España se posiciona como el segundo país con más ciberamenazas a nivel global, destacando los ataques con 'phishing'

   A nivel global se han identificado 5.100 ataques de 'ransomware' con 96 grupos activos, lo que ha ocasionado una pérdida económica estimada en más de 813 millones de dólares (alrededor de 688 millones de euros al cambio).

   Así lo recoge el último informe Threat Report H1 2025, elaborado por la firma de ciberseguridad ESET, que detalla las amenazas y tendencias identificadas por sus sistemas de telemetría desde diciembre de 2024 hasta junio de este año a nivel global.

   En este sentido, España se sitúa en segunda posición, por detrás de Japón, entre los países más afectados por ciberamenazas, en un panorama en el que los actores maliciosos han aumentado tanto la complejidad como el volumen de los ataques de 'ransomware', además de otro tipo de ataques.

   Según ha explicado el director de Investigación y Concienciación de ESET España, Josep Albors, destaca la estacionalidad de los ataques recibidos, ya que la actividad maliciosa varía en base al calendario laboral y festivo español.

   Se han detectado incrementos significativos de actividad maliciosa con el inicio de la campaña navideña, sin embargo, también se han mostrado periodos de más baja actividad relacionados con el descanso, como los festivos de Semana Santa y el puente de mayo, donde se han detectado menos amenazas.

   Esto se debe a que en periodos vacacionales los usuarios utilizan menos sus equipos y sistemas informáticos, por lo que ciertos actores de amenazas aprovechan para reducir su actividad igualmente, especialmente si proceden de países donde también se siguen calendarios festivos según la religión ortodoxa.

EL 'PHISHING' CONTINÚA LIDERANDO Y NUEVAS AMENAZAS COMO CLICKFIX

   Para llevar a cabo estos ciberataques, técnicas como el 'phishing' continúan siendo las más comunes. Esto se refleja en que, dentro del ranking de los diez tipos de amenazas más detectadas durante el primer semestre de 2025, el 'phishing' se ha posicionado como líder, concentrando el 20 por ciento del total de las alertas registradas, muy por encima del resto de amenazas.

   Asimismo, el informe recoge el amplio crecimiento que ha mostrado la técnica de distribución de 'malware' ClickFix en España, que ya representa el segundo vector de ataque más común de la mano de FakeCaptcha, con un siete por ciento de las alertas registradas.

   Este método busca engañar al usuario con notificaciones de falsos errores de sistema o fallos en el CAPTCHA -la prueba que ayuda a distinguir a un humano de un robot-. Así, con el pretexto de solucionar estos errores, los ciberdelincuentes tratan de convencer a los usuarios de que ejecuten una serie de comandos, con los que realmente están implementando el 'malware' en su dispositivo.

   Según un ejemplo compartido por la compañía, a la hora de superar un filtro CAPTCHA, la página en cuestión solicita que los usuarios pulsen un botón para mostrar los pasos de verificación requeridos. Al clicar en dicho botón, copian un comando malicioso sin saberlo. Asimismo, los pasos sugeridos realmente hacen que el usuario habilite la línea de comandos, pegue el comando malicioso que había copiado previamente y pulse 'Enter' para ejecutarlo.

   "Con estas instrucciones, supuestamente, confirmamos que no somos un bot y, además, activamos la cadena de infección del 'malware' ejecutando un comando de PowerShell", ha sentenciado Albors. Esto puede ocasionar la descarga de todo tipo de cargas maliciosas, como el 'infostealer' LumaStealer, para robar información, así como troyanos de acceso remoto o puertas traseras.

   En concreto, esta amenaza ClickFix ha experimentado un crecimiento del 517 por ciento en los seis primeros meses del año y afecta a todos los sistemas operativos, ya sea Windows, Linux o macOS. Asimismo, su uso también se ha vinculado a grupos APT vinculados a gobiernos, incluidos actores norcoreanos, y se ha identificado en otros métodos de engaño como entrevistas de trabajo falsas o en supuestas soluciones para problemas informáticos compartidas en foros.

   Albors ha destacado igualmente la presencia de vulnerabilidades antiguas relacionadas con Microsoft Office dentro del ranking, una de ellas situada en cuarto lugar, que ya fueron solucionadas pero que continúan siendo explotadas porque algunas empresas utilizan sus sistemas ofimáticos sin actualizar.

'INFOSTEALER' SNAKESTEALER

   Por otra parte, los 'infostealers' o ladrones de información también son otra amenaza recogida en el informe. En este caso, destaca que, tras la caída del 'infostealer' conocido como Agent Tesla, que fue bloqueado de sus servidores, ya hay un nuevo sustituto.

   Se trata del 'infostealer' SnakeStealer, también conocido como Snake Keylogger, que se ha posicionado como el más detectado por ESET en España, representando el 33 por ciento de todas las detecciones. Además, España es el tercer país con más detecciones de SnakeStealer, solo por detrás de Turquía y Japón.

   Este 'malware' puede registrar la pulsación de teclas, robar credenciales y datos que estén en el portapapeles y capturar información de la pantalla. Se suele distribuir a través de campañas de correo electrónico, suplantando a organismos oficiales o empresas conocidas.

   Agent Tesla, por su parte, ha disminuido hasta la cuarta posición en España con un 5,6 por ciento. Se ha de tener en cuenta que se mantienen otros 'infostealers', como LummaStealer, aunque "está por ver cuánto tiempo aguantará" este último.

   Esto se debe a que, tal y como ha recordado Albors, durante la segunda mitad de 2024, las fuerzas policiales, apoyadas por compañías de ciberseguridad como ESET, llevaron a cabo la operación Magnus, con la que desmantelaron los 'infostealers' RedLine y META. Lo mismo ha ocurrido recientemente con LummaStealer, una operación en la que ESET ha proporcionado análisis técnicos e información utilizando sus sistemas automatizados.

RANSOMHUB Y DRAGONFORCE COMO NUEVOS LÍDERES DE 'RANSOMWARE'

   Por su parte, el 'ransomware' ha crecido un 15 por ciento a nivel global durante los seis primeros meses de 2025, con 5.100 incidentes reportados. No obstante, el valor total de los rescates pagados ha disminuido un 35 por ciento, lo que refleja una mejora en las defensas. Todo ello ha afectado principalmente a las pequeñas y medianas empresas "con un fuerte impacto económico y reputacional".

   Concretamente, España ocupa una posición de media tabla dentro de los diez países más afectados por el 'ransomware', mientras que países del entorno como Francia o Alemania, sufren más incidencias. Así, Estados Unidos es el país más afectado con más de 1.700 ataques identificados.

   El informe también detecta una transición en el liderazgo del 'ransomware', con grupos como RansomHub o DragonForce tomando el relevo de LockBit y BlackCat tras sus recientes desarticulaciones.

TECNOLOGÍA NFC Y CRIPTOMONEDAS

   En el entorno móvil, se ha observado un incremento del 160 por ciento en detecciones de 'adware' en Android, destacando el papel de la amenaza Kaleidoscope, que utiliza versiones duplicadas de 'apps' populares para engañar al usuario.

   Asimismo, los ataques mediante tecnología de comunicación de campo cercano (NFC, por sus siglas en inglés) han crecido de forma exponencial, pasando de ser "marginales a representar una amenaza creciente a nivel global".

   También han ganado peso las estafas relacionadas con inversiones fraudulentas en criptomonedas, que han usado como gancho a figuras públicas para difundir contenido engañoso. De hecho, España se sitúa entre los cinco países con más detecciones de troyanos bancarios en dispositivos Android.