Així és el 'tabnabbing', la nova estafa digital que s’aprofita dels teus hàbits al navegar per Internet

El tabnabbing s’ha convertit en l’última amenaça digital que està posant en perill la seguretat dels internautes espanyols. Les autoritats, concretament la Policia Nacional, han llançat una alerta sobre aquesta sofisticada modalitat de phishing que aprofita els nostres propis hàbits de navegació per aconseguir informació personal i bancària. A diferència d’altres mètodes més coneguts, aquesta tècnica explota específicament un costum molt estès: mantenir múltiples pestanyes obertes simultàniament al navegador.

Segons explica la Policia Nacional, el tabnabbing actua sobre les finestres que l’usuari manté obertes però no està utilitzant activament. Els ciberdelinqüents aconsegueixen modificar el contingut d’aquestes pestanyes inactives, substituint-les per rèpliques gairebé idèntiques de les pàgines originals. La trampa es completa quan, en tornar a l’esmentada pestanya, el sistema sol·licita a l’usuari que introdueixi de nou les seues credencials sota pretextos com la caducitat de la sessió. És en aquell moment quan la víctima, confiada que es troba al web legítim que ella mateixa va obrir, facilita dades sensibles que van directament en mans dels estafadors.

Aquesta modalitat d’estafa digital resulta particularment perillosa perquè explota la confiança de l’usuari a les seues pròpies accions prèvies. A diferència d’altres tipus de phishing que arriben a través de correus no sol·licitats o missatges sospitosos, el tabnabbing opera sobre pàgines que nosaltres mateixos hem decidit visitar, la qual cosa desactiva les nostres alarmes habituals davant possibles fraus.

Com funciona el tabnabbing i per què és tan efectiu

El procediment tècnic del tabnabbing és relativament complex però molt efectiu. Els atacants insereixen codi maliciós en pàgines web aparentment inofensives. Quan un usuari visita l’esmentada pàgina i posteriorment canvia a una altra pestanya, el codi s’activa i modifica la pàgina original per una falsificació. Aquesta còpia fraudulenta sol imitar amb gran precisió serveis populars com entitats bancàries, plataformes de compres online o serveis de correu electrònic.

L’eficàcia d’aquest mètode rau en diversos factors psicològics. D’una banda, els usuaris tendim a confiar en les pàgines que nosaltres mateixos hem obert. Per un altre, és habitual que, després d’un temps sense utilitzar-les, acceptem com normal que una sessió hagi caducat i sigui necessari tornar a identificar-se. Finalment, en mantenir nombroses pestanyes obertes, és menys probable que fem atenció a petits detalls com canvis a l’URL que podrien alertar-nos de l’engany.

El responsable de seguretat informàtica, Manuel García, explica que "el tabnabbing representa una evolució significativa en les tècniques d’enginyeria social. Ja no es tracta només d’enganyar mitjançant correus electrònics fraudulents, sinó d’aprofitar els nostres propis hàbits digitals per convertir-los en vulnerabilitats".

Mesures de prevenció recomanades per les autoritats

La Policia Nacional ha emès una sèrie de recomanacions específiques per protegir-se davant aquesta amenaça. En primer lloc, aconsellen mantenir obertes únicament les pestanyes que s’estiguin utilitzant activament, tancant totes les altres quan no siguin necessàries. Aquesta simple pràctica redueix significativament la superfície d’atac disponible per als ciberdelinqüents.

Una altra mesura fonamental consisteix a verificar sempre l’URL de qualsevol pàgina que sol·liciti credencials o informació sensible, especialment després d’haver estat inactiva durant algun temps. Els experts recomanen fer atenció a petites variacions en l’adreça web, com letres canviades o dominis lleugerament diferents de l’original (.es per .com, per exemple).

També resulta aconsellable utilitzar gestors de contrasenyes que reconeixen automàticament els llocs web legítims i no autocompleten credencials en pàgines fraudulentes. Addicionalment, l’activació de l’autenticació en dos factors afegeix una capa extra de seguretat que dificulta enormement l’èxit d’aquest tipus d’atacs.

El creixement de les estafes digitals a Espanya

El tabnabbing s’afegeix a un preocupant increment dels ciberdelictes en territori espanyol. Segons dades del Ministeri de l’Interior, el 2022 es van registrar més de 375.000 denúncies per estafes informàtiques, la qual cosa suposa un augment del 28% respecte a l’any anterior. Aquesta tendència a l’alça reflexa tant la sofisticació creixent dels mètodes fets servir com l’expansió de l’ús de serveis digitals després de la pandèmia.

Les entitats financeres han estat tradicionalment un dels objectius preferits pels ciberdelinqüents, però cada vegada és més comú trobar suplantacions de tota mena de serveis, des de plataformes de streaming fins administracions públiques. Aquesta diversificació complica la tasca de prevenció i fa més necessària que mai la formació dels usuaris en matèria de ciberseguretat.

Què fer si has estat víctima de tabnabbing?

Si sospites que has pogut ser víctima d’una estafa per tabnabbing, els experts recomanen actuar amb rapidesa seguint aquests passos:

En primer lloc, canviar immediatament les contrasenyes dels serveis afectats, utilitzant per a això un dispositiu diferent del que podria ser compromès. Si s’han facilitat dades bancàries, contactar urgentment amb l’entitat per bloquejar possibles operacions fraudulentes i, en el seu cas, cancel·lar les targetes compromeses.

És fonamental també presentar una denúncia davant de les autoritats. La Policia Nacional compta amb unitats especialitzades en delictes informàtics que poden orientar a les víctimes sobre els passos a seguir. Per a això, es pot acudir qualsevol comissaria o utilitzar la plataforma de denúncies online disponible al web policial.

Finalment, és recomanable monitorar regularment els comptes bancaris i els informes crediticis durant els mesos següents, ja que alguns ciberdelinqüents no utilitzen immediatament la informació obtinguda sinó que l’emmagatzemen per fer-la servir temps després.

Tecnologies que poden ajudar a protegir-se

El mercat ofereix actualment diverses solucions tecnològiques que poden contribuir a mitigar el risc de patir atacs de tabnabbing. Els navegadors moderns inclouen característiques de seguretat que poden alertar sobre pàgines potencialment perilloses. Chrome, Firefox i Edge, per exemple, disposen de sistemes que verifiquen els webs visitats contra bases de dades de llocs maliciosos coneguts.

Les extensions específiques de seguretat poden afegir capes addicionals de protecció. Eines com HTTPS Everywhere forcen connexions segures, mentre que altres com NoScript o uBlock Origin limiten l’execució de scripts que podrien contenir codi maliciós.

En l’àmbit empresarial, les solucions de seguretat perimetral i els sistemes de detecció d’intrusions poden identificar i bloquejar connexions sospitoses, proporcionant un nivell addicional de protecció per a xarxes corporatives.