En la primera mitad de 2026, el panorama de amenazas cibernéticas ha mostrado una evolución significativa en las tácticas de los atacantes, quienes se están enfocando en mejorar la eficiencia y escalabilidad de sus operaciones. En lugar de adoptar métodos novedosos, los delincuentes están adaptando rápidamente las técnicas consolidadas a nuevas plataformas y comportamientos de los usuarios.
La inteligencia artificial (IA) se está convirtiendo en un componente clave de este desarrollo. ESET, durante su análisis de casi 900,000 habilidades de IA—pequeños componentes funcionales que utilizan los agentes de IA—identificó decenas de miles de instancias sospechosas y miles de muestras de actividad maliciosa. La cantidad de habilidades de IA en este nuevo ecosistema está creciendo de forma acelerada, ampliando así la superficie de ataque.
Un aspecto preocupante es la aparición de la IA dentro del malware. Tras el lanzamiento del primer ransomware impulsado por IA en 2025, ESET identificó PromptSpy, el primer malware para Android que utiliza IA generativa en su ejecución. Este malware emplea IA, específicamente la de Google llamada Gemini, para interpretar elementos de la interfaz de usuario y adaptarse a diferentes dispositivos y entornos sin depender de comportamientos predefinidos. Aunque este tipo de amenaza aún es raro, PromptSpy ejemplifica el potencial de mayor flexibilidad en futuros ataques, a pesar de que las medidas de protección incluidas en los modelos de lenguaje pueden estar ralentizando su adopción.
Otra técnica de ingeniería social, conocida como ClickFix, ha evolucionado recientemente para incluir páginas de ayuda temáticas de IA, extensiones de navegador y escenarios de autenticación en la nube, ampliando su alcance más allá de los falsos mensajes de error. Las detecciones de este método por parte de ESET se duplicaron entre la segunda mitad de 2025 y la primera de 2026, indicando una actividad sostenida que se adapta constantemente.
Las campañas de phishing también están evolucionando en respuesta al comportamiento de los usuarios. La phishing a través de códigos QR, conocida como «quishing», ha alcanzado niveles récord, con atacantes integrando enlaces maliciosos en estos códigos para eludir revisiones superficiales y fomentar la interacción del usuario en dispositivos móviles, aprovechando la confianza implícita que muchas personas depositan en estas imágenes bidimensionales.
Finalmente, la actividad de ransomware continúa en aumento, con el uso de herramientas diseñadas para desactivar el software de seguridad durante los ataques, conocidas como «EDR killers». ESET ha documentado más de 100 variantes de estas herramientas utilizadas en el entorno, con nuevos ejemplares surgiendo regularmente. Sin embargo, los datos sugieren que la proporción de víctimas que optan por pagar rescates está disminuyendo, lo que indica cierto progreso en las medidas de mitigación y respuesta a incidentes.
Este amplio estudio resalta la creciente complejidad de las amenazas actuales y la necesidad de que las organizaciones fortalezcan sus posturas de ciberseguridad ante un entorno cada vez más desafiante.
Fuente: WeLiveSecurity by eSet.
