ESET publicó su último Informe de Amenazas, que resume las tendencias del panorama de amenazas observadas desde su telemetría y analizada por el equipo de especialistas en detección e investigación de amenazas de ESET, desde diciembre de 2024 hasta mayo de 2025.
“Uno de los desarrollos más sorprendentes de este período fue la aparición de ClickFix, un nuevo vector de ataque engañoso que se disparó más de un 500% en comparación con el segundo semestre de 2024 en la telemetría de ESET. Esto lo convierte en una de las amenazas de más rápido crecimiento, representando casi el 8% de todos los ataques bloqueados en el primer semestre de 2025 y es ahora el segundo vector de ataque más común después del phishing”, destaca Jiří Kropáč, Director de Laboratorios de Prevención de Amenazas de ESET.
Los ataques ClickFix muestran un error falso que manipula a la víctima para que copie, pegue y ejecute comandos maliciosos en sus dispositivos. El vector de ataque afecta a los principales sistemas operativos, incluidos Windows, Linux y macOS. “La lista de amenazas a las que conducen los ataques ClickFix crece día a día, incluyendo infostealers, ransomware, troyanos de acceso remoto, cryptominers, herramientas de post-explotación e incluso malware personalizado de actores de amenazas alineados con estados-nación”, afirma Kropáč de ESET.
El panorama del robo de información también experimentó cambios significativos. Mientras Agent Tesla se quedaba obsoleto, SnakeStealer (también conocido como Snake Keylogger) tomó la delantera, convirtiéndose en el infostealer más detectado en la telemetría de ESET. Las capacidades de SnakeStealer incluyen el registro de pulsaciones de teclas, el robo de credenciales guardadas, la captura de pantallas y la recopilación de datos del portapapeles. Mientras tanto, ESET contribuyó a importantes operaciones de interrupción dirigidas a Lumma Stealer y Danabot, dos prolíficas amenazas de malware como servicio.
Antes de la interrupción, la actividad de Lumma Stealer en el primer semestre de 2025 fue superior a la del segundo semestre de 2024 (+21%) y la de Danabot aumentó aún más, un 52% más. Esto demuestra que ambas eran amenazas prolíficas, lo que hace que su interrupción sea mucho más importante.
El panorama del ransomware continúa inestable, con luchas entre bandas rivales que afectaron a varios actores, incluido el principal ransomware como servicio, RansomHub. Los datos anuales de 2024 muestran que, mientras que los ataques de ransomware y el número de bandas activas han crecido, los pagos de rescates experimentaron un descenso significativo. Esta discrepancia puede ser el resultado de los retiros y las estafas de salida que remodelaron el panorama del ransomware en 2024, pero según ESET también puede deberse en parte a una menor confianza en la capacidad de las bandas para cumplir su parte del trato.
En cuanto a Android, las detecciones de adware se dispararon un 160%, impulsadas en gran medida por una nueva y sofisticada amenaza apodada Kaleidoscope. Este malware utiliza una estrategia engañosa de gemelo malvado para distribuir aplicaciones maliciosas que bombardean a los usuarios con anuncios intrusivos, degradando el rendimiento del dispositivo. Al mismo tiempo, el fraude basado en NFC se disparó más de treinta y cinco veces, impulsado por campañas de phishing e ingeniosas técnicas de retransmisión. Aunque las cifras globales siguen siendo modestas, este salto pone de manifiesto la rápida evolución de los métodos de los ciberdelincuentes y su continuo interés por explotar la tecnología NFC.
La investigación de ESET sobre GhostTap muestra cómo roba los datos de las tarjetas para que los atacantes puedan cargar las tarjetas de las víctimas en sus propias carteras digitales e intervenir teléfonos para realizar pagos fraudulentos sin contacto en todo el mundo. Las granjas de fraude organizadas utilizan varios teléfonos para llevar a cabo estas estafas. SuperCard X empaqueta el robo NFC como una herramienta sencilla y minimalista de malware como servicio. Se presenta como una aplicación inofensiva relacionada con NFC y, una vez instalada en el dispositivo de la víctima, captura y transmite silenciosamente los datos de la tarjeta en tiempo real para obtener pagos rápidos.
Principales datos del informe:
-
Las detecciones de adware para Android se dispararon un 160% debido al malware Kaleidoscope, mientras que el fraude basado en NFC se multiplicó por más de 35 veces, con herramientas como GhostTap y SuperCard X que permitieron más robos de monederos digitales.
-
El vector de ataque ClickFix, un falso error engañoso, aumentó en más de un 500%, convirtiéndose en el segundo método de ataque más común después del phishing, y responsable de casi el 8% de todos los ataques bloqueados.
-
SnakeStealer superó a Agent Tesla como el infostealer más detectado, mientras que ESET ayudó a desbaratar dos importantes operaciones de malware como servicio: Lumma Stealer y Danabot.
-
Las rivalidades entre bandas de ransomware, incluida RansomHub, provocaron el caos interno. A pesar del aumento de los ataques, el pago de rescates descendió debido a las retiradas y a los problemas de confianza.
