ESET, empresa referente en el ámbito de la ciberseguridad, ha dado a conocer su informe más reciente sobre amenazas, ESET Threat Report H2 2025, en el que advierte de una evolución significativa en las estrategias de los ciberdelincuentes. Entre las principales tendencias detectadas destacan el empleo de inteligencia artificial para automatizar procesos vinculados al malware —como demuestra el hallazgo de PromptLock— y el aumento de ataques que aprovechan la tecnología NFC, cuyas detecciones se incrementaron un 87 % durante la segunda mitad de 2025.
En este escenario, España ha abandonado por primera vez en los últimos años el grupo de los tres países más atacados, aunque continúa ocupando el cuarto puesto a nivel mundial, por detrás de Japón, Turquía y Polonia.
Según explica Josep Albors, director de investigación y concienciación de ESET España, “en el ámbito del ransomware, nuestro país se sitúa en segunda posición, concentrando el 5 % del total de detecciones, solo por detrás de Estados Unidos, que alcanza el 17 %, y por delante de países como Francia, Italia o Canadá”. Albors añade que los sectores más castigados en España han sido el tecnológico, los servicios empresariales y la industria manufacturera.
A escala global, el informe refleja que el número de víctimas de ransomware superó las cifras registradas en 2024 antes de que concluyera el año, con una previsión de crecimiento interanual cercana al 40 %. Además, grupos como Akira y Qilin reforzaron su liderazgo en el modelo de ransomware como servicio, mientras continuó expandiéndose el uso de herramientas conocidas como EDR killers, diseñadas para eludir los sistemas de defensa de las organizaciones.
La IA pasa de la teoría a la práctica en el malware
Uno de los hitos más relevantes del informe es el descubrimiento de PromptLock, la primera prueba de concepto conocida de ransomware impulsado por IA para generar scripts maliciosos en tiempo real, ejecutarlos y corregirlos automáticamente si fallan. Aunque por ahora este tipo de malware sigue siendo minoritario, marca un punto de inflexión y confirma una predicción que ESET lleva años realizando.
Aun así, los expertos aclaran que el uso principal de la IA por parte de los ciberdelincuentes sigue estando en la ingeniería social, con campañas de phishing, deepfakes y estafas cada vez más creíbles.
En este sentido, las estafas de inversión falsas, identificadas por ESET como HTML/Nomani, crecieron un 62% interanual a nivel global, aunque en el segundo semestre de 2025 se observó una ligera reducción.
En España, los investigadores han detectado campañas que utilizan la imagen de figuras públicas para dar credibilidad a este tipo de fraudes, apoyándose en vídeos y contenidos generados con IA. Estas campañas dirigen a los usuarios a webs que imitan a medios de comunicación legítimos y prometen beneficios rápidos con inversiones en criptomonedas.
Infostealers: cae Lumma, surgen nuevos protagonistas
La disrupción global de Lumma Stealer en mayo de 2025 fue uno de los grandes acontecimientos del año. Aunque el malware logró reaparecer brevemente durante el verano, sus detecciones cayeron un 86% en el segundo semestre, quedando su actividad prácticamente residual a final de año.
Sin embargo, el ecosistema de los infostealers es muy dinámico. En España, ESET ha observado un aumento del protagonismo de familias como Vidar, así como un crecimiento notable de descargadores y scripts maliciosos, especialmente CloudEyE (GuLoader), cuyas detecciones se multiplicaron casi por treinta en la segunda mitad del año.
Estas amenazas llegan principalmente a través de campañas de phishing que suplantan facturas, documentos PDF o marcas conocidas, una técnica que sigue demostrando una alta eficacia. De hecho, durante el segundo semestre de 2025, el phishing sigue siendo, con diferencia, la amenaza más detectada en España, representando cerca del 20% del total de detecciones.
“Que el phishing siga siendo la amenaza más detectada en nuestro país refleja que estas campañas de engaño continúan siendo muy eficaces, especialmente cuando suplantan facturas, documentos o marcas conocidas”, explica Albors. “Además, en el ranking siguen figurando amenazas que explotan vulnerabilidades antiguas de Microsoft Office, una señal de que las políticas de actualización y aplicación de parches continúan siendo una asignatura pendiente en muchas organizaciones. También resulta significativo el descenso de técnicas como ClickFix, muy utilizadas en la primera mitad del año, en línea con la caída de la actividad de algunos de los infostealers que más las empleaban”.
Amenazas móviles y NFC: un nuevo frente en crecimiento
El informe también pone el foco en el crecimiento de las amenazas móviles, especialmente aquellas que abusan de la tecnología NFC. Según la telemetría de ESET, las detecciones de malware NFC aumentaron un 87% entre el primer y el segundo semestre de 2025.
En España, estas amenazas todavía no son mayoritarias, pero los expertos advierten de su alto potencial de impacto, ya que combinan ingeniería social avanzada, suplantación de entidades bancarias y nuevas funcionalidades, como el robo de contactos, la desactivación de la biometría o la integración de capacidades de control remoto.
“De cara a 2026, prevemos que los ciberdelincuentes utilizarán la IA para automatizar y escalar ataques, especialmente en campañas de ingeniería social, mientras que muchas organizaciones integrarán estas tecnologías en la empresa y la nube sin los controles de seguridad adecuados, ampliando así la superficie de ataque”, explica Albors. “Aunque veremos más malware generado con IA, el ransomware seguirá creciendo apoyándose en debilidades tradicionales como sistemas sin parchear o accesos expuestos, con el uso continuado de EDR killers. A esto se suma una mayor profesionalización del cibercrimen, con bots de IA utilizados para fraude, desinformación y estafas, una colaboración más estrecha entre actores estatales y delincuentes, y un aumento de los ataques a sectores estratégicos como el de los drones, en un panorama que podría verse alterado por futuras operaciones policiales”.
