CyberGlossary

Ataques y amenazas

Tabnabbing

También conocido como: Reverse tabnabbing

Definición

Ataque en el que una pestaña del navegador en segundo plano o recién abierta se reescribe silenciosamente para parecer una página de inicio de sesión legítima y robar credenciales cuando el usuario vuelve.

El tabnabbing aprovecha que las pestañas inactivas casi no se vigilan. En su forma clásica, JavaScript en una pestaña abandonada por el usuario cambia su título, favicon y contenido para imitar un servicio conocido (webmail, banca); cuando el usuario regresa, es probable que introduzca credenciales. El reverse tabnabbing aprovecha enlaces target="_blank": la página maliciosa abierta en una nueva pestaña usa window.opener para reescribir la URL de la pestaña original hacia un phishing. Los navegadores modernos aplican por defecto rel="noopener" a los enlaces target="_blank", pero el código heredado puede seguir siendo vulnerable. Las defensas incluyen rel="noopener noreferrer" en enlaces externos, CSP, abrir URLs proporcionadas por el usuario con noopener y concienciar a los usuarios para comprobar la barra de URL al cambiar de pestaña.

Ejemplos

  • Una pestaña que el usuario dejó abierta se reescribe silenciosamente para parecer la página de inicio de sesión de Gmail y pide una contraseña.
  • Un enlace en un comentario abre una nueva pestaña y usa window.opener para redirigir la pestaña original del usuario a un sitio de phishing.

Términos relacionados