España se ha situado en una posición especialmente preocupante dentro del panorama global de la ciberseguridad. Según el último informe de ESET, el país ocupa ya el segundo lugar del mundo en impacto por ransomware, solo por detrás de Estados Unidos.
Este dato confirma una tendencia al alza que los expertos vienen advirtiendo desde hace meses y que refleja tanto el aumento de los ataques como la profesionalización de los grupos criminales que los ejecutan.
El contexto no es aislado. La digitalización acelerada, la expansión del teletrabajo y la dependencia de sistemas conectados han ampliado la superficie de ataque de empresas y administraciones.
En este escenario, el ransomware se ha consolidado como una de las amenazas más lucrativas para los delincuentes, con un crecimiento sostenido que sitúa a España en el centro del radar internacional.
España, en el punto de mira del cibercrimen
De acuerdo con el informe ESET Threat Report H2 2025, publicado por la compañía de ciberseguridad, España ha escalado posiciones hasta convertirse en el segundo país más afectado por ransomware a nivel global.
Aunque el país ha salido del podio general de infecciones, ocupando el cuarto lugar mundial, el impacto específico de este tipo de ataques ha crecido de forma notable.
Según explica Josep Albors, director de investigación y concienciación de ESET España, “en cuanto a ransomware, España se sitúa en segunda posición, con un 5% de las detecciones totales, por delante de países como Francia, Italia o Canadá, y solo por detrás de Estados Unidos”.
Esta evolución pone de manifiesto que los ciberdelincuentes están dirigiendo cada vez más sus campañas hacia objetivos nacionales, especialmente empresas con infraestructuras críticas o alta dependencia digital.
Los sectores más afectados en el territorio español han sido el tecnológico, los servicios empresariales y la industria manufacturera, ámbitos donde una interrupción operativa puede tener consecuencias económicas inmediatas.
Un fenómeno global en pleno crecimiento
A nivel internacional, el informe de ESET confirma que el número de víctimas de ransomware superó las cifras registradas en 2024 incluso antes de finalizar 2025.
Las previsiones apuntan a un crecimiento interanual cercano al 40 %, impulsado por la consolidación del modelo de ransomware como servicio, que permite a actores con pocos conocimientos técnicos lanzar ataques altamente efectivos.
Grupos como Akira o Qilin han perfeccionado este modelo, apoyándose en herramientas cada vez más sofisticadas. Entre ellas destacan los llamados EDR killers, diseñados para neutralizar las soluciones de seguridad antes de ejecutar el ataque principal.
Esta combinación ha permitido que el ransomware mantenga una elevada tasa de éxito incluso en organizaciones con medidas defensivas avanzadas.
La inteligencia artificial entra en escena
Uno de los aspectos más relevantes del informe es la aparición de PromptLock, la primera prueba conocida de ransomware impulsado por inteligencia artificial. Este malware es capaz de generar código malicioso en tiempo real, ejecutarlo y corregir errores de forma autónoma, lo que supone un cambio de paradigma en el desarrollo de amenazas.
Aunque su uso aún no es mayoritario, ESET advierte de que marca un punto de inflexión. La IA ya no se limita a apoyar campañas de engaño, sino que empieza a integrarse directamente en la creación de malware.
No obstante, los expertos señalan que su aplicación más extendida sigue siendo la ingeniería social, especialmente en campañas de phishing y estafas financieras cada vez más realistas.
Phishing e infostealers, el complemento perfecto
El informe también destaca el papel del phishing como principal vector de entrada. En España, estas campañas siguen representando cerca del 20 % de las detecciones totales.
Los atacantes utilizan correos que simulan facturas, comunicaciones oficiales o mensajes de empresas conocidas para engañar a los usuarios y obtener acceso inicial a los sistemas.
Tras la caída de Lumma Stealer, uno de los infostealers más activos del último año, han surgido nuevas familias como Vidar o CloudEyE, que han incrementado notablemente su presencia. Estas herramientas permiten robar credenciales, cookies y datos sensibles que luego se utilizan para desplegar ransomware o vender el acceso a terceros.
En palabras de Albors, “que el phishing siga siendo la amenaza más detectada demuestra que estas campañas continúan siendo muy eficaces, especialmente cuando suplantan marcas o documentos habituales en el entorno laboral”.
El auge de las amenazas móviles y el NFC
Otro de los focos de atención del informe se centra en el crecimiento del malware móvil, especialmente el que abusa de la tecnología NFC. Las detecciones de este tipo de amenazas aumentaron un 87 % en la segunda mitad de 2025, impulsadas por campañas que combinan ingeniería social avanzada y suplantación bancaria.
En España, aunque todavía no son mayoritarias, los expertos alertan de su potencial impacto. Estas amenazas permiten desde el robo de datos hasta el control remoto del dispositivo, lo que abre la puerta a nuevas formas de fraude y extorsión vinculadas al ransomware.
Un escenario cada vez más complejo
De cara a 2026, ESET prevé un escenario todavía más exigente. La combinación de inteligencia artificial, automatización de ataques y una creciente profesionalización del cibercrimen incrementará la presión sobre empresas y organismos públicos. El ransomware seguirá siendo el eje central de muchas campañas, apoyado en vulnerabilidades sin parchear y accesos mal protegidos.
Como concluye Albors, “veremos una mayor colaboración entre actores criminales, un uso más sofisticado de la IA y un aumento de los ataques dirigidos a sectores estratégicos, lo que obligará a reforzar las políticas de prevención y respuesta”.
España, situada ya entre los países más afectados, afronta así uno de los mayores retos de ciberseguridad de los últimos años.
