El motivo por el que no debes dejar pestañas abiertas en tu navegador de internet

Para Eusebio Nieva, director técnico de la firma sobre ciberseguridad Check Point Software, este tipo de ataque resulta especialmente efectivo «porque el usuario confía automáticamente en las pestañas que tiene abiertas». Con todo, prosigue el experto, existen indicios de que podríamos estar siendo víctimas de 'tabnabbing': «Conviene que sospechemos si una pestaña olvidada nos pide volver a iniciar sesión; si una dirección web cambia ligeramente o ante el hecho de que el gestor de contraseñas del navegador no autocomplete campos de datos ante los que sí respondía anteriormente». Otra pista más evidente es que el contenido de la web que tenemos delante no coincida con la dirección que muestra la barra de navegación... ¿Por qué estamos viendo el escaparate de una tienda online si nos disponíamos a consultar las últimas noticias en nuestro periódico de cabecera?

Cabe preguntarse si el riesgo de caer en la trampa del 'tabnabbing' varía según el tipo de páginas que visitemos o el dispositivo en que naveguemos. Pues sí. Según Nieva, «suelen ser más vulnerables aquellos sitios que permiten abrir enlaces en nuevas pestañas sin aplicar medidas básicas de seguridad. También pueden ser utilizadas páginas legítimas que han sido comprometidas por ciberdelincuentes, o sitios donde los usuarios comparten enlaces sin control, como foros, blogs o redes sociales. Si no se toman las precauciones adecuadas, estas plataformas pueden servir como punto de entrada para el 'tabnabbing'».

En cuanto a si es peor abrir muchas pestañas en un equipo de sobremesa que hacerlo en un smartphone, el directivo considera que debemos ser más cautelosos con el ordenador, «donde es común tenerlas abiertas durante largos periodos de tiempo. Esto da más margen para que una pestaña inactiva sea modificada sin que el usuario lo note. En cambio, en los dispositivos móviles, los navegadores tienden a limitar el funcionamiento en segundo plano, lo que reduce, aunque no elimina, la posibilidad de que se produzca este tipo de ataque».

¿Y qué medidas podemos tomar de antemano para no llevarnos sustos? La mayoría de expertos piden que cerremos aquellas pestañas que no estemos utilizando y que revisemos por costumbre la dirección web que figura en la barra del navegador antes de introducir nuestras credenciales. También es buena idea usar un gestor de contraseñas, ya que, como hemos visto, solo completan los datos automáticamente cuando la url del sitio web coincide exactamente con aquella que tienen almacenada. Además, y siempre que sea posible, activaremos la llamada autenticación de doble factor: aunque metamos la pata y le revelemos nuestra contraseña al delincuente, no podrá acceder a nuestros datos si no introduce un código adicional (que normalmente recibiremos por SMS o correo electrónico).

Pero Nieva también apunta a los propios desarrolladores para minimizar riesgos: «Es importante que apliquen configuraciones de seguridad que impidan que el contenido de una pestaña sea manipulado por 'scripts' maliciosos. De hecho, los principales navegadores no dejan que las pestañas nuevas tengan control sobre las originales y limitan la capacidad de ejecutar cambios cuando una pestaña está en segundo plano». En este sentido, no debemos olvidar la regla de oro: mantener nuestro navegador actualizado a la última versión disponible para contar con los últimos parches de seguridad.