Comunidad de Byte TI

Únete a la Comunidad de Directivos de Tecnología, Ciberseguridad e Innovación Byte TI

Encontrarás un espacio diseñado para líderes como tú.

ESET Skills maliciosas y cibercrimen

La IA acelera la profesionalización del cibercrimen mientras España sigue entre los países más atacados

Las grandes amenazas asociadas al cibercrimen mantienen prácticamente los mismos nombres que hace unos años. El ransomware continúa extorsionando a empresas, el phishing sigue siendo la principal vía de acceso para los atacantes y los troyanos bancarios no dejan de evolucionar. Sin embargo, bajo esa aparente continuidad se está produciendo una transformación mucho más profunda: la inteligencia artificial está redefiniendo la forma en que operan los ciberdelincuentes, permitiéndoles automatizar procesos, adaptar sus campañas en tiempo real y aumentar significativamente la eficacia de sus ataques.

Ese fue el principal mensaje que trasladó Josep Albors, responsable de Investigación y Concienciación de ESET España, durante la presentación del Threat Report H1 2026, un informe que analiza la evolución de las amenazas detectadas entre diciembre de 2025 y mayo de 2026. Los datos vuelven a situar a España como uno de los países más castigados por la ciberdelincuencia, al concentrar el 7,43% de todas las detecciones registradas por la compañía y ocupar la tercera posición mundial, solo por detrás de Japón y Polonia.

Pero, más allá del dato estadístico, el verdadero cambio reside en la evolución de las propias amenazas. «No estamos viendo una sustitución de las amenazas tradicionales, sino una evolución», resumió Albors durante la presentación. «La IA está permitiendo a los ciberdelincuentes automatizar procesos, personalizar ataques y adaptarse mucho más rápido a nuevos escenarios». En otras palabras, no han aparecido nuevas familias de malware capaces de revolucionar el panorama, sino que las ya conocidas están incorporando capacidades que las hacen mucho más eficaces.

Ransomware: ataques más selectivos y mejor preparados

El ransomware continúa siendo una de las actividades más lucrativas del cibercrimen. Aunque el número de organizaciones que pagan rescates ha disminuido respecto a hace cuatro o cinco años, Albors advirtió durante el encuentro de que muchas compañías siguen optando por pagar sin denunciar el incidente, especialmente cuando los delincuentes amenazan con publicar la información robada. Esta falta de visibilidad impide conocer la verdadera dimensión del problema.

En España, los sectores de servicios, turismo e industria continúan figurando entre los principales objetivos de estas campañas. Sin embargo, el aspecto más llamativo no es tanto el perfil de las víctimas como el grado de especialización alcanzado por algunos grupos.

Uno de ellos es The Gentlemen, una organización que ha protagonizado un importante pico de actividad durante el primer semestre. A diferencia de otras bandas que lanzan campañas masivas, este grupo selecciona cuidadosamente a sus objetivos. «No busca víctimas al azar, sino organizaciones que sabe que pueden asumir el pago del rescate y cuyas defensas pueden superar adaptando sus propias herramientas de ataque», explicó Albors.

El informe destaca además el uso de un amplio repertorio de utilidades para el cibercrimen, como los denominados EDR Killers, diseñadas específicamente para neutralizar soluciones de seguridad antes de desplegar el cifrado de los sistemas. Una muestra de hasta qué punto el ransomware se ha convertido en una actividad altamente profesionalizada.

La IA ya forma parte del malware

Si hasta hace poco la inteligencia artificial se utilizaba principalmente para redactar correos de phishing más convincentes o automatizar campañas de ingeniería social, durante este semestre ESET ha detectado un paso más allá: la integración de IA generativa en el propio malware.

Uno de los ejemplos más representativos es PromptSpy, considerado por los investigadores como uno de los primeros códigos maliciosos para Android que utiliza modelos de IA durante su ejecución. En lugar de limitarse a ejecutar instrucciones programadas, interpreta el contenido de la pantalla del dispositivo para automatizar acciones complejas, mantener la persistencia en el sistema comprometido y adaptarse dinámicamente a cada situación.

«La IA hace que el malware sea mucho más adaptable y resistente. Los delincuentes pueden modificarlo con bastante rapidez para ajustarlo al tipo de ataque que quieran llevar a cabo», señaló Albors. Una capacidad que reduce los tiempos de desarrollo y permite a los grupos del cibercrimen reaccionar con rapidez ante nuevas medidas defensivas.

Los Agentic Skills abren un nuevo escenario

Otro de los fenómenos que más preocupa a los investigadores es la rápida proliferación de los llamados Agentic Skills, pequeños módulos que amplían las capacidades de los agentes de inteligencia artificial.

Aunque la mayoría han sido diseñados para automatizar tareas legítimas, ESET está detectando un número creciente de complementos desarrollados con fines maliciosos. Estos skills pueden facilitar la exfiltración de datos, manipular sistemas, modificar el comportamiento de agentes mediante técnicas de prompt injection o automatizar distintas fases de un ataque.

Durante la presentación, Albors alertó del enorme crecimiento experimentado por este ecosistema en apenas unos meses y llamó a extremar la prudencia. «Estamos viendo cómo estos skills pueden utilizarse para filtrar información, manipular sistemas o alterar el comportamiento de agentes de IA. La ciberdelincuencia está escalando muy deprisa en este ámbito», advirtió.

La ingeniería social sigue siendo el arma más eficaz

Mientras la inteligencia artificial aporta nuevas capacidades a los atacantes, la ingeniería social continúa siendo el principal punto de entrada. El informe refleja un incremento del 108% en las campañas basadas en ClickFix, una técnica que convence al usuario para ejecutar voluntariamente código malicioso creyendo que está solucionando un supuesto problema técnico. Sobre esta base han surgido nuevas variantes del cibercrimen como AI-Fix, que aprovecha falsos tutoriales para instalar modelos de inteligencia artificial, o CrashFix, que simula errores del navegador para inducir a la víctima a copiar instrucciones comprometidas.

«Los delincuentes han comprobado que es mucho más fácil convencer al usuario para que ejecute él mismo el código malicioso que buscar vulnerabilidades especialmente complejas», resumió Albors. Una reflexión que explica por qué estas campañas siguen creciendo a pesar de la mejora de las soluciones de protección.

España, referente también en quishing

El phishing continúa encabezando la clasificación de amenazas detectadas, aunque una de sus variantes destaca especialmente por su rápido crecimiento: el quishing, basado en el uso de códigos QR para redirigir a las víctimas hacia páginas fraudulentas.

España ocupa ya la segunda posición mundial en detecciones de esta modalidad, solo por detrás de Estados Unidos. Los ciberdelincuentes distribuyen estos códigos mediante correos electrónicos, documentos o incluso soportes físicos para conducir a los usuarios hacia páginas falsas donde capturan credenciales o datos bancarios. La popularización de los pagos móviles y la confianza que muchos usuarios depositan en este tipo de códigos están favoreciendo el éxito de estas campañas.

Junto a ello, ESET sigue detectando una intensa actividad de infostealers como Formbook o AgentTesla y el regreso de campañas vinculadas a troyanos bancarios brasileños que suplantan la identidad de empresas energéticas, organismos públicos o administraciones para distribuir archivos maliciosos. El informe también advierte de la llegada a España de amenazas móviles capaces de aprovechar la tecnología NFC para robar información de tarjetas bancarias mediante aplicaciones fraudulentas, una técnica detectada inicialmente en países del este de Europa y que ya comienza a extenderse en nuestro país.

El escenario que dibuja el Threat Report H1 2026 de ESET apunta a una conclusión clara: la inteligencia artificial no está sustituyendo las amenazas tradicionales, sino multiplicando su capacidad para evolucionar. «Los datos evidencian que el panorama de amenazas es cada vez más diverso y complejo. Ya no hablamos de un fenómeno puntual, sino de una tendencia consolidada», concluyó Albors. En este contexto, el reto para empresas y usuarios ya no consiste únicamente en reaccionar cuando se produce un incidente, sino en desarrollar una capacidad continua de prevención, adaptación y concienciación capaz de anticiparse a unas amenazas que evolucionan prácticamente al mismo ritmo que la propia inteligencia artificial.

Deja un comentario

Scroll al inicio