Los datos, presentados por Josep Albors, director de investigación y comunicación de ESET España, reflejan una situación especialmente preocupante para las pequeñas y medianas empresas, que están siendo blanco frecuente de este tipo de ataques. Además del ransomware, destacan también el auge de los infostealers y el avance de nuevas técnicas de ingeniería social, como ClickFix.
“España se ha consolidado como uno de los principales objetivos para la ciberdelincuencia en el mundo. Las amenazas evolucionan, y el impacto es tanto económico como reputacional”, señala Albors.
Durante el primer semestre de 2025, el phishing se mantiene como la amenaza más frecuente en España, representando el 20% de todas las detecciones. Los datos de telemetría muestran que los ataques siguen un patrón estacional: aumentan en fechas clave como Navidad y disminuyen durante festivos y vacaciones, en línea con la actividad laboral y los calendarios religiosos internacionales.
También preocupa la presencia persistente de vulnerabilidades no parcheadas en Microsoft Office, lo que demuestra una baja adopción de actualizaciones críticas por parte de muchas organizaciones.
Una de las grandes sorpresas del informe es ClickFix, una técnica que utiliza falsos mensajes de error y CAPTCHA para que los usuarios ejecuten comandos maliciosos. Su uso ha aumentado un 517% en solo seis meses, convirtiéndose en el segundo vector de ataque más común en España, solo por detrás del phishing. Afecta a sistemas Windows, macOS y Linux, y ha sido adoptado tanto por grupos criminales como por APT estatales, incluidos actores vinculados a Corea del Norte.
Con la caída de Agent Tesla, SnakeStealer se posiciona como el infostealer más detectado en España, con un 20 % del total de casos. Este malware roba credenciales, contraseñas y otros datos sensibles a través de campañas de correo electrónico suplantado, y sitúa a España como el tercer país más afectado, solo por detrás de Turquía y Japón.
Aunque los ataques de ransomware han crecido un 15% en volumen, el valor de los rescates pagados ha disminuido un 35 %, lo que podría deberse a mejoras en ciberdefensa o una mayor resistencia por parte de las víctimas. Grupos como RansomHub o DragonForce han tomado el relevo de bandas como LockBit y BlackCat, recientemente desarticuladas.
En el entorno móvil, se ha detectado un crecimiento del 160% en casos de adware en Android, con amenazas como Kaleidoscope, que se oculta en apps falsas. También destacan los ataques por tecnología NFC, cada vez más comunes, y las estafas de inversión en criptomonedas que utilizan rostros famosos como gancho.