Instituto Nacional de ciberseguridad. Sección Incibe
Oficina de Seguridad del Internauta. Sección Ciudadanía

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

¿Qué es el tabnabbing?

Fecha de publicación 25/06/2025
Tabnabbing

El tabnabbing  es una técnica de phishing que aprovecha el descuido del usuario al dejar pestañas abiertas en su navegador. Los ciberdelincuentes modifican el contenido de una pestaña inactiva para que parezca una página legítima, como la de tu banco o correo electrónico, con el objetivo de robar tus credenciales. En este blog te explicamos cómo funciona esta amenaza, cómo identificarla y qué puedes hacer para protegerte.

¿Qué tipos de tabnabbing podemos encontrar?

Existen principalmente dos tipos de tabnabbing, según la forma en la que se ejecuta el ataque:

  • Tabnabbing clásico ( o pasivo):

Este es el tipo más común. Ocurre cuando el usuario visita una página aparentemente inofensiva y luego cambia a otra pestaña. Mientras la pestaña original está inactiva, el contenido se reemplaza por una página falsa que imita un sitio legítimo (como Gmail, Facebook o un banco). Cuando el usuario regresa, cree que su sesión ha expirado  vuelve a ingresar sus credenciales, que son capturadas por el atacante.

  • Reverse tabnabbing (o tabnabbing inverso)

Este tipo de ataque ocurre cuando haces clic en un enlace que abre una nueva pestaña en tu navegador. El problema es que esa nueva pestaña puede hacer que la anterior cambie automáticamente y te muestre una página falsa. De esta forma, si vuelves a esa pestaña sin darte cuenta, podrías introducir tus datos personales en una web falsa.

Ambos tipos explotan la confianza del usuario en las pestañas abiertas y suponen un riesgo serio para la seguridad de la información personal y corporativa.

¿Qué casos se conocen de tabnabbing?

Aunque no siempre se hacen públicos, se han reportado casos en los que usuarios han perdido acceso a sus cuentas bancarias o de correo electrónico por haber ingresado sus credenciales en pestañas manipuladas. Esta técnica también ha sido utilizada en campañas de phishing dirigidas a empleados de empresas para obtener acceso a sistemas internos.

Algunos casos conocidos:

  • Banco de España: en su blog oficial, el Banco de España advierte sobre el aumento de casos de tabnabbing en usuarios que mantienen muchas pestañas abiertas. Explican cómo los atacantes sustituyen el contenido de una pestaña inactiva por una réplica maliciosa de un sitio legítimo, como una banca online, para capturar credenciales cuando el usuario regresa a esa pestaña.
  • Alerta de la Policía Nacional: la Policía Nacional emitió una alerta por el incremento de este tipo de fraude en España.

¿A qué riesgos nos enfrentamos?

  • Robo de identidad: si escribes tu usuario y contraseña en una página falsa, los atacantes pueden entrar a tus cuentas personales o laborales (correo, redes sociales...). Esto puede llevar a que se hagan pasar por ti, envíen mensajes en tu nombre o accedan a más información privada.
  • Pérdida financiera: si la página falsa imita a tu banco o a una tienda online y tú ingresas tus datos bancarios o de tarjeta, los atacantes pueden: hacer compras sin tu permiso; sacar dinero de tu cuenta; registrar tus datos para usarlos más adelante o venderlos.
  • Acceso a información sensible: si trabajas en una empresa y accedes a una página falsa creyendo que es el sistema interno, podrías dar acceso a: documentos confidenciales, información de clientes, propiedad intelectual (ideas, diseños, estrategias), etc. Esto puede causar graves daños a la empresa, tanto económicos como legales.

¿Cómo puedes protegerte del tabnabbing?

  • Cierra pestañas que no estés usando: las páginas maliciosas pueden cambiar su contenido mientras están abiertas en un segundo plano. Si no estás usando una pestaña, especialmente si no es un sitio conocido o confiable, ciérrala. Así evitas que se transforme en una trampa.
  • Verifica siempre la URL: los atacantes imitan páginas legítimas, pero la dirección web (URL) suele tener errores o diferencias. Antes de escribir tu usuario o contraseña, mira bien la barra de direcciones y comprueba si es la dirección correcta o tiene el candado de conexión segura.
  • No reutilices contraseñas: si usas la misma contraseña en varios sitios y uno es comprometido, los atacantes pueden acceder a todos los demás. Usa una contraseña diferente para cada cuenta. Si es difícil recordarlas, puedes usar un gestor de contraseñas (como Bitwarden, 1Password o LastPass).
  • Activa la autenticación en dos pasos (2FA): aunque alguien robe tu contraseña, no podrá entrar sin el segundo paso (un código que llega a tu móvil, correo o aplicación). Activa esta opción en tus cuentas importantes (correo, redes sociales, banco....). Puedes usar apps como Google Authenticator o Authy.
  • Mantén tu navegador actualizado: las actualizaciones corrigen errores y vulnerabilidades que los atacantes pueden usar. Asegúrate de tener activadas las actualizaciones automáticas o revisa manualmente si hay una nueva versión del navegador.
  • Utiliza extensiones de seguridad: algunas extensiones bloquean scripts maliciosos que podrían cambiar el contenido de una pestaña. Puedes instalar extensiones como:
    • uBlock Origin: bloquea anuncios y scripts sospechosos.
    • NoScript: permite controlar qué scripts se ejecutan en cada página (recomendado para usuarios más avanzados).

Conclusión

El tabnabbing es una técnica de phishing silenciosa, pero efectiva. La mejor defensa es la prevención: estar informado, mantener buenas prácticas de navegación y no confiar ciegamente en lo que ves en tu navegador. Si sospechas que has sido víctima de una ataque de este tipo, cambia tus contraseñas de inmediato y contacta con los servicios afectados.

Para más información o ayuda, puedes contactar con la Línea de Ayuda en Ciberseguridad de INCIBE llamando al 017 o escribiendo por WhatsApp (900 116 117) o Telegram (@INCIBE017).

Contenido realizado en el marco de los fondos del Plan de Recuperación, Transformación y Resiliencia del Gobierno de España, financiado por la Unión Europea (Next Generation).