España se baja del podio de países más atacados, pero sube en ransomware

ESET ha presentado los resultados de su informe Threat Report H2 2025, en el que hace un retrato del panorama de amenazas en todo el mundo en base de los datos recabados por sus propios sistemas. Como comentó Josep Albors, director de investigación y concienciación de ESET España, durante la presentación a los medios, existe un ligero sesgo porque únicamente aparecen los países en los que opera. Eso sí, está presente en más de 100 países, por lo que sus datos son más que pertinentes.

La nota más positiva de esos datos es que España, por primera vez en los últimos años, se ha bajado del podio de los países más atacados. Eso sí, se ha quedado en cuarta posición, después de Japón, Turquía y Polonia, por lo que tampoco estamos para echar las campañas al vuelo. En el lado más negativo, con 326 víctimas conocidas de ransomware, en 2025 fuimos el segundo país más afectado (5%), por detrás del 17% de Estados Unidos.

 

Primeras IAs utilizadas para crear código avanzado

Más allá de grupos de ransomware como servicio consolidados como Akira y Qilin, el informe se detiene en PromptLock, en realidad una prueba de concepto de ransomware impulsado por IA. Este PoC fue creado por unos estudiantes, pero es uno de los primeros usos de inteligencia artificial para elaborar un código malicioso. Albors explicó que en realidad apenas hay cinco aproximaciones a este uso de la IA y dos son pruebas de concepto; la IA se usa mayoritariamente para ingeniería social y deepfakes.

Los actores de amenazas son cambiantes. Por ejemplo, se hizo notar el desmantelamiento de Lumma Stealer, que todavía dio algún coletazo en julio antes de desaparecer (de momento). Pero aparecen otros actores. La compañía destacó Warlock, un ransomware que no se vende como servicio, sino a un grupo cerrado y que ha destacado por sus “habilidades técnicas avanzadas”, el uso de herramientas legítimas como VS Code y Velociraptor o la explotación de vulnerabilidades ToolShell.

La telemetría de la compañía también pone un importante aviso sobre el malware para móviles con tecnología NFC, que aumentó en un 87% entre el primer y el segundo trimestre del año. Pese a que este tipo de amenazas no es muy frecuente en España, ESET considera que tienen un potencial de alto impacto, con su combinado de “ingeniería social avanzada, suplantación de entidades bancarias y nuevas funcionalidades, como el robo de contactos, la desactivación de la biometría o la integración de capacidades de control remoto”.

Los ciberdelincuentes también se van de vacaciones: los momentos de valle en la gráfica de ciberataques coinciden con las vacaciones estivales, de Semana Santa o las vacaciones de Navidad ortodoxas, que se dan en enero, según explica Josep Albors, director de investigación y concienciación de ESET España.

En la presentación del informe, Josep Albors llamó la atención también sobre el regreso de viejos conocidos. Por un lado, resulta llamativo y alarmante que en el top ten de ciberamenazas en España todavía haya vulnerabilidades de Office que fueron parcheadas en 2017. Si esto es evitable, no lo es tanto en regreso de otro conocido, el troyano bancario Grandoreiro. El experto también destacó el interés de la amenazas APT en la industria de drones por cuestiones geopolíticas y bélicas y el cruce de APT con la ciberdelincuencia.

De cara a este año, Albors cree que “veremos más malware generado con IA, el ransomware seguirá creciendo apoyándose en debilidades tradicionales como sistemas sin parchear o accesos expuestos, con el uso continuado de EDR killers. A esto se suma una mayor profesionalización del cibercrimen, con bots de IA utilizados para fraude, desinformación y estafas, una colaboración más estrecha entre actores estatales y delincuentes, y un aumento de los ataques a sectores estratégicos”.