El informe ESET Threat Report H2 2025, elaborado con datos de telemetría recogidos entre junio y noviembre, dibuja un panorama en el que las técnicas cambian, pero los vectores básicos se mantienen. Aunque España ha salido del podio de países más atacados en términos generales y se sitúa en cuarta posición global, el ransomware sigue teniendo un peso elevado en el país, solo por detrás de Estados Unidos.
El dato es relevante por su impacto directo en la actividad económica. Los sectores más afectados han sido el tecnológico, los servicios empresariales y la industria manufacturera, tres ámbitos con alta dependencia de sistemas digitales. A escala mundial, el número de víctimas superó las cifras de 2024 antes de cerrar el año, con una previsión de crecimiento interanual del 40%, impulsado por grupos que operan bajo el modelo de ransomware como servicio y por el uso de herramientas para evadir los sistemas de detección corporativos.
La IA entra en el malware, pero el engaño sigue mandando
Uno de los hallazgos más llamativos del semestre es la identificación de PromptLock, una prueba de concepto de ransomware capaz de generar y corregir scripts maliciosos en tiempo real con ayuda de IA. Aunque su presencia todavía es limitada, el informe lo sitúa como un punto de inflexión técnico, al mostrar que la automatización puede extenderse también a la fase de ejecución del ataque.
Sin embargo, el uso principal de la inteligencia artificial por parte de los delincuentes sigue concentrándose en la ingeniería social. Las campañas de phishing, los deepfakes y las estafas con apariencia legítima continúan siendo la vía más eficaz para iniciar infecciones o fraudes. En España, el phishing representó cerca del 20% de todas las detecciones, lo que confirma su papel central en el ecosistema de amenazas.
El informe señala además el crecimiento de las estafas de inversión falsas, con páginas que imitan a medios de comunicación y mensajes que prometen beneficios rápidos, en muchos casos apoyados en imágenes o vídeos generados con IA y en la suplantación de figuras públicas. Aunque en el segundo semestre se observó una ligera reducción, el volumen acumulado sigue siendo alto y mantiene una presión constante sobre los usuarios.
Ransomware e infostealers: rotación rápida y mismas tácticas
En el ámbito del ransomware, los atacantes continúan explotando debilidades conocidas, como sistemas sin parches o accesos expuestos a internet. A ello se suma el uso de herramientas diseñadas para desactivar soluciones de seguridad, lo que refuerza la necesidad de medidas básicas de protección que, según el informe, todavía no están generalizadas en muchas organizaciones.
Paralelamente, el ecosistema de los infostealers muestra una rotación acelerada. La disrupción de Lumma Stealer en mayo de 2025 provocó una caída del 86% en sus detecciones durante el segundo semestre, pero su espacio fue ocupado por otras familias. En España, destaca el aumento de Vidar y el crecimiento de descargadores y scripts maliciosos como CloudEyE (GuLoader), cuyas detecciones se multiplicaron en pocos meses.
Estas amenazas llegan, en la mayoría de los casos, a través de correos que simulan facturas, documentos PDF o comunicaciones de marcas conocidas. La técnica no es nueva, pero sigue siendo eficaz. El informe subraya que también persisten ataques que explotan vulnerabilidades antiguas de Microsoft Office, lo que apunta a deficiencias en la gestión de actualizaciones tanto en empresas como en entornos domésticos.
Amenazas móviles y NFC, un frente en expansión
Otro de los focos del semestre es el aumento de ataques que abusan de la tecnología NFC. Las detecciones de este tipo de malware crecieron un 87% en 2025, impulsadas por campañas que combinan suplantación de entidades bancarias, ingeniería social y nuevas capacidades técnicas. Entre ellas figuran el robo de contactos, la desactivación de sistemas biométricos o funciones de control remoto.
Aunque en España estas amenazas aún no son mayoritarias, el informe advierte de su potencial de impacto, dado el uso extendido del móvil para pagos y gestiones personales. La tendencia apunta a una mayor integración de técnicas de fraude en dispositivos que concentran identidad, comunicaciones y acceso financiero.
De cara a 2026, el informe prevé que la automatización mediante IA permita escalar campañas de engaño, mientras que muchas organizaciones seguirán incorporando servicios en la nube y herramientas de IA sin controles de seguridad suficientes, lo que ampliará la superficie de ataque. En ese contexto, el valor informativo del informe no está solo en las cifras, sino en el mensaje central: la mayoría de los incidentes graves siguen apoyándose en fallos básicos de protección, pese a la sofisticación creciente de algunas herramientas.
