usuario y contraseña, a menudo con un mensaje que justifica la acción, como «su sesión ha caducado por inactividad». Como la URL en la barra de direcciones puede incluso parecer correcta (aunque a veces también es manipulada sutilmente) y la página falsa es visualmente idéntica a la legítima, la víctima introduce sus credenciales sin dudar, entregándolas directamente al atacante. Este tipo de Tabnabbing es especialmente eficaz por su sutileza.
