El cibercrimen ya no necesita técnicas sofisticadas ni malware complejo para causar daños masivos. En 2025, la mayoría de los ataques más efectivos se apoyaron en gestos cotidianos: hacer clic en un anuncio, escanear un código QR, responder a un mensaje o introducir un código de verificación.
Esta es una de las principales conclusiones del Gen Threat Report del cuarto trimestre de 2025, elaborado por Gen Digital, grupo líder mundial en ciberseguridad que integra marcas como Norton, Avast, LifeLock, Avira, AVG, ReputationDefender y CCleaner.
El informe describe un cambio claro de estrategia por parte de los delincuentes digitales: menos dependencia de herramientas técnicas avanzadas y mayor énfasis en el engaño, la persuasión y la explotación de la confianza del usuario. “Las estafas dejaron de presentarse como amenazas evidentes y pasaron a integrarse en la rutina digital diaria”, señala Siggi Stefnisson, CTO de ciberseguridad de Gen. Plataformas conocidas, interfaces aparentemente legítimas y automatización a gran escala permitieron a los atacantes operar con una eficacia sin precedentes.
Redes sociales y compras online, epicentro del fraude
El entorno donde más crecieron estas amenazas fue el comercio electrónico y las redes sociales, especialmente durante el último trimestre del año, marcado por el periodo de compras navideñas. Gen bloqueó más de 45 millones de intentos de fraude relacionados con falsas tiendas online solo entre octubre y diciembre, una cifra que representa más de la mitad de todas las estafas de este tipo detectadas en 2025 y un incremento interanual superior al 62 %.
Estas tiendas fraudulentas imitan con gran precisión a comercios reales: utilizan dominios similares, diseños profesionales, sistemas de pago aparentemente seguros y campañas de publicidad segmentada en redes sociales y buscadores. El usuario suele llegar hasta el final del proceso de compra antes de descubrir el engaño, cuando ya ha introducido datos bancarios, credenciales o ha instalado aplicaciones que prometen seguimiento del pedido y que, en realidad, permiten el acceso remoto al dispositivo.
En el ámbito de las redes sociales, las falsas tiendas concentraron el 65 % de todas las amenazas bloqueadas. Facebook y YouTube lideraron los clics de riesgo asociados a compras, mientras que el phishing se distribuyó de forma transversal, con Facebook como principal plataforma de origen (77 %), seguida de YouTube (13 %) y Reddit (4 %). A este ecosistema se sumó el malvertising, anuncios maliciosos que simulan promociones legítimas y que en 2025 representaron el 41 % de todos los ataques detectados por Gen, convirtiéndose en el principal vector inicial de fraude.
El caso de España: auge de estafas estacionales y control remoto
España reflejó con claridad estas tendencias globales. Durante el cuarto trimestre, las estafas digitales fueron la principal amenaza para los usuarios, con un aumento especialmente acusado de los fraudes vinculados a compras online. Los e-shop scams crecieron un 201 % respecto al trimestre anterior, impulsados por el incremento de la actividad comercial en fechas clave como Black Friday, Navidad y rebajas.
Junto a ellos, se observó un repunte del malvertising y de los ataques denominados scam-yourself, en los que la víctima, convencida por el engaño, realiza por sí misma la acción que permite el acceso: introducir un código, validar un emparejamiento, conceder permisos o autorizar una operación. Este tipo de estafas reduce la necesidad de explotar vulnerabilidades técnicas y traslada el peso del ataque al comportamiento humano.
El informe también destaca en España un incremento del 34 % en los ataques de malware de acceso remoto, con un crecimiento del 45 % en los troyanos RAT, capaces de tomar el control total del dispositivo, capturar información, grabar pantalla o activar periféricos. Este tipo de herramientas se utilizan tanto para el robo directo de datos como para preparar fraudes más complejos y persistentes.
Identidad digital bajo presión y fraude financiero transversal
La suplantación de identidad fue otro de los grandes ejes del panorama de amenazas en 2025. La telemetría de Gen muestra que las brechas de datos aumentaron un 176 % trimestre a trimestre, alimentando mercados clandestinos donde se comercia con información personal, credenciales, historiales financieros y documentos.
Las alertas por actividad inusual se multiplicaron: nuevos registros de propiedades, solicitudes de créditos, movimientos bancarios anómalos, operaciones con tarjetas y préstamos que no habían sido iniciados por los titulares legítimos. Este fenómeno refleja una evolución del fraude, que ya no se limita a un cargo indebido, sino que combina estafa, ingeniería social y abuso de identidad en una misma cadena.
En España, uno de los indicadores más relevantes fue el aumento del web skimming en un 56 %. Esta técnica consiste en insertar código malicioso en páginas de pago para capturar los datos de las tarjetas en el momento exacto de la transacción, sin que el usuario perciba ninguna anomalía en la web ni en el proceso de compra.
Inteligencia artificial y vídeos manipulados
El último trimestre de 2025 confirmó también la consolidación de la inteligencia artificial como herramienta para el fraude. Gen incorporó sistemas de detección en dispositivo para Windows capaces de identificar la intersección entre estafas y contenido manipulado. Los primeros resultados situaron a YouTube como la plataforma con mayor volumen de vídeos fraudulentos generados o alterados mediante IA, seguida por Facebook y X.
La mayoría de estos contenidos estaban relacionados con inversiones, criptomonedas y productos financieros. Utilizaban rostros sintéticos, voces clonadas y supuestos expertos para dotar de credibilidad a promesas de alta rentabilidad. Un elemento especialmente relevante es que estas amenazas se detectaron durante la reproducción en streaming, no en descargas, lo que evidencia la capacidad de los atacantes para operar dentro de los flujos normales de consumo de contenido.
Ataques que saltan entre dispositivos
Otra tendencia destacada es la movilidad de las estafas entre distintos entornos. Algunas campañas se iniciaban en el ordenador, con falsos tutoriales o avisos de seguridad, y solicitaban al usuario escanear la pantalla con el móvil, trasladando el ataque a un contexto donde los permisos y verificaciones son más fáciles de manipular.
En otros casos, el proceso se invertía. Los denominados GhostPairing attacks, identificados por Gen Threat Labs, inducían a las víctimas a introducir un código en WhatsApp desde su teléfono, vinculando sin saberlo un navegador controlado por el atacante como dispositivo de confianza. A partir de ese momento, el delincuente podía interceptar mensajes, recibir códigos de autenticación y acceder a múltiples servicios asociados a la cuenta.
Este movimiento constante entre plataformas, aplicaciones y dispositivos convierte al propio usuario en el vector de propagación, diluyendo las fronteras tradicionales entre ataque móvil y ataque de escritorio y complicando la detección temprana por parte de los sistemas de seguridad convencionales.
NotiVeraz