Editor en La Ecuación Digital. Analista y divulgador tecnológico con…
España vuelve a situarse entre los países con mayor volumen de ciberamenazas detectadas durante el primer semestre de 2026. Según la telemetría global de ESET, el país concentra el 7,43% de las detecciones, solo por detrás de Japón, con un 10,15%, y Polonia, con un 7,77%. La posición no responde a un episodio aislado, sino a una tendencia que la compañía viene observando desde hace varios ejercicios: el mercado español aparece de forma recurrente entre los territorios más expuestos a campañas de phishing, robo de información, ransomware y fraudes apoyados en dispositivos móviles.
El dato exige cierta cautela. Una detección no equivale necesariamente a una infección consumada, y parte de esas amenazas son bloqueadas antes de llegar al usuario. Aun así, el volumen ofrece una lectura operativa relevante para empresas y administraciones: España sigue siendo un mercado atractivo para campañas masivas, pero también para ataques más selectivos contra organizaciones con actividad industrial, servicios profesionales o relación habitual con organismos públicos.
Josep Albors, responsable de Investigación y Concienciación de ESET España, sintetizó esa posición con una frase directa durante el análisis del semestre: «España sigue estando en el top 3 de países que más amenazas se detectan según la telemetría de ESET». La cuestión de fondo no es solo el puesto en el ranking, sino la composición de esas amenazas y su capacidad para adaptarse a hábitos cotidianos de trabajo.
Las ciberamenazas en España se concentran en phishing, QR y robo de credenciales
El phishing sigue ocupando un lugar central en el mapa español de ciberamenazas, aunque ya no se limita al correo electrónico clásico con enlaces fraudulentos o archivos adjuntos. En el primer semestre han ganado peso variantes que combinan ingeniería social, documentos aparentemente legítimos y códigos QR diseñados para desplazar la interacción al móvil, un entorno donde muchos usuarios reducen las comprobaciones habituales.

El QR phishing, también conocido como quishing, ya representa el 7,1% de las detecciones generales en España dentro de la telemetría de ESET. A escala global, el país aparece en segunda posición en detecciones de esta amenaza, con un 17%, solo por detrás de Estados Unidos, que registra un 19%. La técnica no es sofisticada en apariencia: el usuario recibe un correo, abre un documento o accede a una página que contiene un código QR y, al escanearlo, es redirigido a una web fraudulenta. La eficacia reside precisamente en ese salto de dispositivo.
En entornos empresariales, este tipo de ataque introduce una dificultad añadida. Muchas pasarelas de seguridad inspeccionan enlaces y adjuntos, pero el QR convierte la URL maliciosa en una imagen que puede camuflarse dentro de un PDF o de una comunicación aparentemente administrativa. Las soluciones de seguridad más avanzadas ya analizan ese contenido, aunque la última decisión suele quedar en manos del usuario cuando el mensaje supera los filtros iniciales.
El robo de información mantiene también una fuerte presencia. Formbook y Agent Tesla continúan entre las familias más detectadas en España, ambas cerca del 20% dentro de las campañas de infostealers observadas por ESET. A ellas se suman troyanos bancarios, variantes de Snake Stealer y malware procedente de campañas con origen latinoamericano, especialmente Brasil, que vuelven a apuntar al mercado español con señuelos ligados a facturas, nóminas, reembolsos o comunicaciones de organismos públicos.
La Agencia Tributaria, FACE, Carpeta Ciudadana, ayuntamientos o empresas energéticas aparecen como identidades recurrentemente suplantadas. El patrón tiene lógica: los atacantes explotan servicios que el usuario reconoce y que, además, suelen exigir una respuesta rápida. Un aviso de devolución, una factura pendiente o una supuesta incidencia administrativa reducen el margen de reflexión, sobre todo si llegan en fechas sensibles como finales de mes, cuando muchas plantillas esperan información sobre nóminas o pagos.
El ransomware pierde ruido, pero mantiene capacidad de presión
El ransomware no lidera el volumen de detecciones en España, pero conserva un impacto desproporcionado sobre empresas y organismos. El país aparece en la parte baja del top 10 global de detecciones de ransomware de ESET, por debajo de mercados europeos como Francia, Alemania o Italia. Ese dato, sin embargo, no rebaja el riesgo. Buena parte de los ataques no se conocen públicamente, ya sea porque la víctima negocia en silencio, porque no denuncia o porque la extorsión queda fuera de los canales visibles.

Albors apuntó una realidad incómoda para muchas organizaciones: «las víctimas siguen pagando». El porcentaje puede haber descendido respecto a hace cuatro o cinco años, según su análisis, pero el pago continúa cuando la alternativa percibida es la paralización del negocio, la pérdida de información crítica o una exposición reputacional difícil de gestionar.
La evolución del ransomware se aprecia en el desplazamiento del foco. El cifrado de sistemas sigue presente, aunque muchas bandas presionan cada vez más con la filtración de datos. Las copias de seguridad han mejorado en parte de las organizaciones, pero la amenaza de publicación introduce otra variable: sanciones por protección de datos, litigios, pérdida de confianza de clientes y tensión con proveedores.

En España, los picos observados a mediados de marzo se vinculan a campañas de varios grupos, entre ellos The Gentlemen, una organización que ESET describe como disciplinada y selectiva. A diferencia de otros modelos de ransomware operados con afiliados más heterogéneos, este grupo estudia las defensas de sus objetivos y adapta herramientas para desactivar soluciones de seguridad mal configuradas. Los llamados EDR killers, diseñados para interrumpir o inutilizar plataformas de detección y respuesta, evidencian una brecha frecuente: disponer de herramientas avanzadas no garantiza una protección efectiva si no existe configuración, monitorización y respuesta especializada.
La distribución territorial de los ataques mantiene una relación clara con la actividad económica. Madrid, Barcelona, País Vasco, Comunidad Valenciana y Andalucía concentran más casos por densidad empresarial e industrial. También hay incidentes en regiones con menor exposición mediática, como Castilla y León. El ransomware no selecciona solo grandes marcas; busca capacidad de pago, dependencia operativa y defensas sorteables.
IA, clickfix y fraude NFC amplían la superficie de ataque
La inteligencia artificial empieza a aparecer en la operativa del malware más allá del discurso especulativo. ESET ya había analizado en 2025 una prueba de concepto de ransomware apoyado en IA, y durante el primer semestre de 2026 ha observado nuevas muestras, como PromptSpy, un malware para Android capaz de utilizar Gemini durante su ejecución para automatizar acciones sobre la interfaz del dispositivo.
El comportamiento descrito introduce una diferencia relevante. El malware no solo roba datos, captura pantalla o dificulta su desinstalación mediante permisos de accesibilidad, técnicas ya conocidas en Android. También puede enviar descripciones de lo que aparece en pantalla a un modelo de IA y recibir instrucciones sobre los gestos o pasos que debe ejecutar. Albors lo formuló así: la inteligencia artificial generativa «puede volver al malware más adaptable, más resistente».
El riesgo no se limita al malware tradicional. Los agentes de IA y sus «skills» o habilidades personalizadas también aparecen como una nueva zona de exposición. ESET afirma haber pasado de detectar unos 60.000 skills potencialmente maliciosos al inicio del año a más de 300.000 en tres meses. Entre ellos, los clasificados como claramente maliciosos crecieron desde unos 3.000 hasta más de 6.000. El problema operativo para las empresas es que estas extensiones pueden recopilar datos, manipular procesos, ejecutar acciones no previstas o alterar el comportamiento de agentes que ya se conectan a cuentas corporativas, sistemas internos o métodos de pago.
Otra tendencia en expansión es el clickfix, una técnica que empuja al usuario a ejecutar código malicioso bajo la apariencia de una solución técnica. El engaño suele comenzar con una supuesta verificación, un error del navegador, una incidencia al acceder a una cuenta de Microsoft o una guía falsa para instalar herramientas de IA. La víctima recibe instrucciones para abrir la línea de comandos, pegar un fragmento de código y ejecutarlo. «Los delincuentes están viendo cómo de forma sencilla están consiguiendo que los usuarios estén voluntariamente ejecutando código malicioso», advirtió Albors.
El crecimiento interanual de estas campañas alcanza el 108% al comparar la primera mitad de 2026 con el mismo periodo de 2025. Japón lidera las detecciones, con un 14%, seguido de Eslovaquia, con un 7%, mientras que España, Francia y Perú superan ligeramente el 5%. El uso de posicionamiento SEO para colocar páginas fraudulentas entre los primeros resultados de búsqueda añade una capa especialmente compleja: el usuario no siempre llega al ataque desde un correo sospechoso, sino desde una búsqueda que considera legítima.
A este escenario se suma el fraude basado en NFC, ya observado en España tras aparecer antes en países de Centroeuropa. La técnica consiste en convencer a la víctima para instalar una aplicación falsa, a menudo suplantando a un banco o una tienda online, y pedirle que acerque su tarjeta al móvil para una supuesta verificación. La aplicación lee los datos mediante NFC, solicita el PIN y transmite la información a un dispositivo controlado por los atacantes, que puede emplearse para pagos o retiradas de efectivo.
La combinación de QR, IA, clickfix y NFC refleja un cambio relevante para los equipos de seguridad. El perímetro ya no se reduce al correo corporativo ni al endpoint clásico. Pasa por móviles personales, hábitos de autenticación, buscadores, agentes de IA, permisos de accesibilidad y procesos cotidianos que el usuario ejecuta con normalidad. Para las empresas españolas, la segunda mitad de 2026 llega con una tensión concreta: reforzar herramientas y controles sin perder de vista el punto donde muchas campañas siguen encontrando entrada, la interacción humana con instrucciones aparentemente razonables.
Editor en La Ecuación Digital. Analista y divulgador tecnológico con más de 30 años de experiencia en el estudio del impacto de la tecnología en la empresa y la economía.
