Una visión del panorama de amenazas del primer semestre de 2026 visto por la telemetría de ESET y desde la perspectiva de los expertos en investigación y detección de amenazas de ESET.
08 de julio de 2026
•
,
2 min. leer

La primera mitad de 2026 muestra cómo los atacantes continúan mejorando la eficiencia y escalabilidad de sus operaciones. En lugar de depender de métodos y herramientas completamente nuevos, están adaptando rápidamente técnicas establecidas a nuevas plataformas, tecnologías y comportamientos de los usuarios.
La inteligencia artificial está desempeñando un papel cada vez más importante en este desarrollo. En el primer semestre de 2026, ESET analizó casi 900.000 habilidades de IA (pequeños componentes funcionales utilizados por agentes de IA) e identificó decenas de miles de instancias sospechosas y miles de instancias directamente maliciosas. La cantidad de habilidades de IA dentro de este nuevo ecosistema está creciendo rápidamente “mientras hablamos”, ampliando aún más la superficie de ataque.
La IA también está empezando a aparecer dentro del propio malware. Poco después de la aparición del primer ransomware impulsado por IA en 2025, los investigadores de ESET identificaron PromptSpy, el primer malware conocido para Android que utiliza IA generativa en su flujo de ejecución. El malware aprovecha la IA (específicamente, Gemini de Google) para interpretar elementos de la interfaz de usuario y adaptarse entre dispositivos y entornos sin depender de un comportamiento codificado. Aunque todavía es poco común, PromptSpy ilustra el potencial de una mayor flexibilidad en amenazas futuras, aunque las barreras contra el abuso incluidas en los LLM probablemente estén frenando su adopción.
ClickFix, una técnica de ingeniería social que aprovecha mensajes de error falsos, se ha expandido más allá de las indicaciones CAPTCHA falsas hacia páginas de ayuda con temas de IA, extensiones de navegador y escenarios de autenticación en la nube. Las detecciones de ESET de este vector se duplicaron entre el segundo semestre de 2025 y el primer semestre de 2026, lo que indica una actividad y adaptación sostenidas.
Las campañas de phishing también están evolucionando en respuesta al comportamiento de los usuarios. El phishing de códigos QR, también conocido como quishing, ha alcanzado niveles récord en la telemetría de ESET, con atacantes incorporando enlaces maliciosos en códigos QR para evitar una inspección superficial y trasladar la interacción del usuario a dispositivos móviles, mientras explotan la confianza implícita que muchas personas depositan en los cuadrados en blanco y negro.
Por último, pero no menos importante, la actividad del ransomware no mostró signos de desaceleración, con el uso continuo de EDR Killers, herramientas diseñadas para desactivar el software de seguridad durante los ataques. ESET Research ha documentado más de 100 asesinos de EDR utilizados en la naturaleza, y aparecen nuevas variantes con regularidad. Al mismo tiempo, datos de múltiples fuentes muestran que una proporción cada vez menor de víctimas está optando por pagar rescates, lo que sugiere algunos avances en las medidas de mitigación y respuesta.
Siga la investigación de ESET sobre incógnita, cielo azul y Mastodonte para obtener actualizaciones periódicas sobre tendencias clave y amenazas principales.Para obtener más información sobre cómo la inteligencia sobre amenazas puede mejorar la postura de ciberseguridad de su organización, visite el Inteligencia de amenazas de ESET página.


