Escrito por: Jerónimo Corregido
El tabnabbing, que es una estafa diseñada sobre las pestañas abiertas en un navegador, puede conducir al robo de la identidad virtual y de cuentas bancarias. Tanto el Banco de España como la Policía Nacional han alertado sobre el fraude y compartieron medidas de seguridad.
El tabnabbing por definición es un tipo de phishing aplicado a un navegador web.
Introducción al tabnabbing: qué es y qué lo caracteriza
Una nueva estafa genera alarmas en la web de España. Se trata del tabnabbing, que es una tipología de la estafa de phishing. La particularidad es que se ejerce sobre pestañas en un navegador web, sin que el usuario se dé cuenta de ello.
El fraude suele emplearse cuando hay numerosas pestañas abiertas en una misma ventana. En esos casos, un estafador puede manipular el contenido de una web que no está siendo utilizada. De esa manera, cuando el usuario vuelva a ella, se encontrará con su sesión caducada y la necesidad de introducir nuevamente sus claves.
Claro está, la web luce casi igual que la original, pero no lo es. Ya sea porque tiene acceso al IP o porque utiliza un código malicioso (por lo general de JavaScript), el delincuente logra la adulteración de los contenidos de manera que se vean lo más similares posibles a la página original.
Esa página adulterada puede ser el correo electrónico, una red social, un sitio de compras o incluso el homebanking. Si el usuario efectivamente vuelve a introducir sus credenciales, estas quedarán en poder del responsable de la estafa.
A todas luces, se trata de un fraude orientado a personas que suelen tener numerosas pestañas abiertas. Es un hábito muy usual, sobre todo entre quienes utilizan el navegador para trabajar o investigar.
Tabnabbing clásico y reverse tabnabbing
Lo descripto hasta aquí representa el tabnabbing clásico, es decir, aquel que se desencadena a partir de la manipulación de una pestaña abierta que no está siendo usada por el usuario. Pero no es el único tipo: la otra variedad es el reverse tabnabbing, que funciona a la inversa.
En este caso, la estafa no surge a partir de una pestaña ya abierta, sino que es el propio usuario quien abre una nueva pestaña al hacer click en un hipervínculo. El sitio original, donde había estado navegando originalmente, cambia de modo imperceptible.
Cuando se quiere regresar a la navegación, la sesión habrá expirado y reclamará las credenciales de acceso. Solo que no será el servidor quien use la información, sino una tercera parte con fines delictivos.
Tabnabbing: cómo eliminarlo y protegerse
Como en todos los ejemplos de phishing, lo principal es desconfiar de cualquier cambio o irregularidad que se produzca en un sitio oficial: mínimos defectos en un logo, tipografías inusuales, pequeñas fallas en el sistema. Esto delata la presencia de un estafador.
Desde el Banco de España han emitido un comunicado sobre el tema, y destacan que se debe comprobar la URL de una web que vuelve a pedir credenciales. También se recomienda mantener actualizado el navegador con su última versión y utilizar un gestor de contraseñas.
En el mismo sentido, se desaconseja tener muchas pestañas abiertas. Para minimizar los riesgos de fraude, lo mejor es dejar solo las pestañas activas en el navegador, e ir cerrando las demás a medida que se las deja de utilizar.
La autenticación en dos pasos es otra capa de seguridad que sirve para protegerse del tabnabbing. Con esto, cada vez que se realiza un pago online o se reinicia la sesión de una cuenta delicada, se requerirá la aprobación desde otro dispositivo vinculado al mismo usuario.
Además del Banco de España, también el Instituto Nacional de Ciberseguridad (INCIBE) y la Policía Nacional han compartido alertas sobre tabnabbing. En caso de ser víctima de la estafa, se puede hacer la denuncia en las fuerzas de seguridad.
