La Organización de Consumidores y Usuarios (OCU) ha emitido una advertencia muy importante sobre una técnica de fraude online silenciosa pero eficiente: el tabnabbing. Este tipo de ataque cibernético, poco extendido entre el gran público, se convierte así en un riesgo evidente para todos aquellos que naveguen sin precauciones.

Tabnabbing, la estafa silenciosa

El tabnabbing se trata de una sofisticada técnica de phishing basada en las pestañas inactivas de los navegadores. Un ciberdelincuente elabora páginas que aparentan ser inofensivas de tal manera que, si se dejan sin usar unos determinados segundos, éstas se transforman en un falso formulario de inicio de sesión. Al volver a dicha pestaña, el usuario termina convenciéndose de que es posible que su sesión haya caducado e introduce las credenciales que les han sido solicitadas a través de esta trampa.

El secreto de este fraude está en lo mucho que es capaz de pasar desapercibido. Se da en segundo plano, mientras el usuario sigue navegando por otras pestañas sin poder sospechar nada de lo que ocurre la pestaña olvidada.

Paso a paso de un ataque de tabnabbing

El proceso es simple pero efectivo: accedes a un sitio web aparentemente seguro desde un enlace (puede provenir de un e-mail, de alguna red social, de un foro...) y la pestaña permanece abierta, sin interactuar, mientras navegas por otros lugares. Pasado un rato, esa pestaña cambia su contenido de manera automática y muestra una pantalla de acceso falsa que imita a Gmail, Facebook o tu banco. Al volver a la pestaña, introduces u usuario y contraseña sin comprobar la URL.

Cómo protegerte del tabnabbing y evitar ser víctima

A continuación traemos una serie de consejos para evitar el tabnabbing:

  • Verifica la URL siempre antes de introducir las credenciales, incluso después de pensar que has accedido a ese sitio.
  • Ejecuta la autenticación en dos pasos (2FA) y obtendrás un segundo nivel de seguridad.
  • Usa extensiones de seguridad en tu navegador que te avisen de los cambios en las pestañas.
  • Desconfía de las sesiones que se cierran por sí solas, especialmente si no has estado completamente inactivo durante muchos minutos.
  • Cierra las pestañas que te encuentres sin usar. Cuantas menos pestañas abiertas tengas, menos posibilidades habrá de que se produzca el ataque.

Qué hacer si ya has sido víctima

Si ingresaste tus datos en una página falsa actúa rápidamente:

  • Comunícate de inmediato con tu banco o con el emisor de la tarjeta y denuncia el fraude.
  • Ve a una comisaría a denunciar el hecho y no olvides hacer constar que has sido víctima de una emboscada virtual.
  • Reclama lo antes posible el importe defraudado o el importe que ha sido cargado en la cuenta. Si no lo hacen, ve por la vía judicial en la que te encuentres de acuerdo con la normativa europea y con lo dispuesto en el Código Civil español, que establece que los pagos realizados indebidamente no tienen carácter de autorizados y deben ser devueltos o reembolsados a la víctima.

El antivirus, tu mejor aliado contra el tabnabbing

Disponer de un buen antivirus actualizado puede ser esencial. Algunos programas bloquean las páginas de la red que intentan robar tu contraseña; detectan la ejecución de scripts maliciosos y pueden alertar de comportamientos sospechosos como los que se producen durante un ataque de tabnabbing.

Por supuesto no todos los antivirus son igual de efectivos. Desde la Organización de Consumidores y Usuarios proponen usar herramientas que han sido contrastadas y consultar comparadores independientes para escoger la solución más completa.

Un consumidor bien informado está mucho mejor preparado frente a fraudes como el tabnabbing. Porque en la red, lo que no ves… también puede hacer daño.