Por primera vez en los últimos años, España abandona el ranking mundial de países con mayor volumen de amenazas detectadas. Así lo recoge el informe anual de ESET, que analiza los datos recogidos entre diciembre de 2024 y noviembre de 2025. Un pódium que lidera Japón, seguido de Turquía y Polonia. España ocupa la cuarta posición. Sin embargo, en lo que se refiere al ransomware, que se mantiene como la amenaza más preocupante para las empresas, España, tras Estados Unidos, se sitúa en segunda posición, con el 5 % del tráfico mundial.
El análisis de ESET muestra un comportamiento cíclico muy marcado: descensos en periodos vacacionales —Navidad, Semana Santa o verano— y repuntes coincidiendo con la vuelta al trabajo o con grandes campañas comerciales como el Black Friday o la Navidad. “Cuando baja la actividad laboral, bajan las detecciones. Pero los picos vuelven con fuerza en cuanto se reactiva la actividad económica”, señaló Josep Albors, director de investigación y concienciación de ESET España.
Phishing y vulnerabilidades antiguas
En el ranking de amenazas más detectadas en España, el phishing continúa ocupando el primer puesto, representando en torno al 20 % del total. Sin embargo, lo que más preocupa a ESET es la persistencia de ataques que explotan vulnerabilidades antiguas. “Seguimos viendo en el top 10 amenazas que aprovechan fallos de Microsoft Office de 2017”, advirtió Albors. “Esto dice mucho de las políticas de actualización y parcheo de muchas organizaciones españolas”. Aunque estas amenazas han ido perdiendo peso, su permanencia demuestra que los atacantes siguen encontrando un terreno fértil en sistemas desactualizados.
Ransomware: España, segundo país en el ranking
El ransomware se mantiene como una de las amenazas más temidas por empresas y organizaciones. En 2025, ESET ha analizado cientos de ataques a nivel global, con Estados Unidos como principal objetivo con el 17 % de este malware. España ocupa una preocupante segunda posición, concentrando en torno al 5 % de las detecciones mundiales. A continuación, se sitúan Francia, Italia y Canadá, con un 4% cada uno de ellos.
En el ranking de amenazas más detectadas en España, el phishing continúa ocupando el primer puesto
“En España se han reportado decenas de casos, pero sabemos que muchos otros no se hicieron públicos porque normalmente la víctima ha pagado el rescate. De esta forma evitan que se conozcan que han sido afectadas”. Los sectores más afectados han sido el tecnológico, los servicios empresariales y la industria manufacturera. “Las víctimas de estos ataques crecen año tras año y no esperamos ningún descenso”.
Entre las novedades destaca la aparición de un nuevo actor, Warlock, un grupo que hace uso de técnicas novedosas y que no opera bajo el modelo de ransomware como servicio. “Es un actor cerrado, muy avanzado, con un número alto de víctimas para ser un recién llegado y que ha demostrado una gran rapidez para adoptar vectores de ataque emergentes”, explicó Albors, citando la explotación de vulnerabilidades en Windows Server o el abuso de herramientas legítimas como VS Code, un editor de código open source bastante utilizado en todas las variables de programación para establecer conexiones remotas de forma sigilosa por parte del malware con las máquinas infectadas.
El principal valor de la IA para los ciberdelincuentes no está en crear malware avanzado, sino en automatizar procesos y mejorar la eficacia de campañas de phishing, fraude y suplantación de identidad
Pese a este contexto, 2025 también ha dejado noticias positivas. La cooperación internacional ha permitido arrestos, extradiciones y operaciones policiales que han debilitado a bandas como BlackCat, Conti o LockBit, además del lanzamiento de descifradores gratuitos para varias familias de ransomware. “la mayor cooperación internacional y los avances técnicos están empezando a tener un impacto significativo en el panorama de amenazas del ransomware”, destacó.
El uso de la IA
Uno de los grandes focos de atención del informe es el uso de la inteligencia artificial en el desarrollo de malware. “Hay una cierta burbuja alrededor de las amenazas creadas con inteligencia artificial”, afirmó Albors. “Los casos reales se pueden contar con los dedos de una mano y muchos son experimentales”. El principal valor de la IA para los ciberdelincuentes no está en crear malware avanzado, sino en automatizar procesos y mejorar la eficacia de campañas de phishing, fraude y suplantación de identidad. Albors se refirió a PromptLock, que hace uso de OpenIA, como la primera prueba de concepto conocida de ransomware para generar scripts maliciosos en tiempo real, ejecutarlos y corregirlos automáticamente si fallan. “Un ransomware que puede dar pie a que otros delincuentes intenten adoptar este modelo para tratar de darle un impulso a sus nuevas creaciones”, alertó.
España ocupa una preocupante segunda posición en la amenaza del ransomware, concentrando en torno al 5 % de las detecciones mundiales
Infostealers
Los infostealers, que persiguen el robo de información y especialmente de credenciales, son la segunda amenaza más extendida en España. Se dirigen, principalmente, a empresas.
Albors señaló la caída de las campañas ligadas a Lumma Stealer, un infostealer que cayó en el mes de mayo: aunque logró “reaparecer” en verano, su actividad cayó un 86 % en la segunda parte del año pasado. Una amenaza que, sin embargo, ha sido “reemplazada” rápidamente con nuevas familias como es el caso de Vidar, “una amenaza conocida desde 2018 que se ha actualizado y que gracias a las campañas que realizan entre foros de ciberdelincuentes, se ha convertido en un relevo interesante para estos grupos”.
En la lista de las técnicas más utilizadas para llevar a cabo estos robos es ClickFix, que hace uso de la ingeniería social, con ventanas emergentes que simulan problemas técnicos y manipulan a sus víctimas para que ejecuten scripts maliciosos.
También en 2025 se ha observado cómo ha ido aumentando la autorización de scripts ejecutables maliciosos en detrimento de los archivos ofimáticos con adjuntos a correos electrónicos. “Ahora las amenazas se componen de varias fases y utilizan varios códigos maliciosos para lograr su objetivo”. Entre los más destacados está CloudEye. “Los ciberdelincuentes lo venden como un servicio de protección de archivos, cuando en realidad es un malware como servicio”.
En el caso de España los ciberdelincuentes siguen haciendo uso de campañas de phishing para la preparación de varias familias de infostealers, sobre todo en la forma de facturas, recibos o presupuestos de conocidas empresas. Albors alertó de numerosos ejemplos con correos que hacen uso de PDF que redirigen a un enlace preparado por los delincuentes.
También señaló la “vuelta” a España de algunas amenazas como el troyano bancario, Grandoreiro. Con una actividad que se inició a principios de 2020, en 2024, una operación policial conjunta entre la Policía Federal de Brasil y la Policía Nacional Española, con inteligencia proporcionada por ESET y otras empresas de ciberseguridad, consiguió desmantelar a una buena parte de sus responsables. “No obstante esta amenaza regresó con fuerza y en el segundo semestre de 2025 hemos visto cómo ha intensificado sus campañas protagonizadas y dirigidas a víctimas en territorio español”.
Estafas y fraude financiero
Al mismo tiempo, las estafas financieras, especialmente las vinculadas a falsas inversiones en criptomonedas, han vivido un crecimiento explosivo. Conocidas como Nomani, en 2025, las detecciones de este tipo de engaños crecieron un 62 % en 2025, alcanzando cientos de miles de detecciones en todo el mundo, y con campañas muy visibles en redes sociales y anuncios online. En el lado positivo las detecciones en ell segundo semestre del pasado año disminuyeron un 37 % en comparación con el primer semestre. “La razón más certera es que haya habido un menor retorno de inversión para los atacantes debido a mejores detecciones por parte de las soluciones de seguridad y las plataformas de redes sociales”. La mayoría de las detecciones de Nomani se generaron en Chequia, Japón, Eslovaquia, España y Polonia. “Estamos viendo el uso de personajes públicos para dar credibilidad a estafas que acaban arruinando a las víctimas”, alertó Albors. Se trata de estafas, solamente conocidos desde hace años, “pero es ahora con el uso de la inteligencia artificial cómo los delincuentes pueden hacer creer con mayor eficacia a sus víctimas que una personalidad reconocida les ha dado su apoyo”.
NFC y amenazas móviles
Otro de los vectores emergentes es el abuso de la tecnología NFC en dispositivos móviles. ESET ha detectado un aumento del 87 % en amenazas que explotan esta tecnología entre el primer y segundo semestre de 2025. “Aunque es una alternativa más segura que el uso, por ejemplo, de las bandas magnéticas o del PIM, no está hecho prueba de balas”, alertó. “Ya no es una hipótesis teórica: los delincuentes están desarrollando malware especializado para capturar y retransmitir datos NFC”, advirtió Albors.
Mirando a 2026
De cara a 2026, ESET prevé que el ransomware, no solo siga creciendo, sino que la aparición de nuevos grupos, como es el caso de Warlock, demuestra que el panorama sigue evolucionando, incorporando técnicas de evasión cada vez más sofisticadas.
En cuanto al uso malicioso de la inteligencia artificial, se espera un aumento del malware generado mediante estas tecnologías, aunque el principal ámbito será la ingeniería social: deepfakes, correos electrónicos fraudulentos, anuncios engañosos y estafas a gran escala se verán reforzados por herramientas cada vez más avanzadas. “Se prevé la aparición de bots basados en IA capaces de explotar vulnerabilidades en procesos automatizados, como la contratación de personal, así como de interferir en campañas de desinformación, procesos electorales y otros fraudes”.
En el lado de las empresas, Albors alertó de que la integración de agentes de inteligencia artificial, tanto en entornos corporativos como en la nube, está ampliando de forma significativa la superficie de ataque y añadiendo una mayor complejidad a la gestión de la seguridad.
Por último, en el ámbito de las amenazas persistentes avanzadas (APT), los analistas señalan al sector de los drones como uno de los principales objetivos de los grandes actores estatales, entre ellos China, Rusia, Irán y Corea del Norte.
