El día que una pestaña te traicionó

Por Iñigo Jiménez, experto en Movilidad de RedAbogacía.

LinkedIn: https://www.linkedin.com/in/inigojimenez/

Imagina que estás trabajando en un caso urgente. Tienes el correo abierto, la web del juzgado, tu CRM jurídico, el BOE, LinkedIn por si salta algo, y —cómo no— ese artículo que empezaste a leer hace media hora sobre el nuevo reglamento europeo de inteligencia artificial. Son doce, trece, catorce pestañas abiertas. Una jungla digital donde saltas de rama en rama sin pensar demasiado.

Y entonces ocurre. Vuelves a esa pestaña que lleva un rato en silencio, aparentemente inofensiva. Parece Gmail, idéntica. El logotipo, los colores, incluso el favicon de la pestaña. Te pide iniciar sesión otra vez, “por motivos de seguridad”. Y tú, con prisa, lo haces. Lo haces sin pensar. Pero algo ha cambiado: esa pestaña ya no es lo que era. Ha sido poseída.

Bienvenido al mundo del tabnabbing (tab=pestaña, del navegador y nabbing=robar, atrapar, capturar de forma sorpresiva o sigilosa), uno de los ataques más sutiles y menos conocidos del universo del phishing. Una estafa que no te persigue con correos extraños ni enlaces sospechosos. Simplemente se esconde. Espera a que bajes la guardia. Y cuando lo haces, te clava el aguijón.

El tabnabbing no es ciencia ficción ni una rareza técnica. Es una forma de suplantación que se cuela entre nuestras propias rutinas digitales. Fue descrita por primera vez en 2010 por Aza Raskin, y desde entonces ha evolucionado en silencio, sin hacer ruido. Su truco es simple y brillante: aprovechar una pestaña inactiva de tu navegador para transformarla en algo distinto mientras tú no miras.
Sí, como en una novela de terror, la transformación ocurre mientras estás ocupado en otro lado. Tú crees que esa pestaña sigue mostrando la web que abriste hace un rato, pero el atacante ha usado un poco de JavaScript para cambiar su contenido: el título, el icono, el cuerpo completo de la página. Ahora es una réplica de Gmail, del portal de LexNet, del acceso a tu banco. Y tú no lo sabes.

Cuando vuelves a esa pestaña, confiado, y ves que te pide usuario y contraseña, lo haces casi por inercia. Porque es tuya. Porque la abriste tú. Pero ya no lo es.

Los navegadores modernos son junglas. No navegamos, acampamos en ellos. Dejamos pestañas abiertas como quien deja puertas entornadas. Y el tabnabbing se aprovecha de eso. No te ataca con spam, ni con archivos infectados. Solo necesita que seas descuidado con tus pestañas.

Y lo somos. En el mundo jurídico, más aún. ¿Quién no tiene abierto el correo del Consejo, la intranet del colegio, un PDF del BOE, y cinco enlaces más de jurisprudencia en CENDOJ? Lo hacemos todos. Y ahí, en medio del caos, una sola pestaña puede convertirse en caballo de Troya.

Lo más retorcido es que puede ocurrir incluso sin visitar una web maliciosa. Basta con que una página que abres contenga un enlace que lanza otra pestaña (target=»_blank», sin más). Si no está bien protegida, esa nueva pestaña puede modificar la original. A esto se le llama reverse tabnabbing, y ha sido detectado en webs de empresas de software jurídico y hasta en plataformas gubernamentales.

¿Y si el abogado eres tú?

Ahora imagina que no es tu cuenta de Gmail la que han robado. Es la cuenta de correo profesional del despacho. O el acceso al gestor de expedientes. O tu certificado digital. De ahí, el atacante salta a más: información de clientes, expedientes, números de cuenta, denuncias, testamentos, demandas. Un buffet libre de datos personales protegidos por el RGPD.

Y la ley no es piadosa con la ingenuidad. Según el artículo 32 del RGPD, los despachos están obligados a aplicar medidas técnicas y organizativas que garanticen la seguridad de los datos. Una brecha provocada por un ataque como el tabnabbing puede implicar una notificación obligatoria a la AEPD, en un plazo máximo de 72 horas, y la comunicación directa a los afectados si hay riesgo grave.

¿Te imaginas tener que explicarle a tu cliente que su divorcio, su denuncia por acoso, o la herencia que lleva años gestionando ha terminado en manos de un desconocido porque… dejaste una pestaña abierta?

Cómo blindarte (sin volverte paranoico)

La buena noticia es que el tabnabbing, aunque astuto, no es invencible. Solo necesita una cosa para triunfar: que no sepas que existe. Así que aquí va una vacuna en forma de consejos prácticos:

• Cierra lo que no usas. Pestañas incluidas. No es solo por orden: es por seguridad.
• Revisa siempre la URL. Antes de meter contraseñas, levanta la vista: ¿realmente estás en la web que crees?
• Activa el doble factor. Hoy día, no tenerlo es como dejar el coche abierto en el parking de noche.
• Usa un buen gestor de contraseñas. No solo te protege, también te avisa si una web intenta hacerse pasar por otra.
• Actualiza tu navegador. Las últimas versiones ya mitigan algunos vectores de este ataque.
• Formación, formación, formación. Desde el socio director hasta el becario, todos deben saber que esto existe.

Y por supuesto: si gestionas una web del despacho, asegúrate de que los enlaces externos abren en pestañas seguras (rel=»noopener»), y que no hay scripts que permitan inyectar contenido malicioso.

El derecho avanza. Los despachos se digitalizan. Las herramientas cambian, pero la responsabilidad permanece. Y cada vez está más claro que ejercer con rigor también implica entender los riesgos del entorno digital.

El tabnabbing es, en el fondo, una metáfora perfecta: una traición discreta, una grieta minúscula que se cuela por nuestras propias costumbres. Una amenaza que no se impone, sino que espera. Y como en tantos casos, basta con saber que existe para empezar a desactivarla.

Así que la próxima vez que vuelvas a una pestaña olvidada… mira dos veces. No sea que te devuelva una mirada extraña.