Tabnabbing

Tabnabbing. El perill de les pestanyes obertes

El tabnabbing és un tipus de ciberatac que transforma les pàgines obertes en el navegador en còpies falses. El seu objectiu és robar contrasenyes, dades personals o informació bancària sense que ens adonem. Així podem combatre-ho.
1 Febrer de 2026

Tabnabbing. El perill de les pestanyes obertes

Mentre naveguem per Internet, quantes pestanyes acostumem a tenir obertes? Consultem el correu, fem compres, escoltem música i revisem el nostre compte bancari tot al mateix temps? Si és així, potser ens estem exposant a una de les formes de frau en línia més discretes i perilloses: el tabnabbing. Encara que no és una cosa nova, el seu grau de sofisticació ha crescut en els últims mesos, fins el punt que la Policia Nacional, el Banc d’Espanya i INCIBE han emès alertes.

Què és i com funciona?

El tabnabbing (de l’anglès tab, pestanya, i nabbing, atrapar) és una modalitat de ciberatac que s’aprofita d’una pràctica molt habitual: mantenir diverses pestanyes obertes en el navegador. A diferència d’altres fraus digitals, no exigeix fer clic en enllaços sospitosos ni obrir correus electrònics estranys. N’hi ha prou amb deixar una pestanya oberta durant uns minuts. En aquest interval, els ciberdelinqüents poden modificar el seu contingut en segon pla, mantenint el mateix disseny o logotip per a no despertar sospites. Quan tornem a interactuar amb aquesta pestanya, la web sembla legítima, però en realitat és una còpia fraudulenta l’objectiu de la qual és robar dades personals, contrasenyes o informació bancària.

Per què és perillós?

El tabnabbing suposa un risc per a nostra seguretat digital per diversos motius:

  • Robatori de credencials d’identitat. Permet obtenir noms d’usuari i contrasenyes que després poden reutilitzar-se en diferents serveis.
  • Accés als nostres comptes. Facilita l’accés no autoritzat al correu electrònic, xarxes socials i fins i tot a comptes bancaris.
  • Resulta difícil de detectar. La pestanya fraudulenta conserva l’aparença d’una web legítima, la qual cosa genera confiança en l’usuari i evita que sospitem de l’engany.

Com detectar-ho

Encara que aquest atac és sigil·lós, hi ha pistes que poden alertar-nos que alguna cosa no està bé:

  1. La URL ha canviat o falta el cadenat de seguretat. Cal fixar-se sempre en la barra direccions: si la URL és estranya, no coincideix amb la pàgina oficial, no comença per “https” o no veiem el cadenat, hem de desconfiar.
  2. La pestanya s’actualitza sola. Que una pestanya que deixem oberta canviï de contingut sense que fem clic pot ser sospitós.
  3. Ens demana iniciar sessió sense motiu. Si estàvem ja connectats i de sobte la pàgina ens demana les credencials, és millor que tanquem la pestanya i entrem des de la pàgina oficial.
  4. Disseny lleugerament diferent. Colors, tipografia o logotip que no es veuen exactament igual poden ser senyals d’una pàgina falsa.
Així podem protegir-nos

La millor defensa contra el tabnabbing és la prevenció. No fa falta ser expert en ciberseguretat per a blindar la nostra navegació. N’hi ha prou amb aplicar unes quantes mesures senzilles però eficaces. Aquests consells complementen els senyals per a detectar l’atac i ens ajudaran a navegar de forma més segura:

  • Tancar les pestanyes que no estiguem fent servir, sobretot si contenen informació sensible.
  • No introduir dades en pàgines que no hem obert nosaltres mateixos.
  • Utilitzar contrasenyes úniques i activar la verificació en dos passos (2FA). Encara que algú aconsegueixi la nostra contrasenya, no podrà accedir sense el segon factor: un codi que arriba al teu mòbil, correu o app. Activar aquesta opció en els nostres comptes més importants o utilitzar aplicacions com Google Authenticator o Authy ens ho pot posar més fàcil.
  • No repetir contrasenyes entre serveis. Si una es veu compromesa, els atacants podrien accedir a tots els nostres comptes. Usar claus distintes i, si ens costa recordar-les, recórrer a gestors de contrasenyes com Bitwarden, 1Password o LastPass.
  • Mantenir el navegador i les seves extensions actualitzats. Les actualitzacions corregeixen fallades i tanquen portes que els atacants podrien aprofitar. Cal activar les actualitzacions automàtiques o revisar manualment si hi ha noves versions.
  • Instal·lar extensions de seguretat que bloquegin scripts (codis) maliciosos capaços d’alterar el contingut de les pestanyes. Algunes opcions recomanades:
    • uBlock Origin: bloqueja anuncis i scripts
    • NoScript: permet controlar quins scripts s’executen en cada pàgina.