En ESET, compañía líder en ciberseguridad, hemos publicado el último informe de amenazas, ESET Threat Report H2 2025, en el que se puede ver un cambio relevante en la forma en la que operan los ciberdelincuentes: el uso de inteligencia artificial para automatizar procesos relacionados con el malware, ejemplificado por el descubrimiento de PromptLock, y la expansión de ataques que abusan de la tecnología NFC, cuyas detecciones crecieron un 87% en la segunda mitad de 2025.
En este contexto, España ha salido, por primera vez en los últimos años, del podio de los países más atacados, aunque se mantiene en una cuarta posición a nivel mundial, superado por Japón, Turquía y Polonia.
Josep Albors, director de Investigación y Concienciación de ESET España. “Los sectores más afectados en nuestro país han sido el tecnológico, los servicios empresariales y la industria manufacturera”.
A nivel global, el informe señala que el número de víctimas de ransomware superó las cifras de 2024 antes de finalizar el año, con previsiones de un crecimiento interanual del 40%. Grupos como Akira y Qilin consolidaron su dominio del modelo de ransomware como servicio, mientras que el uso de herramientas conocidas como EDR killers siguió proliferando para tratar de evadir las defensas de las organizaciones.
La IA pasa de la teoría a la práctica en el malware
Uno de los hitos más relevantes del informe es el descubrimiento de PromptLock, la primera prueba de concepto conocida de ransomware impulsado por IA para generar scripts maliciosos en tiempo real, ejecutarlos y corregirlos automáticamente si fallan. Aunque por ahora este tipo de malware sigue siendo minoritario, marca un punto de inflexión y confirma una predicción que desde ESET llevamos años realizando.
Aun así, los expertos aclaran que el uso principal de la IA por parte de los ciberdelincuentes sigue estando en la ingeniería social, con campañas de phishing, deepfakes y estafas cada vez más creíbles.
En este sentido, las estafas de inversión falsas, identificadas por ESET como HTML/Nomani, crecieron un 62% interanual a nivel global, aunque en el segundo semestre de 2025 se observó una ligera reducción.
En España, los investigadores han detectado campañas que utilizan la imagen de figuras públicas para dar credibilidad a este tipo de fraudes, apoyándose en vídeos y contenidos generados con IA. Estas campañas dirigen a los usuarios a webs que imitan a medios de comunicación legítimos y prometen beneficios rápidos con inversiones en criptomonedas.
Infostealers: cae Lumma, surgen nuevos protagonistas
La disrupción global de Lumma Stealer en mayo de 2025 fue uno de los grandes acontecimientos del año. Aunque el malware logró reaparecer brevemente durante el verano, sus detecciones cayeron un 86% en el segundo semestre, quedando su actividad prácticamente residual a final de año.
Sin embargo, el ecosistema de los infostealers es muy dinámico. En España, ESET ha observado un aumento del protagonismo de familias como Vidar, así como un crecimiento notable de descargadores y scripts maliciosos, especialmente CloudEyE (GuLoader), cuyas detecciones se multiplicaron casi por treinta en la segunda mitad del año.
Estas amenazas llegan
principalmente a través de campañas de phishing que suplantan facturas,
documentos PDF o marcas conocidas, una técnica que sigue demostrando una alta
eficacia. De hecho, durante el segundo semestre de 2025, el phishing sigue
siendo, con diferencia, la amenaza más detectada en España, representando cerca
del 20% del total de detecciones.
“Que el phishing siga siendo la amenaza más detectada en
nuestro país refleja que estas campañas de engaño continúan siendo muy
eficaces, especialmente cuando suplantan facturas, documentos o marcas
conocidas”, explica Albors.
“Además, en el ranking siguen figurando amenazas que explotan
vulnerabilidades antiguas de Microsoft Office, una señal de que las políticas
de actualización y aplicación de parches continúan siendo una asignatura
pendiente en muchas organizaciones. También resulta significativo el descenso
de técnicas como ClickFix, muy utilizadas en la primera mitad del año, en línea
con la caída de la actividad de algunos de los infostealers que más las
empleaban”.
Amenazas móviles y NFC: un nuevo frente en crecimiento
El informe también pone el foco en el crecimiento de las amenazas móviles, especialmente aquellas que abusan de la tecnología NFC. Según la telemetría de ESET, las detecciones de malware NFC aumentaron un 87% entre el primer y el segundo semestre de 2025.
En España, estas amenazas todavía no son mayoritarias, pero los expertos advierten de su alto potencial de impacto, ya que combinan ingeniería social avanzada, suplantación de entidades bancarias y nuevas funcionalidades, como el robo de contactos, la desactivación de la biometría o la integración de capacidades de control remoto.
“De cara a 2026, prevemos que los ciberdelincuentes utilizarán la IA para automatizar y escalar ataques, especialmente en campañas de ingeniería social, mientras que muchas organizaciones integrarán estas tecnologías en la empresa y la nube sin los controles de seguridad adecuados, ampliando así la superficie de ataque”, explica Albors. “Aunque veremos más malware generado con IA, el ransomware seguirá creciendo apoyándose en debilidades tradicionales como sistemas sin parchear o accesos expuestos, con el uso continuado de EDR killers. A esto se suma una mayor profesionalización del cibercrimen, con bots de IA utilizados para fraude, desinformación y estafas, una colaboración más estrecha entre actores estatales y delincuentes, y un aumento de los ataques a sectores estratégicos como el de los drones, en un panorama que podría verse alterado por futuras operaciones policiales”.