CrashFix — Detectada por Microsoft Defender en enero de 2026, esta variante provoca deliberadamente el bloqueo del navegador de la víctima para luego incitarla a ejecutar comandos maliciosos con la excusa de "restaurar" la funcionalidad .
ConsentFix — Una variante que abusa de los flujos de autorización OAuth para comprometer cuentas de Microsoft sin necesidad de malware, robar credenciales o siquiera requerir que el usuario pegue un comando . La firma de seguridad revel8 observó siete variantes activas de ClickFix en el primer trimestre de 2026, incluyendo ConsentFix y una variante "AI-fix" que se enfoca en los procesos de incorporación de herramientas de IA
.
Un análisis de aproximadamente 3.000 cargas útiles (payloads) de ClickFix en vivo realizado por Threadlinqs Intelligence reveló que los servidores back-end generan dinámicamente comandos de PowerShell recién ofuscados utilizando Base64, AES, TripleDES, Rijndael y compresión Deflate .
Habilidades de IA maliciosas (Agentic Skills) — Según un reportaje de El País (8 de julio de 2026) que cita los datos de amenazas más recientes de ESET, la compañía alertó que en tan solo dos meses, el número de "AI Skills" (complementos para agentes de IA) que analizó pasó de unos 60.000 a casi 900.000. De esos, las habilidades de IA maliciosas o sospechosas superaban las 3.000 . Esto representa un crecimiento explosivo en las herramientas de ataque basadas en agentes de IA.
PromptSpy — ESET Research descubrió PromptSpy, el primer malware conocido para Android que utiliza inteligencia artificial generativa durante su flujo de ejecución . El malware consulta el modelo Gemini de Google para interpretar los elementos en pantalla del dispositivo comprometido y determinar dinámicamente dónde tocar, resolviendo el problema de las interfaces impredecibles en miles de modelos de teléfonos e idiomas
. Su capacidad principal es desplegar un módulo VNC para el control remoto del dispositivo
. Los investigadores señalan que podría ser una prueba de concepto, pero indica un cambio importante hacia el malware móvil asistido por IA
.
El volumen de ataques de ransomware sigue en aumento. Comparitech registró 4.217 ataques de ransomware a nivel mundial en el primer semestre de 2026, un aumento del 11% en comparación con el segundo semestre de 2025 (3.809 ataques), con un promedio de 23 ataques por día . ESET proyectó un aumento interanual del 40% en el número de víctimas de ransomware basándose en los datos de sitios de filtración de 2025
.
Más de 100 herramientas EDR killer. El informe de amenazas H2 2025 de ESET señala que las herramientas para matar EDR (Endpoint Detection and Response) continuaron proliferando, siendo Akira, Qilin y Warlock los principales usuarios . El análisis en profundidad de ESET sobre la banda de ransomware Gentlemen RaaS documentó su uso de EDR killers tanto personalizados como de terceros o filtrados, incluido HexKiller
. El informe ESET MDR Q1 2026 confirma que los EDR killers son ahora un componente estándar de las operaciones de ransomware
. Múltiples fuentes confirman que el ecosistema de herramientas EDR killer distintas ha superado las 100, utilizando técnicas BYOVD (Bring Your Own Vulnerable Driver)
.
Las tasas de pago de rescates caen a mínimos históricos. Coveware informó que la tasa de pago de rescates en el cuarto trimestre de 2025 se desplomó al 23% (un mínimo histórico), y para el cuarto trimestre de 2025 cayó aún más al 20%, lo que significa que menos de 1 de cada 5 víctimas pagó . Chainalysis rastreó los pagos totales de ransomware en la cadena de bloques en aproximadamente 820 millones de dólares en 2025, la cifra anual más baja desde 2021 y una caída del 8% con respecto a 2024
. A pesar de que menos víctimas pagan, el pago medio de rescate aumentó drásticamente (un 132% trimestral, hasta los 325.000 dólares), lo que sugiere que los atacantes se están concentrando en objetivos de mayor valor
.