Una visión del panorama de amenazas del segundo semestre de 2025 según lo visto por la telemetría de ESET y desde la perspectiva de los expertos en investigación y detección de amenazas de ESET
16 de diciembre de 2025
•
,
2 min. leer
La segunda mitad del año subrayó la rapidez con la que los atacantes se adaptan e innovan, con rápidos cambios que se extienden por todo el panorama de amenazas.
El malware impulsado por IA pasó de la teoría a la realidad en el segundo semestre de 2025, cuando ESET descubrió PromptLock, el primer ransomware conocido impulsado por IA, capaz de generar scripts maliciosos sobre la marcha. Si bien la IA todavía se utiliza principalmente para crear contenido convincente de phishing y estafa, PromptLock (y un puñado de otras amenazas impulsadas por IA identificadas hasta el día de hoy) señalan una nueva era de amenazas.
Después de su disrupción global en mayo, Lumma Stealer logró resurgir brevemente (dos veces), pero lo más probable es que sus días de gloria hayan terminado. Las detecciones se desplomaron un 86% en el segundo semestre de 2025 en comparación con la primera mitad del año, y un importante vector de distribución de Lumma Stealer (el troyano HTML/FakeCaptcha, utilizado en ataques ClickFix) casi desapareció de nuestra telemetría.
Mientras tanto, CloudEyE, también conocido como GuLoader, saltó a la fama, multiplicándose casi por treinta en la telemetría de ESET. Distribuido a través de campañas de correo electrónico maliciosas, este descargador y criptográfico de malware como servicio se utiliza para implementar otro malware, incluido ransomware, así como gigantes de ladrones de información como Rescoms, Formbook y Agent Tesla.
En la escena del ransomware, el número de víctimas superó el total de 2024 mucho antes de fin de año, y las proyecciones de ESET Research apuntan a un aumento interanual del 40%. Akira y Qilin ahora dominan el mercado de ransomware como servicio, mientras que el recién llegado de bajo perfil Warlock introdujo técnicas de evasión innovadoras. Los asesinos de EDR continuaron proliferando, lo que pone de relieve que las herramientas de respuesta y detección de endpoints siguen siendo un obstáculo importante para los operadores de ransomware. El segundo semestre de 2025 también trajo un desagradable recuerdo del ransomware Petya/NotPetya, cuando los investigadores de ESET descubrieron HybridPetya, un nuevo derivado del infame malware capaz de comprometer los sistemas modernos basados en UEFI.
En la plataforma Android, las amenazas NFC continuaron creciendo en escala y sofisticación, con un aumento del 87 % en la telemetría de ESET y varias actualizaciones y campañas notables observadas en el segundo semestre de 2025. NGate, un pionero entre las amenazas NFC, descrito por primera vez por ESET en 2024, recibió una actualización en forma de robo de contactos, lo que probablemente sienta las bases para futuros ataques. RatOn, un malware completamente nuevo en la escena del fraude NFC, trajo una rara fusión de capacidades RAT y ataques de retransmisión NFC, lo que muestra la determinación de los ciberdelincuentes de buscar nuevas vías de ataque.
Los estafadores detrás de las estafas de inversión de Nomani también han perfeccionado sus técnicas: hemos observado deepfakes de mayor calidad, señales de sitios de phishing generados por IA y campañas publicitarias cada vez más efímeras para evitar la detección. En la telemetría de ESET, las detecciones de estafas de Nomani crecieron un 62 % año tras año, y la tendencia disminuyó ligeramente en el segundo semestre de 2025.
Siga la investigación de ESET sobre incógnita, cielo azul y Mastodonte para obtener actualizaciones periódicas sobre tendencias clave y amenazas principales.Para obtener más información sobre cómo la inteligencia sobre amenazas puede mejorar la postura de ciberseguridad de su organización, visite el Inteligencia de amenazas de ESET página.
Acerca del autor
