La inteligencia artificial está transformando el panorama de la ciberseguridad. El nuevo ESET Threat Report del primer semestre de 2026 muestra cómo los ciberdelincuentes están utilizando IA para hacer sus ataques más eficientes y escalables. Entre los hallazgos más relevantes destacan la aparición de PromptSpy, el primer malware para Android que incorpora IA generativa en su funcionamiento, así como el crecimiento de técnicas como ClickFix, el quishing y el ransomware.
- La IA ya forma parte de las nuevas amenazas informáticas
- PromptSpy: el primer malware para Android que utiliza IA generativa
- ¿Qué son las AI Skills y por qué representan un riesgo?
- ClickFix evoluciona y ahora aprovecha la confianza en la IA
- El quishing alcanza niveles récord
- El ransomware sigue creciendo, aunque menos víctimas pagan rescates
- La IA cambia las reglas de la ciberseguridad
- Conoce el informe completo
El informe recopila información obtenida por la telemetría de ESET entre diciembre de 2025 y mayo de 2026, además del análisis realizado por sus especialistas en investigación y detección de amenazas.
La IA ya forma parte de las nuevas amenazas informáticas
Uno de los hallazgos más importantes del informe es que los atacantes ya no necesitan crear métodos completamente nuevos para comprometer sistemas. En cambio, están adaptando tácticas conocidas para aprovechar nuevas tecnologías, plataformas y hábitos de los usuarios.
Durante el primer semestre de 2026, ESET analizó cerca de 900 mil AI Skills, pequeños módulos que permiten a los agentes de inteligencia artificial ejecutar tareas específicas.
Los resultados fueron preocupantes:
- Se identificaron 25 mil AI Skills sospechosas.
- Más de 3 mil fueron clasificadas como maliciosas.
- El crecimiento de estas herramientas amplía considerablemente la superficie de ataque.
Estas habilidades pueden acceder a servicios externos, modificar código, interactuar con archivos o automatizar procesos, por lo que representan un nuevo desafío para la seguridad informática.
PromptSpy: el primer malware para Android que utiliza IA generativa
Otro descubrimiento relevante del reporte es PromptSpy, considerado el primer malware para Android conocido que utiliza IA generativa durante su ejecución.
A diferencia del malware tradicional, PromptSpy aprovecha Gemini, el modelo de inteligencia artificial de Google, para interpretar elementos de la interfaz del dispositivo y adaptarse automáticamente a diferentes teléfonos y configuraciones, sin depender de instrucciones rígidas programadas previamente.
Según ESET, este enfoque demuestra el potencial que tendrá la inteligencia artificial para hacer que futuras amenazas sean mucho más flexibles y difíciles de detectar.
“En lugar de recurrir a métodos y herramientas completamente nuevos, los atacantes están adaptando rápidamente técnicas ya establecidas a nuevas plataformas, tecnologías y comportamientos de los usuarios”, explicó Jiří Kropáč, director de los Laboratorios de Prevención de Amenazas de ESET.
El especialista añadió que, aunque los mecanismos de seguridad implementados en los modelos de lenguaje ayudan a limitar este tipo de abusos, el potencial de estas amenazas seguirá creciendo.
¿Qué son las AI Skills y por qué representan un riesgo?
Las AI Skills son pequeños complementos que indican a un agente de inteligencia artificial cómo ejecutar determinadas tareas.
Aunque muchas tienen usos legítimos, ESET encontró habilidades capaces de:
- Utilizar herramientas de hacking de terceros.
- Modificar automáticamente su propio código.
- Crear mecanismos de persistencia para mantenerse activos en un equipo.
- Ejecutar scripts en Python para alterar su comportamiento.
El informe también detectó herramientas que aparentan ser escáneres de seguridad, pero únicamente realizan verificaciones muy básicas, generando una falsa sensación de protección.
ClickFix evoluciona y ahora aprovecha la confianza en la IA
Otra de las amenazas que más creció durante el semestre fue ClickFix, una técnica de ingeniería social que engaña a los usuarios mediante falsos mensajes de error.
Originalmente utilizada para simular verificaciones CAPTCHA, ahora también aparece en:
- Sitios falsos de soporte técnico relacionados con IA.
- Extensiones de navegador.
- Procesos de autenticación en servicios en la nube.
Los investigadores identificaron además variantes como:
- AI-Fix, que incorpora instrucciones falsas generadas mediante inteligencia artificial para convencer al usuario de ejecutar acciones peligrosas.
- ConsentFix, una técnica que roba tokens de autenticación mediante permisos OAuth, permitiendo secuestrar cuentas sin necesidad de conocer la contraseña e incluso evitando el uso de autenticación multifactor (MFA).
Las detecciones relacionadas con este tipo de ataques más que se duplicaron respecto al semestre anterior, reflejando una evolución constante de esta amenaza.
El quishing alcanza niveles récord
El informe también destaca el crecimiento del quishing, una modalidad de phishing que utiliza códigos QR para dirigir a las víctimas hacia sitios maliciosos.
Los delincuentes aprovechan que muchas personas escanean códigos QR desde dispositivos móviles sin verificar previamente su destino.
Entre los principales hallazgos destacan:
- El 11 % de todos los correos electrónicos de phishing detectados durante el primer semestre de 2026 utilizaban códigos QR.
- Los países con mayor incidencia fueron:
- Estados Unidos: 19 %
- España: 17 %
- México: 6 %
Este método permite ocultar enlaces maliciosos y dificulta su detección por parte de los sistemas tradicionales de seguridad.
El ransomware sigue creciendo, aunque menos víctimas pagan rescates
El ransomware continúa siendo una de las amenazas más importantes para empresas y organizaciones.
ESET documentó más de 100 herramientas conocidas como “EDR Killers”, diseñadas para desactivar soluciones de seguridad antes de ejecutar el cifrado de los equipos.
Aunque el número de ataques sigue aumentando, el reporte identifica una tendencia positiva: cada vez menos víctimas están pagando los rescates.
De acuerdo con tres estudios de la industria citados por ESET, únicamente entre el 14 % y el 28 % de las víctimasaceptó realizar el pago a los delincuentes, una cifra que representa mínimos históricos.
La IA cambia las reglas de la ciberseguridad
El informe confirma que la inteligencia artificial ya no es únicamente una herramienta para mejorar la productividad, sino también un recurso utilizado por los ciberdelincuentes para automatizar ataques, adaptar malware y perfeccionar campañas de fraude digital.
Para usuarios y organizaciones, esto significa que será cada vez más importante fortalecer las medidas de prevención, mantener los sistemas actualizados y verificar cuidadosamente cualquier enlace, código QR o solicitud inesperada.
Conoce el informe completo
ESET pone a disposición del público el Threat Report del primer semestre de 2026, donde analiza en profundidad la evolución del ransomware, el phishing, las amenazas impulsadas por inteligencia artificial y otras tendencias del panorama global de la ciberseguridad.
Además, la compañía invita a escuchar su podcast Conexión Segura, dedicado a explicar las amenazas más recientes y ofrecer recomendaciones para protegerse en el entorno digital.












