La inteligencia artificial crea un efecto multiplicador en los ciberataques
ESET, líder mundial en ciberseguridad, ha publicado su Informe de amenazas de medio tiempo de 2026, que resume las tendencias del panorama de amenazas observadas en la telemetría de ESET desde diciembre de 2025 hasta mayo de 2026 y los conocimientos de los expertos en investigación y detección de amenazas de ESET.

Según el informe, la primera mitad de 2026 muestra cómo los atacantes continúan mejorando la eficiencia y escalabilidad de sus operaciones. La inteligencia artificial (IA) está desempeñando un papel cada vez más importante en este desarrollo. ESET analizó cerca de 900 mil habilidades de IA, que son pequeños componentes funcionales utilizados por los agentes de IA. Detectó miles de muestras claramente maliciosas con decenas de miles de sospechosos. La inteligencia artificial también está comenzando a aparecer dentro del malware: los investigadores de ESET han identificado PromptSpy, el primer malware conocido para Android que utiliza IA generativa en su flujo de ejecución.
Jiří Kropáč, director de los laboratorios de prevención de amenazas de ESET, dijo: "En lugar de depender de métodos y herramientas completamente nuevos, los atacantes están adaptando rápidamente técnicas establecidas a nuevas plataformas, tecnologías y comportamientos de los usuarios. La cantidad de capacidades de IA en este nuevo ecosistema está aumentando rápidamente, lo que permite ataques". "Por otro lado, PromptSpy demuestra el potencial de una mayor resiliencia contra amenazas futuras, aunque las salvaguardas contra el uso indebido incluidas en los LLM probablemente estén frenando la adopción de esta tecnología".
Las capacidades de IA son pequeños complementos o conjuntos de instrucciones que le indican a un agente de IA cómo realizar una tarea específica, incluidos qué servicios o herramientas usar y a qué datos acceder. El informe publicado detalla detalles sobre habilidades maliciosas de IA que utilizan herramientas de piratería de terceros como Mimikatz o Impacket, así como habilidades sospechosas de automodificación diseñadas para crear un mecanismo de persistencia (archivo JSON) y una herramienta de automodificación (código Python). Esto puede provocar un comportamiento impredecible del agente o abuso por parte de un atacante. Finalmente, también existen capacidades inofensivas pero problemáticas comercializadas como escáneres de seguridad que crean una falsa sensación de seguridad pero solo aplican técnicas de escaneo básicas (como herramientas antivirus de la década de 1990) o consultan la reputación de hashes, URL y direcciones IP en VirusTotal.
ClickFix, una técnica de ingeniería social que aprovecha mensajes de error falsos, se ha expandido más allá de las alertas CAPTCHA falsas hacia páginas de ayuda con temas de IA, extensiones de navegador y escenarios de autenticación en la nube. AI-fix demuestra cómo los atacantes explotan la confianza en la IA generativa; Los atacantes están incorporando cadenas de ataque ClickFix en contenido de resolución de problemas generado por IA para problemas inexistentes en páginas que abusan de los dominios de los gigantes de la IA. ConsentFix, por otro lado, destaca una evolución hacia el robo de tokens, combinando la interacción estilo ClickFix con el abuso de autorización OAuth para hacerse cargo de cuentas en la nube sin la necesidad de robar credenciales y confiando en flujos de trabajo de inicio de sesión totalmente legítimos, a menudo evitando la autenticación multifactor (MFA). Las detecciones de este vector por parte de ESET se han más que duplicado entre la segunda mitad de 2025 y la primera mitad de 2026, lo que indica que la actividad continúa y los atacantes se están adaptando.
El phishing con códigos QR ha alcanzado niveles récord
Las campañas de phishing también están evolucionando en respuesta al comportamiento de los usuarios. El phishing con códigos QR, también conocido como “quishing”, ha alcanzado niveles récord en los datos de telemetría de ESET. Los atacantes están colocando enlaces maliciosos en códigos QR para eludir los controles y trasladar la interacción del usuario a dispositivos móviles, mientras explotan la confianza implícita que muchas personas depositan en los códigos de barras de patrón cuadrado. Aproximadamente el 11 por ciento de todos los correos electrónicos de phishing detectados en la primera mitad de 2026 utilizaron códigos QR, y las amenazas de phishing con códigos QR fueron más comunes en Estados Unidos (19 % de las detecciones), España (17 %) y México (6 %).
Los ataques de rescate continúan
La actividad de ransomware no ha mostrado signos de desaceleración; Se siguieron utilizando los asesinos de EDR diseñados para desactivar el software de seguridad durante los ataques. ESET Research ha documentado más de 100 asesinos de EDR diferentes en uso en el mundo real, y continúan surgiendo nuevas variantes con regularidad.Aunque el número de ataques de ransomware sigue aumentando en la primera mitad de 2026, el número de víctimas dispuestas a pagar ha alcanzado un mínimo histórico. Tres informes recientes de la industria confirman esta tendencia a la baja, informando que la proporción de víctimas que pagan está entre el 14 y el 28 por ciento.






