La primera mitad de 2026 muestra cómo los atacantes continúan mejorando la eficiencia y escalabilidad de sus operaciones. En lugar de depender de métodos y herramientas completamente nuevos, están adaptando rápidamente técnicas consolidadas a nuevas plataformas, tecnologías y comportamientos de los usuarios.

La inteligencia artificial está desempeñando un papel cada vez más importante en esta evolución. Durante el primer semestre de 2026, ESET analizó cerca de 900.000 AI skills —pequeños componentes funcionales utilizados por agentes de IA— e identificó decenas de miles de instancias sospechosas y miles de instancias directamente maliciosas. La cantidad de AI skills dentro de este nuevo ecosistema está creciendo rápidamente en este mismo momento, ampliando aún más la superficie de ataque.

La IA también está comenzando a aparecer dentro del propio malware. Poco después de la aparición del primer ransomware impulsado por IA en 2025, los investigadores de ESET identificaron PromptSpy, el primer malware para Android conocido que utiliza IA generativa en su flujo de ejecución. Este malware aprovecha la IA —específicamente Gemini de Google— para interpretar elementos de la interfaz de usuario y adaptarse a distintos dispositivos y entornos sin depender de comportamientos codificados de forma rígida (hardcoded). Aunque sigue siendo poco frecuente, PromptSpy ilustra el potencial de una mayor flexibilidad en las amenazas futuras, si bien las salvaguardas incorporadas en los modelos de lenguaje de gran tamaño (LLM) probablemente estén ralentizando su adopción.

ClickFix —una técnica de ingeniería social que utiliza mensajes de error falsos— ha ampliado su alcance más allá de los falsos desafíos CAPTCHA hacia páginas de soporte con temática de IA, extensiones de navegador y escenarios de autenticación en la nube. Las detecciones de ESET de este vector se duplicaron con creces entre el segundo semestre de 2025 y el primer semestre de 2026, lo que indica una actividad sostenida y una continua adaptación.

Las campañas de phishing también están evolucionando en respuesta a los cambios en el comportamiento de los usuarios. El phishing mediante códigos QR —también conocido como quishing— alcanzó niveles récord en la telemetría de ESET, con atacantes que incorporan enlaces maliciosos en códigos QR para evadir inspecciones superficiales y trasladar la interacción del usuario a dispositivos móviles, al tiempo que explotan la confianza implícita que muchas personas depositan en estos patrones en blanco y negro.

Por último, pero no menos importante, la actividad de ransomware no mostró señales de desaceleración, con el uso continuado de EDR killers, herramientas diseñadas para desactivar soluciones de seguridad durante los ataques. ESET Research ha documentado más de 100 EDR killers utilizados en ataques reales, y continúan apareciendo nuevas variantes de forma regular. Al mismo tiempo, los datos de múltiples fuentes muestran que una proporción cada vez menor de las víctimas opta por pagar rescates, lo que sugiere ciertos avances en las medidas de mitigación y respuesta.

Sigue a ESET Research en X, Bluesky y Mastodon para recibir actualizaciones periódicas sobre las principales tendencias y amenazas. Para obtener más información sobre cómo la inteligencia sobre amenazas puede mejorar la postura de ciberseguridad de su organización, visite la página de ESET Threat Intelligence.