Durante el segundo semestre de 2025, España se consolidó como el segundo país con más detecciones de ransomware a nivel global, solo por detrás de Estados Unidos. Así lo recoge el informe ESET Threat Report H2 2025, publicado por la firma de ciberseguridad ESET a partir de datos de telemetría recopilados entre junio y noviembre del pasado año. El documento también alerta sobre el uso incipiente de inteligencia artificial en la creación de malware y el crecimiento sostenido de amenazas móviles, especialmente aquellas que explotan la tecnología NFC.
Aunque España descendió al cuarto puesto en el ranking general de países más atacados —superada por Japón, Turquía y Polonia—, el ransomware mantiene una presencia especialmente intensa. Según Josep Albors, director de investigación y concienciación de ESET España, el 5% de todas las detecciones globales de este tipo de malware se produjeron en territorio español. Los sectores más afectados fueron el tecnológico, los servicios empresariales y la industria manufacturera.
El informe señala que el número de víctimas de ransomware a nivel mundial ya había superado las cifras de 2024 antes de finalizar el año, con una previsión de crecimiento interanual del 40%. Grupos como Akira y Qilin consolidaron su dominio del modelo ransomware-as-a-service, mientras que el uso de herramientas diseñadas para evadir sistemas de detección —conocidas como EDR killers— se mantuvo como una técnica habitual.
Uno de los elementos más llamativos del informe es el descubrimiento de PromptLock, la primera prueba de concepto conocida de ransomware que utiliza inteligencia artificial para generar y ejecutar scripts maliciosos en tiempo real. Aunque su impacto práctico todavía es limitado, su aparición marca un punto de inflexión en la evolución del malware. La automatización de procesos maliciosos mediante IA, hasta ahora una hipótesis, empieza a materializarse en entornos reales.
Sin embargo, la aplicación más extendida de la inteligencia artificial entre los ciberdelincuentes sigue siendo la ingeniería social. Campañas de phishing, deepfakes y estafas de inversión falsas han ganado en sofisticación y credibilidad. A nivel global, las amenazas identificadas como HTML/Nomani —vinculadas a fraudes financieros— crecieron un 62% interanual, aunque en el segundo semestre se observó una ligera desaceleración.
En España, estas campañas han adoptado un enfoque más localizado. Los investigadores de ESET han detectado el uso de imágenes y vídeos generados con IA que simulan a figuras públicas, con el objetivo de reforzar la credibilidad de las estafas. Los usuarios son dirigidos a páginas que imitan medios de comunicación legítimos y se les promete rentabilidad inmediata a través de inversiones en criptomonedas.
El ecosistema de los infostealers —malware diseñado para robar credenciales y datos sensibles— también mostró una dinámica cambiante. La disrupción de Lumma Stealer en mayo de 2025 provocó una caída del 86% en sus detecciones durante el segundo semestre. Sin embargo, esta desaparición fue rápidamente compensada por el ascenso de nuevas familias como Vidar Stealer.
En el caso español, ESET ha observado un aumento significativo en las detecciones de descargadores como CloudEyE (también conocido como GuLoader), que multiplicaron su presencia casi por treinta en la segunda mitad del año. Estas amenazas suelen llegar a través de correos electrónicos que suplantan facturas, documentos PDF o marcas reconocidas, una técnica que sigue mostrando una alta eficacia.
El phishing, de hecho, se mantuvo como la amenaza más detectada en España, representando cerca del 20% del total. Según Albors, esta persistencia refleja tanto la efectividad de las campañas como la falta de medidas preventivas en muchas organizaciones. “Siguen explotándose vulnerabilidades antiguas de Microsoft Office, lo que indica que las políticas de actualización y aplicación de parches siguen siendo una asignatura pendiente”, advierte.
En paralelo, el informe destaca el crecimiento de las amenazas móviles, especialmente aquellas que abusan de la tecnología NFC. A nivel global, las detecciones de malware que utiliza esta vía aumentaron un 87% entre el primer y el segundo semestre de 2025. Aunque en España su presencia aún es limitada, los expertos alertan de su potencial disruptivo.
Estas amenazas combinan técnicas de ingeniería social con suplantación de entidades bancarias y funcionalidades avanzadas, como el robo de contactos, la desactivación de sistemas biométricos o la integración de capacidades de control remoto. Su evolución apunta a un nuevo frente de riesgo, especialmente en un contexto de creciente dependencia de dispositivos móviles para operaciones financieras y profesionales.
De cara a 2026, ESET anticipa un escenario de mayor complejidad. La automatización de ataques mediante IA podría escalar campañas de ingeniería social, mientras que muchas organizaciones seguirán integrando estas tecnologías sin controles de seguridad adecuados. Esto ampliará la superficie de ataque y facilitará la explotación de debilidades estructurales.
El ransomware, por su parte, continuará creciendo apoyado en vectores tradicionales como accesos expuestos o sistemas sin parchear. A ello se suma una profesionalización creciente del cibercrimen, con el uso de bots de IA para fraude, desinformación y estafas, y una colaboración más estrecha entre actores estatales y grupos delictivos. Sectores estratégicos como el de los drones podrían convertirse en objetivos prioritarios, en un panorama que podría alterarse si se producen operaciones policiales de gran calado.
