
España continúa consolidándose como uno de los principales objetivos de la ciberdelincuencia a nivel mundial. Así lo refleja el nuevo ESET Threat Report H1 2026, elaborado a partir de la telemetría de la compañía y del trabajo de sus investigadores entre diciembre de 2025 y mayo de 2026, que sitúa a nuestro país como el tercer territorio con mayor volumen de ciberamenazas detectadas, solo por detrás de Japón y Polonia, y por encima de potencias como Estados Unidos o China.
Los resultados, presentados por Josep Albors, responsable de Investigación y Concienciación de ESET España, durante un webinar celebrado con medios y periodistas especializados, muestran un panorama marcado por la evolución de amenazas ya conocidas, que cada vez más aprovechan la inteligencia artificial para automatizar procesos, mejorar las campañas de ingeniería social y aumentar su eficacia.
«No estamos viendo una sustitución de las amenazas tradicionales, sino una evolución”, explicó Josep Albors, responsable de Investigación y Concienciación de ESET España. La inteligencia artificial está permitiendo a los ciberdelincuentes automatizar procesos, personalizar ataques y adaptarse mucho más rápido a nuevos escenarios. Eso hace que amenazas conocidas sean hoy más eficaces, escalables y difíciles de detectar».
España sigue entre los países con mayor actividad cibercriminal
Durante el primer semestre de 2026, España concentró el 7,43% de todas las detecciones de amenazas registradas por ESET, manteniéndose como el tercer país del mundo con mayor actividad, únicamente por detrás de Japón (10,15%) y Polonia (7,77%). En paralelo, el ransomware continúa siendo una de las amenazas más relevantes tanto a nivel internacional como en nuestro país. Durante este periodo destacaron campañas protagonizadas por grupos como The Gentlemen, que se caracteriza por adaptar sus herramientas durante el ataque para superar las defensas de cada víctima y utilizar un amplio repertorio de herramientas diseñadas para desactivar soluciones de seguridad (EDR Killers).
Las campañas protagonizadas por infostealers y troyanos bancarios como Formbook, Agent Tesla, Grandoreiro, Casbaneiro o Mispadu también mantuvieron una elevada actividad, recurriendo principalmente al phishing para distribuir malware y robar credenciales tanto de particulares como de empresas.
La inteligencia artificial acelera la profesionalización del cibercrimen
Uno de los aspectos más destacados del informe es el creciente uso de la inteligencia artificial dentro del ecosistema criminal. Los llamados Agentic Skills – pequeños complementos que permiten a agentes de IA ejecutar tareas concretas – están ampliando rápidamente la superficie de ataque y ofreciendo nuevas oportunidades para los delincuentes. Estos skills pueden realizar numerosas funciones que van desde simples chatbots a complejos operadores autónomos con una elevada capacidad de decisión que incluyen el acceso a operaciones financieras.
Durante este semestre, ESET pasó de analizar alrededor de 60.000 AI Skills únicos en marzo a cerca de 900.000 a finales de mayo. En ese mismo periodo, el número de skills sospechosos aumentó de aproximadamente 10.000 a 25.000, mientras que aquellos identificados como maliciosos crecieron desde unos 600 hasta superar los 3.000.
Además, la inteligencia artificial ya ha comenzado a integrarse directamente en el malware. Durante el primer semestre de 2026, los investigadores de ESET identificaron PromptSpy, considerado el primer malware para Android que utiliza inteligencia artificial generativa para automatizar determinadas acciones durante su ejecución y mantener la persistencia en el dispositivo comprometido. A diferencia de otras amenazas, utiliza la IA para interpretar la pantalla del dispositivo y automatizar acciones complejas, lo que incrementa su capacidad de adaptación.
ClickFix evoluciona y el quishing bate récords
Las campañas de ingeniería social también continúan evolucionando. Tras la aparición de ClickFix el pasado año, esta técnica ha dado lugar a nuevas variantes como AI-Fix, que aprovecha supuestas respuestas generadas por inteligencia artificial para resolver problemas inexistentes; CrashFix, basada en falsos errores del navegador; y ConsentFix, orientada al robo de sesiones en servicios cloud mediante el abuso de OAuth, sin necesidad de sustraer credenciales o superar mecanismos de autenticación multifactor.
Las detecciones relacionadas con estas amenazas crecieron un 108% durante la primera mitad de 2026 respecto al semestre anterior, situando nuevamente a España entre los países donde más actividad se registra.
El informe también pone de relieve el crecimiento del quishing, una modalidad de phishing que utiliza códigos QR para redirigir a las víctimas hacia páginas fraudulentas. Los ciberdelincuentes los envían por correo o los colocan incluso físicamente en establecimientos o en la calle para conducir a la víctima a páginas falsas donde roban credenciales o datos de pago. En este ámbito, España ocupa la segunda posición mundial, concentrando el 17% de todas las detecciones registradas por ESET, solo por detrás de Estados Unidos (19%). Los delincuentes aprovechan la confianza que muchos usuarios depositan en estos códigos y el hecho de que la interacción suele trasladarse al teléfono móvil, donde las medidas de protección pueden ser menores.
El fraude móvil continúa evolucionando
En el entorno móvil, ESET también advierte del crecimiento de amenazas como NGate, un malware para Android que utiliza la tecnología NFC para robar información de tarjetas bancarias mediante aplicaciones falsas y páginas que suplantan servicios legítimos. Esta técnica ya ha comenzado a detectarse en España y permite realizar compras no autorizadas o incluso retiradas de efectivo sin necesidad de sustraer físicamente la tarjeta de la víctima.
Según ESET, este tipo de fraudes evolucionan con rapidez y los delincuentes combinan la ingeniería social, apps troyanizadas y señuelos urgentes que parecen venir de sitios webs de confianza, como entidades bancarias o tiendas online, para que el usuario colabore sin darse cuenta.
«Los datos de este informe evidencian que el panorama de amenazas es cada vez más diverso y complejo. Conviven campañas masivas dirigidas a miles de usuarios con ataques mucho más selectivos y especializados contra organizaciones. El hecho de que España siga apareciendo entre los países con mayor actividad de amenazas debe servir como una llamada de atención, ya que demuestra que no hablamos de un fenómeno puntual, sino de una tendencia consolidada. El reto ya no es solo responder a las amenazas cuando aparecen, sino desarrollar una capacidad continua de prevención y adaptación que permita minimizar su impacto tanto en empresas como en usuarios«, concluye Albors.
Para obtener más información, descarga el ESET Threat Report H1 2025 en WeLiveSecurity.com.