Así lo refleja el último informe ESET Threat Report H2 2025, elaborado por ESET a partir de datos recogidos entre junio y noviembre de 2025. El estudio dibuja un panorama marcado por la automatización del malware, el auge de nuevas técnicas de ingeniería social y la persistencia de amenazas clásicas que siguen encontrando terreno fértil en organizaciones mal preparadas.
Aunque España ha salido del podio de los países más atacados a nivel global y se sitúa ahora en cuarta posición, el análisis específico del ransomware ofrece una lectura muy distinta. Nuestro país concentra el 5% de las detecciones mundiales, solo por detrás de Estados Unidos, que lidera el ranking con un 17%. Por detrás quedan economías como Francia, Italia o Canadá. Los sectores más castigados han sido el tecnológico, los servicios empresariales y la industria manufacturera, todos ellos especialmente vulnerables a interrupciones operativas prolongadas.
A escala global, el informe confirma que el ransomware no solo sigue creciendo, sino que lo hace con mayor rapidez. El número de víctimas superó las cifras de 2024 antes de finalizar el año y todo apunta a un crecimiento interanual cercano al 40%. Grupos como Akira o Qilin han consolidado su presencia dentro del modelo de ransomware como servicio, mientras que el uso de herramientas diseñadas para desactivar soluciones de seguridad, como los conocidos EDR killers, se ha normalizado entre los atacantes.
Uno de los puntos más relevantes del informe es la identificación de PromptLock, la primera prueba de concepto conocida de ransomware impulsado por inteligencia artificial. Este tipo de malware es capaz de generar código malicioso en tiempo real, ejecutarlo y corregirlo automáticamente si falla, lo que marca un punto de inflexión en la evolución de estas amenazas. No obstante, los expertos subrayan que, por ahora, el principal uso de la IA por parte de los ciberdelincuentes sigue estando en la ingeniería social.
En este sentido, las campañas de phishing continúan demostrando una eficacia notable. En España, siguen siendo la amenaza más detectada, representando cerca del 20% del total, impulsadas por correos que suplantan facturas, documentos PDF o marcas conocidas. A ello se suman estafas de inversión cada vez más creíbles, apoyadas en contenidos generados con IA y en el uso de la imagen de figuras públicas para ganar legitimidad.
El ecosistema de los infostealers también ha experimentado cambios relevantes. La caída de Lumma Stealer en mayo de 2025 supuso un golpe importante, con un descenso del 86% en sus detecciones durante el segundo semestre. Sin embargo, esta desaparición ha dado paso a nuevas familias, como Vidar Stealer, y a un aumento muy significativo de descargadores y scripts maliciosos. Destaca especialmente CloudEyE (GuLoader), cuyas detecciones se multiplicaron casi por treinta en la segunda mitad del año.
Otro frente que gana peso es el de las amenazas móviles. El abuso de la tecnología NFC creció un 87% en 2025, combinando técnicas de ingeniería social avanzada con la suplantación de entidades bancarias. Aunque su impacto en España aún es limitado, los expertos advierten de su potencial, ya que integran funciones como el robo de contactos, la desactivación de la biometría o el control remoto del dispositivo.
De cara a 2026, el informe apunta a un escenario en el que la inteligencia artificial permitirá escalar ataques con mayor rapidez, mientras muchas organizaciones siguen incorporando estas tecnologías sin los controles de seguridad adecuados. El resultado es una superficie de ataque cada vez mayor, un ransomware que continúa creciendo apoyado en debilidades tradicionales y una profesionalización del cibercrimen que obliga a replantear las estrategias de defensa.
En conjunto, el informe deja una idea clara: la tecnología avanza, pero las amenazas lo hacen al mismo ritmo, y la ciberseguridad se consolida como un reto estructural que ya no puede abordarse como un problema puntual, sino como una prioridad permanente.
Si (
No(
