Tabnabbing y clickjacking: los ataques de interfaz que nunca ves
Security & Privacy

Tabnabbing y clickjacking: los ataques de interfaz que nunca ves

Algunos ataques del navegador no necesitan malware. Reescriben tus pestañas mientras no las miras o esconden un botón debajo de uno falso, y eres tú quien entrega las credenciales o las aprobaciones. Así funcionan estos trucos de UI.

BROWSER.LOL
19.03.2026
20 min de lectura
Compartir

Tienes once pestañas abiertas. Una de ellas, la del extremo izquierdo, hace dos horas era una entrada de blog a medio escribir. Vuelves, ves el logo de siempre de Gmail y una pantalla de login en blanco que te pide con educación que inicies sesión otra vez. Escribes la contraseña y el código 2FA. Acto seguido la pestaña abre tu Gmail de verdad y no notas nada raro. Durante esas dos horas que no estuviste, la pestaña se reescribió a sí misma. Los atacantes ya tienen tus credenciales.

Tabnabbing y clickjacking están entre los ataques más silenciosos del navegador. No hace falta que pinches en ningún enlace sospechoso. Se aprovechan de que casi nunca vigilas las pestañas con atención y de que un sitio abierto en su propia pestaña inspira más confianza de la que merece. La técnica es vieja, los canales siguen abiertos en 2026 y la mayoría de los consejos de protección están pensados para quienes desarrollan, no para quienes usan.

Qué hace de verdad el tabnabbing

Dos pestañas de browser una al lado de la otra, la de la izquierda muestra una página incompleta, la de la derecha una página de login, con una flecha discontinua que va de izquierda a derecha

Una pestaña puede recargarse a sí misma incluso en segundo plano. No es una vulnerabilidad, es una capacidad pensada a propósito en el navegador. Si estás en una página esperando el aviso de un correo, quieres recibirlo aunque la pestaña no esté en primer plano. De ahí tira justo el tabnabbing.

El ataque va así. Entras en una página con pinta inofensiva, la dejas abierta y te pasas a otra pestaña. El script de la primera página detecta el cambio (con la Page Visibility API o un manejador de evento focus) y espera unos minutos. Luego cambia el título, el favicon y el HTML de la página. Lo que era un artículo pasa a parecer una pantalla de login de Google, Microsoft o GitHub.

Al volver te encuentras con una pantalla de login con aire conocido en una pestaña que abriste tú. La URL de la barra de direcciones sigue siendo la de la página original, pero casi nadie se molesta en mirarla. El formulario manda lo que escribes al atacante y después te redirige al Google de verdad, así que en el segundo intento piensas, sin más, que el primero falló.

Clickjacking: un botón, dos identidades

El clickjacking es otro truco de interfaz. El atacante mete una página legítima (por ejemplo, una para cambiar la contraseña o un formulario de «enviar dinero») dentro de un iframe invisible y la tapa con un cebo apetecible: «haz clic para ganar un premio». El usuario cree pinchar en el cebo, pero el clic cae en realidad sobre el botón auténtico de debajo. Para el navegador es un clic autorizado, porque técnicamente lo es.

El caso de manual: un botón de Like de Facebook metido en un iframe y tapado por un elemento de juego. Las víctimas le dan a Me gusta sin enterarse a una página que no han visto en su vida. La cosa se complica cuando el botón de debajo es el «Confirm» de una pantalla de consentimiento OAuth o el «Send transaction» de una app descentralizada. Ambos casos se han aprovechado en la práctica más de una vez.

Un botón con el texto 'Click here' y encima un overlay semitransparente de un segundo botón 'Win prize', ambos esquemáticos

Aquí quien tiene que defenderse son los administradores del sitio. La cabecera X-Frame-Options y frame-ancestors en la Content-Security-Policy impiden que otros sitios metan el sitio de confianza en un iframe. Las grandes plataformas lo tienen bien cubierto. Los sitios que no configuran la cabecera siguen siendo explotables, y los proyectos Web3 más recientes arrastran agujeros en este punto desde hace tiempo.

Reverse tabnabbing vía window.opener

Una técnica emparentada es el reverse tabnabbing. Una pestaña recién abierta tiene, a través de window.opener, acceso a la página que la abrió. Si un atacante consigue colar su enlace en tu sitio, desde la pestaña nueva puede redirigir la página original. Más tarde vuelves a ella y aterrizas en un clon de phishing del sitio en el que estabas en realidad.

La defensa es rel="noopener" en todos los enlaces externos. Los navegadores modernos ya lo aplican automáticamente a los enlaces que se abren en pestañas nuevas. Eso cierra el vector clásico, pero los foros y los sitios con contenido generado por los usuarios siguen siendo vulnerables si renderizan ese contenido sin cuidado.

Por qué estos ataques siguen vivos

Los ataques de interfaz tienen tres rasgos que los hacen duraderos. Primero, suelen ser pequeñas violaciones de convenciones, no de reglas técnicas. Reescribir una pestaña es una capacidad legítima del navegador, e incrustar un iframe también. Segundo, se apoyan en hábitos visuales y de contexto que los usuarios no vigilan, porque ni siquiera son conscientes de estar siguiendo convenciones.

Tercero, son baratos. Un tabnabber es un archivo HTML con unas pocas decenas de líneas de JavaScript. Los atacantes despliegan decenas de variantes en paralelo, las combinan con malvertising o abuso de SEO, y no pierden nada cuando alguna queda al descubierto.

11 %

de los 10.000 sitios más visitados no tienen ninguna protección frente a iframes

30 s

demora típica antes de que una pestaña en segundo plano se reescriba

4 años

desde el último bug público de tabnabbing conocido en una app grande

Qué puedes hacer hoy mismo

Los navegadores y los administradores de los sitios cargan con la mayor parte de la mitigación. Al usuario le bastan un par de hábitos para tapar el resto.

  1. 1

    Desconfía de las pantallas de login en pestañas inesperadas

    Si una pestaña te pide de repente un login que no esperabas, ciérrala. Vuelve a abrir el servicio desde un marcador.
  2. 2

    Revisa la URL en cada formulario de login

    La barra de direcciones sobrevive al tabnabbing. Una supuesta página de Gmail en un dominio raro se nota a la legua.
  3. 3

    Mantén las sesiones cortas

    Cuanto más tiempo permanezcan abiertas las pestañas, más posibilidades tienen de reescribirse. Para servicios sensibles, las pestañas que se quedan horas en segundo plano no son buena idea.
  4. 4

    Acciones críticas en su propia sesión aislada

    Cuando concedas un consentimiento OAuth, firmes transacciones o vincules cuentas, hazlo en una sesión donde no haya nada más en marcha en paralelo. Eso neutraliza todos los trucos de interfaz conocidos, porque no hay una segunda pestaña que se pueda manipular a tu lado.

Llévate un escritorio entero a cualquier dispositivo

Prueba Browser.lol gratis y trabaja como en un PC desde el móvil.

Abrir mi navegador en la nube

Sin descargas • Funciona en cualquier dispositivo

Más de 250 000 profesionales lo usan
Escritorio completo
Listo al momento

Últimos artículos

Todos los artículos
Canvas, WebGL y Audio: los tres fingerprints que sobreviven a cada reinicio del navegador
Seguridad y privacidad

Canvas, WebGL y Audio: los tres fingerprints que sobreviven a cada reinicio del navegador

Borrar cookies no les hace nada. Cómo se generan los hashes de canvas, las cadenas renderer de WebGL y las firmas de AudioContext, y por qué incluso Tor filtra uno.

17.05.2026Leer más
Wallet drainers Web3: cómo una sola firma vacía tu cripto
Seguridad y privacidad

Wallet drainers Web3: cómo una sola firma vacía tu cripto

Los wallet drainers no necesitan tu seed phrase. Te hacen firmar una transacción que entrega todo en un clic. Así funciona la estafa y así puedes firmar sin acabar limpio.

05.03.2026Leer más
Drive-by downloads: infectado sin hacer clic
Seguridad y privacidad

Drive-by downloads: infectado sin hacer clic

Abres una página y el ataque ya está en marcha. Los drive-by downloads explotan el browser en cuanto renderiza el sitio, sin clic, sin aviso, sin advertencia. Así funciona la cadena y así la cortas.

26.02.2026Leer más