¿Sueles tener muchas pestañas abiertas en el navegador? Cuidado con el tabnabbing

Este ciberataque transforma las páginas abiertas en el navegador en copias falsas. Su objetivo es robar contraseñas, datos personales o información bancaria sin que nos demos cuenta. Así podemos combatirlo
Por Sonia Recio 13 de febrero de 2026
tabnabbing ciberdelito
Imagen: picjumbo.com
Al navegar por Internet, ¿cuántas pestañas solemos tener abiertas? Consultamos el correo, hacemos compras, escuchamos música y revisamos nuestra cuenta bancaria… Todo al mismo tiempo. Si es así, podríamos exponernos a una de las formas de fraude online más discretas y peligrosas: el tabnabbing. Aunque no es algo nuevo, su sofisticación ha crecido en los últimos meses, hasta el punto de que la Policía Nacional, el Banco de España y el Instituto Nacional de Ciberseguridad (INCIBE) han emitido alertas.

¿Qué es el ‘tabnabbing’ y cómo funciona?

El tabnabbing (del inglés tab, pestaña, y nabbing, atrapar) es una modalidad de ciberataque que se aprovecha de una práctica muy habitual: mantener varias pestañas abiertas en el navegador. A diferencia de otros fraudes digitales, no exige hacer clic en enlaces sospechosos ni abrir correos electrónicos extraños. Basta con dejar una pestaña abierta durante unos minutos.

En ese intervalo, los ciberdelincuentes pueden modificar su contenido en segundo plano, manteniendo el mismo diseño o logotipo para no despertar sospechas. Cuando volvemos a interactuar con esa pestaña, la web parece legítima, pero en realidad es una copia fraudulenta cuyo objetivo es robar datos personales, contraseñas o información bancaria.

¿Por qué es peligroso el ‘tabnabbing’?

El tabnabbing supone un riesgo para nuestra seguridad digital por varios motivos:

  • Robo de credenciales de identidad. Permite obtener nombres de usuario y contraseñas que luego pueden reutilizarse en diferentes servicios.
  • Acceso a nuestras cuentas. Facilita el acceso no autorizado al correo electrónico, redes sociales e incluso a cuentas bancarias.
  • Resulta difícil de detectar. La pestaña fraudulenta conserva la apariencia de una web legítima, lo que genera confianza en el usuario y evita que sospechemos del engaño.

Cómo detectarlo

Aunque este ataque es sigiloso, hay pistas que pueden alertarnos de que algo no está bien:

1. La URL ha cambiado o falta el candado de seguridad. Hay que fijarse siempre en la barra de direcciones: si la URL es extraña, no coincide con la página oficial, no empieza por “https” o no vemos el candado, tenemos que desconfiar.

2. La pestaña se actualiza sola. Que una pestaña que dejamos abierta cambia de contenido sin que hagamos clic puede ser sospechoso.

3. Nos pide iniciar sesión sin motivo. Si estábamos ya conectados y de repente nos pide las credenciales, es mejor que cerremos la pestaña y entremos desde la página oficial.

4. Diseño ligeramente distinto. Colores, tipografía o logotipo que no se ven exactamente igual pueden ser señales de una página falsa.

Así podemos protegernos del ‘tabnabbing’

portatil navegador web
Imagen: janeb13

La mejor defensa contra el tabnabbing es la prevención. No hace falta ser experto en ciberseguridad para blindar nuestra navegación. Basta con aplicar unas cuantas medidas sencillas pero eficaces. Estos consejos complementan las señales para detectar el ataque y nos ayudarán a navegar de forma más segura:

  • Cerrar las pestañas que no estemos usando, sobre todo si contienen información sensible.
  • No introducir datos en páginas que no hemos abierto nosotros mismos.
  • Utilizar contraseñas únicas y activar la verificación en dos pasos (2FA). Aunque alguien consiga nuestra contraseña, no podrá acceder sin el segundo factor: un código que llega a tu móvil, correo o app. Activar esta opción en nuestras cuentas más importantes o utilizar aplicaciones como Google Authenticator o Authy nos lo ponen más fácil.
  • No repetir contraseñas entre servicios. Si una se ve comprometida, los atacantes podrían acceder a todas nuestras cuentas. Usar claves distintas y, si nos cuesta recordarlas, recurrir a gestores de contraseñas como Bitwarden, 1Password o LastPass.
  • Mantener el navegador y sus extensiones actualizados. Las actualizaciones corrigen fallos y cierran puertas que los atacantes podrían aprovechar. Activar las actualizaciones automáticas o revisar manualmente si hay nuevas versiones.
  • Instalar extensiones de seguridad que bloqueen scripts (códigos) maliciosos capaces de alterar el contenido de las pestañas. Algunas opciones recomendadas: uBlock Origin (bloquea anuncios y scripts sospechosos) o NoScript (permite controlar qué scripts se ejecutan en cada página).
Ciberdelitos Ciberseguridad
Sigue a Consumer en Instagram, X, Threads, Facebook, Linkedin, Whatsapp, Telegram o Youtube
Recursos relacionados
ciberseguridad menores
Nuevas tecnologías Infografía
Educar a tus hijos en ciberseguridad
Img virus informatico
Nuevas tecnologías Monográfico
Antivirus
consejos ante suplantación identidad en redes sociales
Nuevas tecnologías Vídeo
Suplantación de identidad en redes sociales: ¿qué hacer?
Partidos internet
Nuevas tecnologías Vídeo
Organizar partidos por Internet