Así funciona el 'tabnabbing', la estafa que se aprovecha de tu desorden en Chrome: "Vuelve a poner tus datos"

Computer Hoy

Atentos porque circula una nueva estafa que aprovecha tus pestañas abiertas en el navegador para clonar tus cuentas. La Policía Nacional ya ha alertado sobre este timo.

Si eres de los que tienen 20 pestañas abiertas en Google Chrome, o cualquier otro navegador, mientras trabajas, compras o simplemente haces uso de diferentes redes sociales, o webs a la vez estás en el punto de mira del tabnabbing, como si no existiesen suficientes formas para poner en jaque tu seguridad.

Esta técnica de hackeo, que ya ha sido denunciada por la Policía Nacional, transforma páginas web totalmente legales y sin ninguna maldad encubierta en trampas para robar tus datos. Lo peor: ocurre mientras tienes la pestaña en segundo plano, sin que te des cuenta.  

¿Cómo funciona? Abres un enlace que parece legítimo y lo dejas abierto entre tus pestañas. Minutos u horas después, cuando vuelves a esa ventana, aparece una pantalla de login idéntica a la de tu banco, Gmail o Facebook. 'Sesión caducada', dice. Introduces tu usuario y contraseña... y ya están en manos de los ciberdelincuentes.  

Si te preguntas si podrías identificar que algo va mal, va a ser complejo, ya que incluyen logos oficiales, colores corporativos y hasta el candado de seguridad. Solo un detalle las delata y es la propia URL. Pero como nadie la revisa al reintroducir una contraseña, el timo funciona.  

Los expertos calculan que este fraude ha crecido un 300% en 2025 y parece que, por si fuese poco, el 40% de las víctimas ni siquiera se da cuenta del robo hasta que ven movimientos extraños en sus cuentas. La razón: el tabnabbing no necesita malware ni descargas sospechosas. Solo necesita que tú, como usuario, confíes en esa pestaña olvidada entre tus ventanas abiertas.  

Cómo actúa el 'ladrón de pestañas': un engaño casi perfecto

El 'tabnabbing', mezcla de 'pestaña' y 'atrapar' en inglés, es una nueva evolución del phishing de siempre que ya todo el mundo conoce. Ese precisamente es el problema y toca mejorar si los ciberdelincuentes quieren que caigas. 

En concreto, estos insertan un código JavaScript en páginas web aparentemente normales. Cuando dejas esa pestaña en segundo plano, el script se activa y la transforma en una réplica exacta de servicios como:  

  • Bancos online como Santander, BBVA, CaixaBank...
  • Redes sociales como Facebook, Instagram, LinkedIn...
  • Correos electrónicos como Gmail, Outlook, Yahoo...

El truco parece estar oculto en la psicología, ya que, al ver que la pestaña sigue ahí, el usuario no sospecha. Si además te dicen que su sesión expiró, introduce sus datos sin pensar. Lo cierto es que esto resulta bastante lógico, por lo que la Policía Nacional, al detectar algunos casos en España, han comenzado a alertar para evitar que caigas.

Para empeorar las cosas, estos ataques son difíciles de rastrear. Los ciberdelincuentes usan dominios temporales y servidores en el extranjero

Tres señales de que estás siendo víctima de 'tabnabbing'

  1. La pestaña 'pide' datos de forma aleatoria: si una web que no requiere login, como un periódico, de repente muestra un formulario, desconfía.  
  2. La URL tiene errores: verás letras cambiadas  como, por ejemplo, faceb00k.com, dominios raros como .biz, .top o falta el 'https://'.  
  3. Te piden más información de la normal: contraseña antigua, PIN o datos de tarjeta en redes sociales.  

Con todo esto sobre la mesa, y mientras la Policía Nacional hace su trabajo, la mejor defensa sigue siendo la precaución. Como resumen ellos mismos, en internet, desconfía hasta de tu sombra, y, sobre todo, de esa pestaña que la tienes abierta desde hace una semana.

Otros artículos interesantes:

Ver sus artículos

Carolina González

Redactora

Carolina González, redactora de actualidad, reportajes a fondo, análisis de todo tipo de productos y vídeos para el canal de Youtube.