En el primer semestre de 2025, se ha registrado más de 5.100 ataques de ransomware a nivel global, con 96 grupos activos y unas pérdidas económicas estimadas en más de 813 millones de dólares. Así lo recoge el nuevo ESET Threat Report H1 2025, que detalla las ciberamenazas y tendencias observadas por la compañía desde diciembre de 2024 hasta junio de 2025, basándose en la telemetría de ESET y en la experiencia de sus expertos.
Los resultados, presentados por Josep Albors, director de investigación y comunicación de ESET España, durante un webinar celebrado el día 1 de julio, destacan que los ataques de ransomware también han aumentado en complejidad y volumen en España, afectando especialmente a pequeñas y medianas empresas. A esto se suma la alta actividad de infostealers y el ascenso meteórico de técnicas de ingeniería social como ClickFix. En conjunto, estos factores han situado a España como el segundo país del mundo con mayor número de amenazas detectadas, solo por detrás de Japón, según datos de ESET.
“En estos primeros seis meses de 2025, España se ha consolidado como uno de los principales objetivos para la ciberdelincuencia a nivel mundial. Vemos cómo técnicas como el phishing siguen siendo las más comunes, pero también cómo nuevas amenazas, como ClickFix, están ganando terreno rápidamente. Además, las cifras de ransomware son preocupantes: las pymes españolas están siendo atacadas de forma sistemática, con un fuerte impacto económico y reputacional”, explica Albors. “La estacionalidad de los ataques, su evolución técnica y la creciente explotación del entorno móvil nos obligan a redoblar los esfuerzos en prevención y educación digital”, añade el portavoz.
El phishing lidera el ranking de
amenazas en un semestre marcado por la estacionalidad
El análisis de los datos de telemetría de ESET refleja cómo la actividad de los ciberataques en España varía considerablemente según el calendario laboral y festivo. Se detectan incrementos significativos con el inicio de la campaña navideña. En cambio, los periodos de descanso, como el inicio de año o los festivos de Semana Santa y mayo, muestran un descenso acusado en las detecciones. Este patrón responde tanto a la menor exposición de los usuarios como a la actividad reducida de ciertos actores de amenazas, especialmente aquellos procedentes de países donde se siguen calendarios festivos según la religión ortodoxa.
En cuanto a los tipos de amenazas más
detectadas en España durante el primer semestre de 2025, el phishing vuelve
a encabezar el ranking, concentrando el 20 % del total de alertas
registradas. Además, desde ESET España explican que resulta especialmente
preocupante la presencia en el top 10 de amenazas que explotan vulnerabilidades
antiguas de Microsoft Office, lo que pone en evidencia la baja aplicación de
parches y actualizaciones en numerosos sistemas aún en uso en el país.
ClickFix, la amenaza emergente que escala posiciones
Una de las principales revelaciones del informe es el crecimiento del malware distribuido a través de ClickFix, una técnica de engaño que utiliza falsos errores de sistema y CAPTCHA para inducir a los usuarios a ejecutar comandos maliciosos. Esta amenaza ha crecido un 517 % en apenas seis meses, y ya representa el segundo vector de ataque más común en España, solo por detrás del phishing.
ClickFix afecta a todos los sistemas operativos (Windows, Linux y macOS), y ha sido adoptado tanto por ciberdelincuentes como por grupos APT vinculados a gobiernos, incluyendo actores norcoreanos.
Snake Keylogger: el infostealer que lidera el ranking
Tras la caída de Agent Tesla, Snake Keylogger se ha posicionado como el infostealer más detectado por ESET en España, representando el 20 % de todas las detecciones de este tipo de malware. Su propagación se ha visto impulsada por campañas de correo electrónico malicioso que suplantan a empresas y organismos oficiales.
España es el tercer país del mundo con más detecciones de Snake Keylogger, solo por detrás de Turquía y Japón. Este malware permite a los atacantes robar contraseñas, credenciales, datos del portapapeles y otra información sensible.
Ransomware: crecimiento del número de grupos y cambio de protagonistas
El ransomware sigue siendo una de las amenazas más críticas. A nivel global, los 5.100 ataques registrados se atribuyen a 96 grupos activos, muchos de los cuales se dirigen específicamente a pequeñas y medianas empresas. Aunque el número de incidentes ha aumentado un 15 %, el valor total de los rescates pagados ha descendido un 35 %, lo que podría reflejar una mejora en las defensas o una mayor disuasión por parte de las víctimas.
El informe también detecta una transición en el liderazgo del ransomware, con grupos como RansomHub o DragonForce tomando el relevo de LockBit y BlackCat tras sus recientes desarticulaciones.
Amenazas móviles y criptoscams al alza
En el entorno móvil, se ha observado un incremento del 160 % en detecciones de adware en Android, destacando el papel de la amenaza Kaleidoscope, que utiliza versiones duplicadas de apps populares para engañar al usuario.
Asimismo, los ataques mediante tecnología NFC han crecido de forma exponencial, pasando de ser marginales a representar una amenaza creciente a nivel global. También han ganado peso las estafas relacionadas con inversiones fraudulentas en criptomonedas, que han usado como gancho a figuras públicas para difundir contenido engañoso.
“Durante el primer semestre de 2025, España ha experimentado un incremento notable en la actividad cibercriminal. Hemos visto cómo amenazas ya conocidas, como el phishing o el ransomware, conviven con técnicas emergentes como ClickFix y con una alta circulación de infostealers, lo que configura un escenario especialmente complejo y dinámico. Desde ESET, insistimos en la importancia de reforzar las medidas de seguridad tanto en el ámbito corporativo como en el doméstico, manteniendo los sistemas actualizados y promoviendo una educación digital continua como principales barreras de protección frente a este tipo de amenazas”, concluye Josep Albors.
Para obtener más información, descarga el ESET Threat Report H1 2025 en WeLiveSecurity.com.