La segunda mitad del año evidenció la rapidez con la que los atacantes se adaptan e innovan, y estuvo marcada por cambios dinámicos en el panorama de las amenazas.

En este periodo, el malware basado en IA pasó de la teoría a la práctica cuando ESET descubrió PromptLock, el primer ransomware impulsado por IA, capaz de generar scripts maliciosos sobre la marcha. Aunque la IA todavía se utiliza principalmente para crear contenido convincente de phishing y estafas, PromptLock —junto con otras amenazas basadas en IA identificadas hasta la fecha— marca el inicio de una nueva era.

Tras su interrupción global en mayo, Lumma Stealer resurgió brevemente en dos ocasiones, pero todo indica que sus días de gloria han terminado. Las detecciones se desplomaron un 86% en el segundo semestre de 2025 comparado con el primero, y uno de sus principales vectores de distribución —el troyano HTML/FakeCaptcha, utilizado en los ataques ClickFix— casi desapareció de nuestra telemetría.

Mientras tanto, CloudEyE —también conocido como GuLoader— ganó protagonismo, multiplicándose casi por treinta en la telemetría de ESET. Distribuido a través de campañas de correo electrónico malicioso, este downloader y cryptor de malware-as-a-service (MaaS) se utiliza para desplegar otros programas maliciosos, incluido ransomware, así como gigantes del robo de información como Rescoms, Formbook y Agent Tesla.

En el ámbito del ransomware, el número de víctimas superó el total de 2024 mucho antes de finalizar el año, y las previsiones de ESET Research apuntan a un aumento interanual del 40%. Akira y Qilin dominan ahora el mercado del ransomware-as-a-service (RaaS), mientras que el recién llegado Warlock introdujo técnicas de evasión innovadoras. Los EDR killers siguieron proliferando, lo que pone de manifiesto que las herramientas de detección y respuesta de endpoints siguen siendo un obstáculo importante para los operadores de ransomware. El segundo semestre de 2025 trajo también un recuerdo del ransomware Petya/NotPetya, cuando los investigadores de ESET descubrieron HybridPetya, un nuevo derivado del infame malware capaz de comprometer sistemas modernos basados en UEFI.

En la plataforma Android, las amenazas NFC continuaron creciendo en escala y sofisticación, con un aumento del 87 % en la telemetría de ESET y varias actualizaciones y campañas destacadas en el segundo semestre de 2025. NGate —un pionero entre las amenazas NFC, descrito por primera vez por ESET en 2024— recibió una actualización en forma de robo de contactos, probablemente sentando las bases para futuros ataques. RatOn, un malware totalmente nuevo en la escena del fraude NFC, fusiona de forma poco común capacidades RAT y ataques de retransmisión NFC, lo que demuestra la determinación de los ciberdelincuentes de buscar nuevas vías de ataque.

Los estafadores detrás de las estafas de inversión Nomani también han refinado sus técnicas: hemos observado deepfakes de mayor calidad, indicios de sitios de phishing generados por IA y campañas publicitarias cada vez más efímeras para evitar ser detectados. En la telemetría de ESET, las detecciones de estafas Nomani crecieron un 62 % interanual, con una ligera tendencia a la baja en el segundo semestre de 2025.

Siga a ESET Research en XBluesky Mastodon para recibir actualzaciones periódicas sobre tendencias claves y principales amanezas.

Para obtener más información sobre cómo la inteligencia de amenazas puede mejorar la postura de ciberseguridad de su organización, visita la página de ESET Threat Intelligence.