El informe ESET Threat Report H2 2025, basado en datos recogidos entre junio y noviembre, describe un cambio en las técnicas de los atacantes y una presión creciente sobre empresas y usuarios. Aunque España ha salido del podio de países más atacados en términos generales, ocupa la cuarta posición mundial en volumen total de detecciones y escala hasta el segundo puesto en ransomware, con un 5% de los casos globales. Solo Estados Unidos registra más actividad en este tipo de ataques.
Los sectores más afectados en el país han sido el tecnológico, los servicios empresariales y la industria manufacturera, áreas con alta dependencia de sistemas críticos y cadenas de suministro digitales. A escala global, el número de víctimas de ransomware superó las cifras de 2024 antes de terminar el año, con previsiones de crecimiento interanual cercanas al 40%. El modelo de ransomware como servicio mantiene su peso, apoyado en herramientas para desactivar defensas y facilitar el acceso a redes corporativas.
Índice de temas
La IA entra en la fase operativa del malware
Uno de los hallazgos más relevantes del informe es PromptLock, una prueba de concepto de ransomware que utiliza inteligencia artificial para generar y corregir scripts maliciosos en tiempo real. No se trata aún de una amenaza extendida, pero sí de una señal de que la IA ya no es solo un apoyo en la preparación de fraudes, sino que empieza a integrarse en la ejecución técnica del ataque.
Pese a este avance, el principal uso de la IA por parte de los delincuentes sigue concentrado en la ingeniería social. Durante 2025 crecieron las estafas que emplean contenidos generados con IA, deepfakes y suplantación de identidades para ganar credibilidad. Las falsas inversiones asociadas a la familia HTML/Nomani aumentaron un 62% interanual a nivel global, aunque con una leve caída en el segundo semestre.
En España se detectaron campañas que utilizan la imagen de figuras públicas para atraer a las víctimas hacia webs que imitan medios legítimos y prometen beneficios rápidos con criptomonedas. El objetivo es obtener datos personales y financieros, o facilitar la descarga de software malicioso.
Phishing persistente y rotación de infostealers
El phishing se mantiene como la amenaza más detectada en España, con cerca del 20% del total de casos. Las campañas siguen recurriendo a facturas falsas, documentos PDF y marcas conocidas, un formato que conserva altas tasas de éxito. Junto a ello, persisten ataques que explotan vulnerabilidades antiguas de Microsoft Office, lo que apunta a deficiencias en la aplicación de parches en entornos empresariales.
El ecosistema de los infostealers mostró una rápida rotación. Tras la disrupción de Lumma Stealer en mayo de 2025, sus detecciones cayeron un 86% en el segundo semestre y su actividad quedó casi residual. En su lugar, ganaron presencia nuevas familias como Vidar, junto a descargadores y scripts maliciosos. Destaca el caso de CloudEyE (GuLoader), cuyas detecciones se multiplicaron casi por treinta en la segunda mitad del año.
Este movimiento refleja una capacidad de adaptación constante de los grupos criminales, que reemplazan herramientas cuando dejan de ser eficaces o son desmanteladas por operaciones policiales.
Amenazas móviles y abuso de NFC
El informe de ESET también subraya el crecimiento de las amenazas en dispositivos móviles, en especial las que abusan de la tecnología NFC. Las detecciones de este tipo de malware aumentaron un 87% entre semestres en 2025. Aunque en España aún no son mayoritarias, los analistas advierten de su potencial por combinar suplantación bancaria, robo de contactos, desactivación de biometría y control remoto del dispositivo.
Este vector resulta relevante por su vinculación con pagos y accesos físicos, lo que amplía el impacto más allá del fraude digital. La tendencia sugiere que los ataques móviles se integrarán en campañas híbridas, donde el engaño inicial se produce por mensajes o llamadas y el paso final se ejecuta desde el teléfono.
De cara a 2026, las previsiones apuntan a una mayor automatización de ataques con apoyo de IA, sobre todo en estafas y suplantaciones, mientras muchas organizaciones incorporan estas tecnologías en la nube sin controles de seguridad suficientes. En paralelo, el ransomware seguirá explotando debilidades conocidas, como sistemas sin actualizar o accesos expuestos, apoyado en herramientas para eludir defensas.
El panorama dibuja un entorno en el que la sofisticación técnica convive con fallos básicos de protección, y donde la rapidez para corregir vulnerabilidades y formar a los usuarios sigue siendo un factor decisivo para reducir el impacto de las campañas más comunes.
