Blog

En este momento estás viendo Tabnabbing: El ciberataque silencioso

Tabnabbing: El ciberataque silencioso

  • Autor de la entrada:
  • Categoría de la entrada:Seguridad

Intro

El Tabnabbing se lo entiende como un tipo de ciberataque silencioso que roba tus datos. En este artículo estaré tratando el tema desde dos puntos de vista, no técnico (por así decirlo) y técnico (basándome en el ISTQB STE), e incluiré un enlace a un Storybook que generé de este tema y que lo publiqué en LinkedIn.

Entrando en tema

En la lucha constante contra el cibercrimen, la mayoría de los usuarios se ha familiarizado con el término «phishing»: ese correo electrónico o mensaje que intenta engañarte con una falsa urgencia para que reveles tus datos. Sin embargo, el mundo de los ciberdelitos evoluciona a un ritmo vertiginoso, y los atacantes han desarrollado técnicas mucho más sutiles y difíciles de detectar. Una de las más ingeniosas es el «tabnabbing», un tipo de ataque que no te engaña con una mentira, sino que secuestra una de tus pestañas del navegador justo cuando menos lo esperas.

El tabnabbing es particularmente peligroso porque no se basa en un error de ortografía en una URL o en una interfaz mal diseñada. En cambio, explota la confianza que tienes en tu propio navegador y tu hábito de multitarea.

¿Qué es el Tabnabbing?

El término «tabnabbing» es una combinación de dos palabras en inglés: «tab» (pestaña) y «nabbing» (secuestrar o robar). En su esencia, el tabnabbing es una técnica de phishing que permite a un atacante cambiar silenciosamente el contenido de una pestaña del navegador que tienes abierta en segundo plano.

El escenario típico es el siguiente: estás navegando por la web y haces clic en un enlace que abre una nueva pestaña. Mientras sigues trabajando en la pestaña principal, la pestaña recién abierta, que parece inofensiva o simplemente está cargando, detecta que no es la que está activa. En ese preciso momento, un script malicioso cambia su contenido.

El cambio es sutil pero devastador. La página se transforma para imitar perfectamente una página de inicio de sesión de un servicio popular y de confianza que podrías tener abierto en otra pestaña (como tu banco, un servicio de correo electrónico o una red social). Cuando regresas a esa pestaña, en lugar de la página original que creías que estaba allí, te encuentras con un formulario falso. Sin sospechar, ingresas tus credenciales y, en un instante, tus datos han sido robados.

La metodología del engaño: ¿Cómo ocurre este ataque?

El tabnabbing no es un ataque que sucede por casualidad; siempre se origina a través de vectores de ataque específicos que se aprovechan de nuestra confianza.

  • Phishing por correo electrónico: Este es el vector de ataque más común. Un correo electrónico malicioso te incita a hacer clic en un enlace que te lleva a una página web controlada por el atacante. Esta página se abre en una nueva pestaña y ejecuta el código de tabnabbing. El usuario, que ya tiene otras pestañas abiertas, no presta atención a la nueva pestaña en segundo plano, permitiendo que el ataque se desarrolle en silencio.
  • Publicidad maliciosa (Malvertising): En un ataque de malvertising, los ciberdelincuentes compran espacio publicitario en sitios web legítimos. El anuncio, aparentemente inofensivo, contiene código malicioso que se ejecuta al hacer clic. Este código puede abrir la pestaña maliciosa y dar inicio al ataque, aprovechándose de la confianza que tienes en el sitio que estás visitando.
  • Sitios web comprometidos: Un sitio web legítimo pero con vulnerabilidades de seguridad puede ser comprometido. Los atacantes inyectan código JavaScript malicioso en el sitio para que cada vez que un usuario haga clic en un enlace interno o simplemente cargue la página, se inicie el ataque de tabnabbing en una pestaña en segundo plano.

La clave técnica detrás del tabnabbing es la manipulación de la propiedad window.opener en JavaScript. Este comando permite que una página en segundo plano «interactúe» con la página que la abrió, permitiendo que la pestaña secundaria reescriba la URL y el contenido de la pestaña original, engañando al usuario de forma muy eficaz.

¿Por qué es una amenaza en el móvil? La vulnerabilidad en la palma de tu mano

Si bien el tabnabbing fue inicialmente un problema de desktop, hoy en día es una amenaza aún mayor en dispositivos móviles. La razón es simple: la interfaz de usuario.

En un teléfono o tablet, la navegación es muy diferente. Solo ves una pestaña a la vez y para cambiar, tienes que usar un botón o gesto que te muestra una vista en miniatura de todas las pestañas abiertas. Esto hace que sea mucho más difícil notar que una pestaña se ha recargado y ha cambiado su contenido. La falta de visibilidad constante de las pestañas en un celular, combinada con la tendencia de los usuarios a navegar con menos escrutinio, crea el entorno perfecto para que este tipo de ataques pasen desapercibidos.

El escudo de la vigilancia: Cómo evitar ser víctima

La buena noticia es que, aunque el tabnabbing es un ataque sofisticado, la defensa es sorprendentemente simple. No se trata de instalar un software complicado, sino de adoptar una serie de hábitos mentales y de herramientas.

1. El Prompt de la URL: tu primera línea de defensa Antes de ingresar cualquier dato, ya sea en un computador o en tu celular, haz una pausa de un segundo y revisa la barra de direcciones del navegador. Asegúrate de que la URL es exactamente la que esperas ver y que comienza con https://.

2. Usa un gestor de contraseñas Un gestor de contraseñas es tu mejor aliado. Estas herramientas no solo guardan tus credenciales de forma segura, sino que también actúan como una alerta temprana. Un gestor de contraseñas solo autocompletará tu información en las URLs correctas. Si llegas a una página que se ve idéntica a la de tu banco pero tu gestor de contraseñas no se activa, es una señal inequívoca de que estás en un sitio falso.

3. Sé Consciente de tus fuentes Sé cauteloso con los enlaces que abres, especialmente si provienen de correos electrónicos no solicitados, mensajes de texto o anuncios sospechosos. Es mucho más seguro abrir una nueva pestaña y escribir la dirección del sitio web manualmente.

4. Limpia tus pestañas Desarrolla el hábito de cerrar las pestañas que ya no necesitas. Mientras menos pestañas tengas abiertas, menor será tu superficie de ataque y más fácil será detectar cualquier comportamiento inusual.

En conclusión, el tabnabbing es una amenaza real que se esconde a plena vista. Presta atención a los detalles, utiliza las herramientas adecuadas y adopta un enfoque proactivo en tu seguridad. Al hacerlo, te convertirás en un usuario mucho más seguro y difícil de engañar. ¡Comparte esta información para ayudar a otros a protegerse!

Relación de tabnabbing con el programa de estudios ISTQB-STE

El tabnabbing es un ataque de phishing avanzado que explota el comportamiento de los navegadores para manipular el contenido de una pestaña inactiva y engañar al usuario, llevándolo a entregar sus credenciales en un formulario falso. Este escenario se conecta directamente con varios conceptos abordados en el programa de estudios ISTQB-STE:

  1. Confidencialidad como pilar de seguridad (CIA triad)
    El objetivo principal del tabnabbing es robar credenciales, lo cual representa una pérdida de confidencialidad. En el syllabus (Capítulo 1.1.1 – Activos y su nivel de protección correspondiente), se establece que los activos de alta sensibilidad, como credenciales de acceso, requieren un nivel de protección elevado. La prueba de seguridad debe garantizar que el acceso no autorizado esté bloqueado.
  2. Escenarios comunes de ataque
    El tabnabbing se clasifica como un escenario de ataque común donde se explota la confianza del usuario y la manipulación del DOM a través de JavaScript. El syllabus lo incluye en Capítulo 5.3.1 – Escenarios de ataque comunes, donde se espera que el candidato sea capaz de analizar un ataque y sus implicaciones para las pruebas de seguridad.
  3. Prueba de identificación, autenticación y autorización
    Este ataque apunta a suplantar sistemas de autenticación. En el syllabus (Capítulo 2.2.3), se estudia cómo diseñar pruebas para validar que los mecanismos de autenticación sean resistentes frente a intentos de phishing o manipulación de sesión. Un ingeniero de pruebas de seguridad debe verificar que el sistema implemente medidas como tokens antifraude, MFA (multi-factor authentication) y protección contra scripts maliciosos.
  4. Buenas prácticas y estándares
    La mitigación del tabnabbing también está alineada con estándares y guías como OWASP (Capítulo 4.2.1 – Estándares industriales para la prueba de seguridad). OWASP alerta sobre ataques de phishing en navegadores y recomienda configuraciones como rel="noopener noreferrer" en enlaces externos para prevenir manipulaciones con window.opener.
  5. Conciencia del usuario y educación en seguridad
    Finalmente, aunque las medidas técnicas son fundamentales, el syllabus resalta la necesidad de un enfoque integral. En Capítulo 7 – Prueba de seguridad como parte de un SGSI, se establece que los resultados de las pruebas deben retroalimentar los procesos de concienciación, porque un usuario entrenado es una defensa crítica contra ataques como el tabnabbing.

En conclusión, el ataque de tabnabbing puede mapearse en el ISTQB-STE en al menos cuatro áreas clave:

  • Confidencialidad de activos sensibles (Cap. 1.1.1).
  • Análisis de escenarios de ataque comunes (Cap. 5.3.1).
  • Pruebas de identificación y autenticación (Cap. 2.2.3).
  • Aplicación de estándares y buenas prácticas de seguridad (Cap. 4.2.1, OWASP).

Esto muestra cómo una situación que estamos viviendo nos permite entrenar la capacidad de análisis aplicada que se espera de un candidato ISTQB-STE.

Etiquetas: , , ,

Gus Terrera

Apasionado por el agile testing y la ia.