Tabnabbing

Tabnabbing. O perigo das pestanas abertas

O tabnabbing é un ciberataque que transforma páxinas abertas no navegador en copias falsas. O seu obxectivo é roubar contrasinais, datos persoais ou información bancaria sen que nos deamos de conta. Así podemos combatelo.
1 Febreiro de 2026

Tabnabbing. O perigo das pestanas abertas

Ao navegar por Internet, cantas pestanas adoitamos ter abertas? Consultamos o correo, facemos compras, escoitamos música e revisamos a nosa conta bancaria… Todo ao mesmo tempo. Se é así, poderiamos expoñernos a unha das formas máis discretas e perigosas de fraude en liña: o tabnabbing. Aínda que non é algo novo, a súa sofisticación creceu nos últimos meses, ata o punto de que a Policía Nacional, o Banco de España e o INCIBE emitiron alertas.

Que é e como funciona?

O tabnabbing (do inglés tab, pestaña, e nabbing, atrapar) é unha forma de ciberataque que aproveita unha práctica moi común: manter varias pestanas abertas no navegador. A diferenza doutras fraudes dixitais, non esixe facer clic en ligazóns sospeitosas nin abrir correos electrónicos estraños. Abonda con deixar unha pestana aberta durante uns minutos. Nese intervalo, os ciberdelincuentes poden modificar o seu contido en segundo plano, mantendo o mesmo deseño ou logotipo para non espertar sospeitas. Cando volvemos interactuar con esa pestana, a web parece lexítima, pero en realidade é unha copia fraudulenta cuxo obxectivo é roubar datos persoais, contrasinais ou información bancaria.

Por que é perigoso?

O tabnabbing representa un risco para a nosa seguridade dixital por varios motivos:

  • Roubo de credenciais de identidade. Permite obter nomes de usuario e contrasinais que logo poden reutilizarse en diferentes servizos.
  • Acceso ás nosas contas. Facilita o acceso non autorizado ao correo electrónico, redes sociais e mesmo a contas bancarias.
  • Resulta difícil de detectar. A pestana fraudulenta conserva a aparencia dunha web lexítima, o que xera confianza e evita que sospeitemos do engano.

Como detectalo

Aínda que este ataque é sixiloso, hai pistas que poden alertarnos de que algo non está ben:

  1. O URL cambiou ou falta o cadeado de seguridade. Hai que fixarse sempre na barra de enderezos: se o URL é estraño, non coincide coa páxina oficial, non empeza por «https» ou non vemos o cadeado, temos que desconfiar.
  2. A pestana actualízase soa. Que unha pestana que deixamos aberta cambie o contido sen facermos clic pode ser sospeitoso.
  3. Pídenos iniciar sesión sen motivo. Se estabamos xa conectados e de súpeto nos solicita as credenciais, é mellor pechar a pestana e entrar desde a páxina oficial.
  4. Deseño lixeiramente distinto. As cores, a tipografía ou os logotipos que non parecen exactamente iguais poden ser signos dunha páxina falsa.
Así podemos protexernos

A mellor defensa contra o tabnabbing é a prevención. Non fai falta ser experto en ciberseguridade para blindarmos a nosa navegación. Abonda con aplicar unhas cantas medidas sinxelas pero eficaces. Estes consellos complementan os sinais para detectar o ataque e axudarannos a navegar de forma máis segura:

  • Pechar as pestanas que non esteamos a usar, especialmente se conteñen información sensible.
  • Non introducir datos en páxinas que non abrimos nós mesmos.
  • Utiliza contrasinais únicos e habilita a verificación en 2 pasos (2FA). Aínda que alguén obteña o noso contrasinal, non poderá acceder sen o segundo factor: un código que chegue ao teu móbil, correo electrónico ou Activar esta opción nas nosas contas máis importantes ou utilizar aplicacións como Google Authenticator ou Authy pónnolo máis fácil.
  • Non repetir contrasinais entre servizos. Se un se ve comprometido, os atacantes poderían acceder a todas as nosas contas. Usar claves distintas e, se nos custa recordalas, recorrer a xestores de contrasinais como Bitwarden, 1Password ou LastPass.
  • Manter o navegador e as súas extensións actualizadas. As actualizacións corrixen fallos e pechan portas que os atacantes poderían aproveitar. Activar as actualizacións automáticas ou revisar manualmente se hai novas versións.
  • Instalar extensións de seguridade que bloqueen scripts (códigos) maliciosos capaces de alterar o contido das pestanas. Algunhas opcións recomendadas:
    • uBlock Origin: bloquea anuncios e scripts
    • NoScript: permite controlar que scripts se executan en cada páxina.