ESET publicó su último Informe de Amenazas, que analiza las tendencias observadas en el panorama de ciberseguridad desde diciembre de 2024 hasta mayo de 2025, basándose en la telemetría y el trabajo de su equipo especializado en detección e investigación de amenazas.
Uno de los hallazgos más destacados del informe es el crecimiento exponencial del vector de ataque denominado ClickFix, un falso error engañoso que aumentó más de un 500% respecto al segundo semestre de 2024. Según Jiří Kropáč, director de Laboratorios de Prevención de Amenazas de ESET, “esto lo convierte en una de las amenazas de más rápido crecimiento, representando casi el 8% de todos los ataques bloqueados en el primer semestre de 2025 y es ahora el segundo vector de ataque más común después del phishing”. Este método manipula a las víctimas para que copien, peguen y ejecuten comandos maliciosos en sus dispositivos, afectando a los principales sistemas operativos como Windows, Linux y macOS. Kropáč añade que “la lista de amenazas a las que conducen los ataques ClickFix crece día a día, incluyendo infostealers, ransomware, troyanos de acceso remoto, cryptominers, herramientas de post-explotación e incluso malware personalizado de actores de amenazas alineados con estados-nación”.
En el ámbito del robo de información, el informe señala un cambio significativo: SnakeStealer, también conocido como Snake Keylogger, superó a Agent Tesla como el infostealer más detectado. Este malware registra pulsaciones de teclas, roba credenciales guardadas, captura pantallas y recopila datos del portapapeles. Paralelamente, ESET colaboró en la interrupción de dos importantes operaciones de malware como servicio: Lumma Stealer y Danabot. Antes de su desarticulación, la actividad de Lumma Stealer creció un 21% en el primer semestre de 2025 respecto al semestre anterior, mientras que Danabot aumentó un 52%, lo que evidencia la relevancia de estas amenazas.
El panorama del ransomware continúa siendo inestable debido a las rivalidades entre bandas, incluyendo a RansomHub, uno de los principales ransomware como servicio. Aunque los ataques y el número de bandas activas aumentaron en 2024, los pagos de rescates descendieron notablemente. Esta discrepancia se atribuye a las retiradas y estafas de salida que modificaron el escenario, así como a una menor confianza en la capacidad de las bandas para cumplir con sus acuerdos.
En cuanto a dispositivos Android, las detecciones de adware se incrementaron un 160%, impulsadas principalmente por el malware Kaleidoscope. Este utiliza una estrategia de “gemelo malvado” para distribuir aplicaciones maliciosas que saturan a los usuarios con anuncios intrusivos, afectando el rendimiento del dispositivo. Además, el fraude basado en tecnología NFC se multiplicó por más de treinta y cinco, impulsado por campañas de phishing y técnicas de retransmisión. Aunque las cifras globales aún son modestas, este aumento refleja la rápida evolución de los métodos de los ciberdelincuentes y su interés por explotar esta tecnología.
La investigación de ESET sobre GhostTap revela cómo este malware roba datos de tarjetas para que los atacantes puedan cargar las tarjetas de las víctimas en sus propias carteras digitales y realizar pagos fraudulentos sin contacto a nivel mundial. Estas estafas se llevan a cabo mediante granjas de fraude que utilizan múltiples teléfonos. Por su parte, SuperCard X se presenta como una herramienta sencilla de malware como servicio que, disfrazada de aplicación inofensiva relacionada con NFC, captura y transmite en tiempo real los datos de la tarjeta para facilitar pagos rápidos.
Jiří Kropáč resume el informe señalando que “desde novedosas técnicas de ingeniería social hasta sofisticadas amenazas móviles e importantes interrupciones de infosteadores, el panorama de amenazas en la primera mitad de 2025 fue de todo menos aburrido”.
Para más información, ESET pone a disposición el Informe de Amenazas H1 2025 y su portal de noticias, así como el podcast Conexión Segura, que aborda las novedades en seguridad informática.
