España se ha convertido en el segundo país con más ciberamenazas detectadas a nivel global. Sólo en campañas activas de inforestelares que se propagan a través de phishing, en los primeros meses del año se detectaron correos maliciosos que simulaban provenir de entidades como Iberdrola, DHL, Correos o el Banco Santander. Desde diciembre de 2024 hasta junio de 2025, España ha sufrido un aumento de amenazas con especial protagonismo del ransomware, los infostealers y el fraude por NFC en móviles Android, y se sitúa entre los cinco países del mundo con más detecciones de troyanos bancarios en dispositivos Android.
El nuevo informe ESET Threat Report H1 2025 revela un aumento de las amenazas en el primer semestre de 2025, en el que se han registrado más de 5.100 ataques de ransomware a nivel global, con 96 grupos activos y unas pérdidas económicas estimadas en más de 813 millones de dólares.
Los resultados fueron presentados esta semana por el director de investigación y comunicación de ESET España, Josep Albors, quién destacó cómo en nuestro país «han aumentado los ataques de ransomware también en complejidad y volumen» y estos han afectado especialmente a pequeñas y medianas empresas.
ransomwere, la alta actividad de infostealers y el ascenso meteórico de técnicas de ingeniería social como ClickFix, «han situado a España como el segundo país del mundo con mayor número de amenazas detectadas, solo por detrás de Japón
Tras el temido ransomwere, la alta actividad de infostealers y el ascenso meteórico de técnicas de ingeniería social como ClickFix, «han situado a España como el segundo país del mundo con mayor número de amenazas detectadas, solo por detrás de Japón, según los datos de ESET.
EL PHISHING LIDERA EL RANKING DE AMENAZAS EN ESPAÑA
El análisis de los datos de telemetría de ESET refleja cómo la actividad de los ciberataques en España varía considerablemente según el calendario laboral y festivo. Por ejemplo, se detectan incrementos significativos con el inicio de la campaña navideña. En cambio, los periodos de descanso, como el inicio de año o los festivos de Semana Santa y mayo, muestran un descenso acusado en las detecciones. Este patrón responde tanto a la menor exposición de los usuarios como a la actividad reducida de ciertos actores de amenazas, especialmente aquellos procedentes de países donde se siguen calendarios festivos según la religión ortodoxa, es decir, del entorno ruso.
En cuanto a los tipos de amenazas más detectadas en España durante el primer semestre de 2025, el phishing vuelve a encabezar el ranking, concentrando el 20 % del total de alertas registradas. Además, desde ESET España explican que resulta especialmente preocupante la presencia en el top 10 de amenazas que explotan vulnerabilidades antiguas de Microsoft Office, lo que pone en evidencia la baja aplicación de parches y actualizaciones en numerosos sistemas aún en uso en el país.
En España, múltiples operaciones maliciosas han empleado técnicas de ingeniería social, suplantación de identidad y distribución de malware como VIP Keylogger, Agent Tesla o Snake Keylogger, con el objetivo de robar credenciales y datos sensibles de empresas y usuarios españoles.
los correos maliciosos simulan provenir de entidades legítimas como Iberdrola, DHL, Correos, el Banco Santander o incluso el Colegio de Registradores de la Propiedad, y contienen archivos comprimidos con ejecutables que inician la cadena de infección
Las campañas detectadas comparten patrones comunes: los correos maliciosos simulan provenir de entidades legítimas como Iberdrola, DHL, Correos, el Banco Santander o incluso el Colegio de Registradores de la Propiedad, y contienen archivos comprimidos con ejecutables que inician la cadena de infección. Estos correos suelen imitar comunicaciones rutinarias. La última campaña que ESET España ha detectado a mediados del mes de junio utilizaba como gancho facturas pendientes, pero también hemos visto envíos de paquetería o justificantes bancarios, y, en muchos casos, se distribuyen desde cuentas corporativas legítimas previamente comprometidas.
Una vez ejecutado el archivo malicioso, el sistema queda expuesto al robo de información confidencial: desde contraseñas almacenadas en navegadores y clientes de correo hasta registros de pulsaciones de teclado, capturas de pantalla o contenidos del portapapeles. La información sustraída es enviada a los delincuentes a través de servidores de correo o FTP comprometidos, o mediante bots de Telegram que automatizan el proceso de exfiltración.
CLICKFIX, LA AMENAZA QUE ESCALA POSICIONES
Una de las principales revelaciones del informe de Eset es el crecimiento del malware distribuido a través de ClickFix, una técnica de engaño que utiliza falsos errores de sistema y CAPTCHA para inducir a los usuarios a ejecutar comandos maliciosos. Esta amenaza ha crecido un 517 % en apenas seis meses, y ya representa el segundo vector de ataque más común en España, solo por detrás del phishing. ClickFix afecta a todos los sistemas operativos (Windows, Linux y macOS), y «ha sido adoptado tanto por ciberdelincuentes como por grupos APT vinculados a gobiernos, incluyendo actores norcoreanos.
En cuanto a las amenazas con infostelers, tras la caída de Agent Tesla, «SnakeStealer se ha posicionado como el infostealer más detectado por ESET en España«, y ya representa el 20 % de todas las detecciones de este tipo de malware. Su propagación se ha visto impulsada por campañas de correo electrónico malicioso que suplantan a empresas y organismos oficiales. España es el tercer país del mundo con más detecciones de SnakeStealer, solo por detrás de Turquía y Japón. Este malware permite a los atacantes robar contraseñas, credenciales, datos del portapapeles y otra información sensible.
el ransomware sigue siendo una de las amenazas más críticas y aunque el número de incidentes ha aumentado un 15 %, el valor total de los rescates pagados ha descendido un 35 %
Por su parte el ransomware sigue siendo una de las amenazas más críticas. A nivel global, los 5.100 ataques registrados se atribuyen a 96 grupos activos, muchos de los cuales se dirigen específicamente a pequeñas y medianas empresas. Aunque el número de incidentes ha aumentado un 15 %, el valor total de los rescates pagados ha descendido un 35 %, lo que podría reflejar una mejora en las defensas o una mayor disuasión por parte de las víctimas.
En el entorno móvil, se ha observado un incremento del 160 % en detecciones de adware en Android y destaca el papel de la amenaza Kaleidoscope, que utiliza versiones duplicadas de apps populares para engañar al usuario. Asimismo, los ataques mediante tecnología NFC han crecido de forma exponencial, pasando de ser marginales a representar una amenaza creciente a nivel global. También han ganado peso las estafas relacionadas con inversiones fraudulentas en criptomonedas, que han usado como gancho a figuras públicas para difundir contenido engañoso.
«Durante el primer semestre de 2025, España ha experimentado un incremento notable en la actividad cibercriminal. Desde ESET, insistimos en la importancia de reforzar las medidas de seguridad tanto en el ámbito corporativo como en el doméstico, manteniendo los sistemas actualizados y promoviendo una educación digital continua como principales barreras de protección frente a este tipo de amenazas», insiste Albors.
