Irán penetró más de una vez al INSS, el principal centro de estudios de seguridad de Israel en los últimos años: Piratería informática, ciberataques y filtraciones de información

Los ataques ya llevan casi seis años y material filtrado incluye acceso a las cámaras de seguridad del INSS y contraseñas para su red Wi-Fi y la cuenta de Zoom de la sala de conferencias. El grupo de hackers Handala, afiliado al Ministerio de Inteligencia de Irán (MOIS) publico información robada al INSS. ENTERATE DE TODOS LOS ATAQUES DEL 2020 A LA FECHA y CONOCE QUEE S EL INSS y EL GRUPO HACKERS HANDALA!! 

——————————————————

* El INSS y sus líderes, entre ellos antiguos jefes del Mossad y de la Inteligencia Militar, se han convertido en un objetivo prioritario para Irán. Una investigación del diario Haaretz basada en más de 100.000 correos electrónicos y mensajes revela una campaña de seis años que vincula ciberataques, actividades de influencia y atentados de asesinato.

* Aunque formalmente es independiente y no forma parte del aparato de seguridad, en la práctica el personal del INSS mantiene estrechos vínculos con organismos gubernamentales y de defensa.

* El INSS está dirigido por el exjefe de la Inteligencia Militar de las FDI, el general de división (en la reserva)

* El material filtrado incluye acceso a las cámaras de seguridad del INSS y contraseñas para su red Wi-Fi y la cuenta de Zoom de la sala de conferencias. Una entrada en el calendario digital incluso reveló el código de acceso al edificio a agentes iraníes.

——————————————————

En junio de 2025, en plena primera guerra de Israel con Irán, un misil balístico impactó en un barrio residencial cerca de la Universidad de Tel Aviv. La explosión también se sintió en el Instituto de Estudios de Seguridad Nacional, donde se hicieron añicos puertas y ventanas de cristal. El subdirector del centro de estudios informó por correo electrónico a la junta directiva que ningún miembro del personal había resultado herido, pero también les comunicó otro ataque directo de Irán: los ciberataques contra el instituto y sus funcionarios.

Esos ataques no eran nuevos. Habían comenzado al menos cinco años antes de la guerra. Haaretz tenía conocimiento de ellos, incluido el correo electrónico a la junta directiva y otros incidentes delicados, porque el grupo de hackers Handala, afiliado al Ministerio de Inteligencia de Irán (MOIS), ha publicado más de 100.000 correos electrónicos y archivos pertenecientes al personal del INSS en los últimos dos meses, con datos que se extienden hasta finales de 2025.

Una investigación del diario Haaretz, basada en decenas de miles de correos electrónicos, archivos y mensajes de WhatsApp, reveló que las recientes filtraciones -publicadas días después del inicio de la guerra en marzo- eran solo la punta del iceberg. Años antes de que Handala publicara el material robado en internet, Irán ya lo utilizaba como parte de una operación de inteligencia más amplia que incluía agentes locales e incluso intentos de asesinato contra figuras israelíes, entre ellas altos funcionarios del instituto.

Durante al menos seis años, el instituto ha sido el objetivo principal de una ofensiva cibernética iraní en varias fases, cuyo objetivo era recopilar y utilizar como arma información sobre funcionarios israelíes, tanto actuales como anteriores. La investigación también pone al descubierto una grave deficiencia en las defensas de Israel, dejando a antiguos funcionarios de inteligencia e investigadores vulnerables y expuestos a amenazas reales.

El INSS está dirigido por el exjefe de la Dirección de Inteligencia Militar de las FDI (conocida como Aman), el general de división (en la reserva) Tamir Hayman, quien reemplazó al general de división (en la reserva) Amos Yadlin, también exjefe de Aman.

Aunque formalmente independiente y ajena al aparato de seguridad, en la práctica su personal mantiene estrechos vínculos con organismos gubernamentales y de defensa. Muchos de sus investigadores son antiguos altos cargos del Mossad y otros servicios de seguridad que siguen vinculados al aparato de defensa, participan en foros confidenciales y son invitados a simulaciones y ejercicios militares. «Desde el punto de vista de Irán, esto no es un organismo de investigación. Es un brazo de Aman, el Shin Bet y el Mossad», declaró un antiguo alto funcionario de seguridad a Haaretz.

Desde ataques informáticos hasta intentos de asesinato

Handala lleva años atacando sitios web y funcionarios de seguridad israelíes, presentándose como un grupo de hacktivistas propalestinos (su nombre hace referencia a un conocido personaje de cómic que simboliza al pueblo palestino). El mes pasado, Estados Unidos confirmó que el grupo es, de hecho, una unidad cibernética del Ministerio de Inteligencia de Irán, y que Handala sirve como una de las varias fachadas utilizadas para ocultar su origen estatal.

Su especialidad son las llamadas operaciones de pirateo y filtración, utilizando material robado por otros piratas informáticos no con fines de inteligencia, sino para ejercer influencia. Ha publicado material que afirma haber sustraído de los teléfonos del ex primer ministro Naftali Bennett, del jefe de gabinete del primer ministro Benjamin Netanyahu, Tzachi Braverman , y del ex jefe del Estado Mayor de las Fuerzas de Defensa de Israel, Herzi Halevi.

En abril, durante la guerra, Handala publicó correos electrónicos de las cuentas de seis altos cargos del INSS: Raz Zimmt; Tamir Hayman; Sima Shine, investigadora principal y exjefa de la división de investigación del Mossad; Laura Gilinsky, subdirectora de alianzas estratégicas; Deborah Oppenheimer, exjefa de asuntos exteriores; y el Dr. Ilan Steiner, director de finanzas y operaciones.

Handala calificó al INSS como «el brazo de investigación y análisis del Mossad» y afirmó haber robado más de 400.000 archivos clasificados. Haaretz analizó más de 99.000 archivos, que suman más de 33 gigabytes de texto e imágenes. La mayoría parecen auténticos, y gran parte del contenido es administrativo. Pero entre las filtraciones se encuentra lo que los expertos en ciberseguridad considerarían una mina de oro: las contraseñas de las cámaras de seguridad del instituto, su red Wi-Fi y la cuenta de Zoom utilizada en su sala de conferencias.

Una invitación de calendario enviada a un invitado incluso reveló el código de la puerta principal del edificio. La misma invitación expone los nombres de personal militar de unidades como la 8200 (un pilar fundamental de la inteligencia de señales y la guerra cibernética de las FDI), mientras que otros documentos identifican a diplomáticos y altos funcionarios de la OTAN.

Yossi Karadi, director de la Dirección Nacional de Ciberseguridad, describió recientemente los riesgos y cómo los esfuerzos digitales de Irán influyen en el ámbito físico. Los piratas informáticos intentan acceder a las cámaras de seguridad para perfeccionar los ataques con misiles, y la información obtenida mediante ciberataques se utiliza para respaldar intentos de asesinato contra figuras israelíes, incluidos funcionarios de seguridad, académicos y científicos.

La cadena de infección

En los documentos filtrados se detalla cómo los iraníes se infiltraron en los sistemas del INSS.

En octubre de 2019, el responsable de informática del instituto advirtió al personal: «El instituto sufre constantes ciberataques e intentos de acceder ilegalmente a sus bandejas de entrada». En noviembre de 2020, unos piratas informáticos se hicieron pasar por la entonces directora de asuntos exteriores, Deborah Oppenheimer y enviaron a investigadores de otros institutos un informe robado de los servidores del INSS antes de su publicación.

El informe fue una trampa. Se produjeron repetidos ataques informáticos a buzones de correo tanto dentro como fuera del instituto. No está claro quién fue el primero en sufrir el ataque, pero a finales de 2021 los hackers ya tenían acceso a la cuenta de Gmail del entonces director, Amos Yadlin.

A finales de 2021 o principios de 2022, los hackers utilizaron la cuenta de Yadlin para intentar atraer a la exministra de Asuntos Exteriores, Tzipi Livni, al extranjero . Al sospechar del contenido del mensaje, llamó a Yadlin y juntos contactaron con Check Point. La empresa determinó que el mensaje formaba parte de una operación iraní que había tomado el control de otras cuentas de altos cargos israelíes. La operación fue descubierta en junio de 2022, semanas después de que el Shin Bet anunciara haber desarticulado un complot iraní para atraer a altos cargos israelíes al extranjero con el fin de secuestrarlos. Livni no fue la única víctima.

Aproximadamente un mes antes, en mayo de 2022, Raz Zimmt escribió a un colega británico que piratas informáticos iraníes habían filtrado su libro una semana antes de su publicación. En los meses y años siguientes, según muestran las filtraciones, los investigadores fueron blanco de ataques repetidamente. En diciembre de 2024, Zimmt y el general de brigada (en la reserva) Udi Dekel recibieron un correo electrónico falsificado que supuestamente provenía del presidente de un conocido centro de estudios emiratí. Dekel detectó la amenaza, pero el material filtrado demuestra que, en los meses posteriores, los iraníes lograron acceder a las cuentas de Zimmt.

Los archivos filtrados incluyen, irónicamente, un grupo de WhatsApp titulado «Amenazas cibernéticas contra investigadores de Oriente Medio», que documenta más de diez incidentes distintos.

En 2025, piratas informáticos iraníes suplantaron la identidad del profesor Meir Litvak, investigador asociado sénior del Centro de Estudios Iraníes de la Alianza en la Universidad de Tel Aviv. En un intercambio de mensajes en el grupo, Litvak comentó a sus colegas que «alguien desagradable» había estado enviando correos electrónicos en su nombre. Decenas de académicos iraníes fueron blanco de estos ataques.

En el mismo chat grupal, más de 20 expertos israelíes en Irán compartieron en tiempo real con la empresa de ciberseguridad ClearSky los distintos intentos de Irán por hackearlos mediante correos electrónicos de phishing falsos. El director ejecutivo, Boaz Dolev, examinó los correos de Litvak y encontró un PDF malicioso diseñado para robar credenciales de Gmail. Un investigador, Ashkan Safaei Hakimi, respondió: «Tengan cuidado. Intentaron acceder a mi correo hace dos años con un correo similar a nombre de Meir».

El material filtrado revela que el INSS contrató a empresas privadas de ciberseguridad durante años para intentar defenderse, y recibió asistencia gratuita de compañías como Check Point y ClearSky, así como de la Dirección Nacional de Ciberseguridad. Según información obtenida por Haaretz, las agencias de seguridad oficiales no participaron en los esfuerzos de defensa.

En 2024, la amenaza cibernética se tornó física: el 31 de octubre, se publicó un comunicado del Shin Bet en el grupo de WhatsApp de los investigadores: una pareja de Lod había sido acusada de realizar tareas para la inteligencia iraní durante tres años, incluyendo fotografiar lugares como la sede del Mossad. Días antes, el subdirector del INSS había informado al personal que el Shin Bet le había comunicado que uno de sus colegas estaba bajo vigilancia. Lo que más alarmó al grupo fue que la vigilancia se dirigía a una empleada del INSS a quien los iraníes habían intentado asesinar. El hombre había rastreado su coche y vigilado su casa durante varios días. Según el Shin Bet, el agente les había pedido a la pareja que localizaran a un posible asesino.

La correspondencia interna filtrada por los iraníes completa la información que el Shin Bet no reveló y la identifica explícitamente. «Todos me llaman. Creen que soy yo», escribió Sima Shine esa mañana en un chat de equipo, pero otro empleado aclaró que ella misma era el objetivo.

Los ataques no cesaron. Las filtraciones revelan un flujo constante de nuevas advertencias. Hace un año, la empresa de ciberseguridad Volexity alertó al INSS de que un «actor estatal» había vulnerado la cuenta de correo electrónico de uno de sus investigadores y la estaba utilizando para realizar ataques de phishing contra objetivos en institutos de investigación de Estados Unidos. En respuesta, el responsable de ciberseguridad del instituto desconectó todos los dispositivos vinculados a dicha cuenta.

En septiembre de 2025, Ilan Steiner, director de operaciones del INSS, recibió una alerta de Google sobre actividad sospechosa en su cuenta privada de Gmail. La advertencia se envió a su dirección de correo electrónico del INSS, que posteriormente se filtró.

La batalla por la influencia

Las filtraciones también exponen los proyectos de influencia y el poder blando del INSS dirigidos contra Irán, así como sus intentos de proyectar influencia en el extranjero y dentro de Israel. Revelan iniciativas que debían permanecer confidenciales, incluyendo la identidad de algunos donantes, entre ellos un empresario iraní-estadounidense que trabaja en contra del programa nuclear iraní.

El material revela que investigadores del INSS participaron en una iniciativa del Ministerio de Asuntos de la Diáspora de Israel para contrarrestar las redes de influencia iraníes y chiítas en Alemania y Austria. El ministerio recibió una propuesta de la empresa privada israelí Maisha Group, que incluía la elaboración de «informes incriminatorios», basados ​​en parte en inteligencia humana (HUMINT). El INSS declaró a Haaretz que el proyecto finalmente no se llevó a cabo.

En una iniciativa paralela, el INSS llevó a cabo un programa piloto de varios meses de duración utilizando una herramienta desarrollada por la empresa israelí de ciberinteligencia Cognyte para monitorear las redes sociales y rastrear las campañas de influencia iraníes en todo el mundo. El instituto afirmó no haber adquirido ninguna herramienta de monitoreo de dicha empresa.

Las filtraciones también documentan un importante proyecto de contrainfluencia del INSS financiado en parte por el Ministerio de Defensa y la Dirección Nacional de Ciberseguridad, en coordinación con el Shin Bet, el Mossad y la Inteligencia Militar.

En una grabación filtrada de un grupo de chat se describe lo que un investigador, aparentemente en tono de broma, como «una campaña para difamar a Hezbolá».

Los materiales también muestran la participación del instituto en esfuerzos de propaganda israelí (hasbara); por ejemplo, el instituto autorizó el uso de su investigación para ayudar a entrenar a BrightMindAI, un chatbot proisraelí dirigido a audiencias en campus universitarios de Estados Unidos.

«Una clara brecha defensiva»

En respuesta, el INSS declaró a Haaretz: «El INSS es un organismo independiente y no gubernamental que no posee material clasificado. No tenemos constancia de que agentes hostiles utilicen los buzones de correo del instituto para realizar ataques de phishing, sino únicamente de la suplantación de identidad de correos electrónicos del instituto […] El instituto mantiene contacto permanente con el Shin Bet y opera de acuerdo con sus directrices. Como parte de los esfuerzos para mejorar la ciberdefensa, el instituto está implementando un importante plan de trabajo que incluye el despliegue de un SOC (Centro de Operaciones de Seguridad)».

Dos expertos israelíes en ciberseguridad declararon a Haaretz que el INSS sigue funcionando como plataforma de lanzamiento para ataques de phishing iraníes. «Tenemos clientes que recibieron mensajes personalizados de buzones de correo de investigadores reales del INSS en 2025 y 2026 que contenían malware», afirmó uno de ellos. «En la práctica, todo su sistema de correo electrónico forma parte de una infraestructura de ataque que aún se utiliza hoy en día contra objetivos en Israel».

Tras la filtración, Boaz Dolev, director ejecutivo de ClearSky, declaró: «Este es un incidente intolerable. La seguridad informática del instituto está por debajo de cualquier estándar aceptable».

Ex altos funcionarios de seguridad afirmaron que el caso pone de manifiesto una clara deficiencia en la protección. Los teléfonos y correos electrónicos privados de estos ex altos cargos quedan desprotegidos. No cuentan con la protección del Shin Bet, ni de la Dirección General de Seguridad del Ministerio de Defensa, ni de las instituciones civiles donde trabajan actualmente.

Una fuente de las FDI confirmó que el ejército protege los dispositivos y las cuentas de los ex altos oficiales que prestan servicio en la reserva, pero se negó a dar detalles sobre cómo lo hace.

Fuentes familiarizadas con el asunto indicaron que el Shin Bet y el Mossad brindan protección selectiva a los ex altos funcionarios y que los procedimientos se han reforzado recientemente. El Shin Bet, el Mossad y la Dirección de Seguridad del Ministerio de Defensa declinaron hacer comentarios.

La Dirección Nacional de Ciberseguridad, que lleva años prestando asistencia al INSS, declaró: «Los institutos de investigación y los organismos académicos son un objetivo atractivo para los ciberdelincuentes, y en los últimos años hemos identificado y bloqueado decenas de incidentes cibernéticos en este sector».

Añadió que el caso del INSS subraya la necesidad de la Ley de Ciberdefensa que se está impulsando, cuyo objetivo es «establecer normas vinculantes para los organismos críticos y fortalecer la resiliencia de toda la economía».

Todos los ataques iraníes contra el INSS

2020

+ Suplantación de identidad del Director de Asuntos Exteriores del instituto para contactar a investigadores de seguridad israelíes.

2022

+ Piratean el correo electrónico del director del INSS, Amos Yadlin; intentar atraer a Tzipi Livni a una conferencia falsa en el extranjero.

+ Raz Zimmt: Hackers iraníes filtran mi libro una semana antes de su publicación oficial.

2024

+ Microsoft alerta al INSS de que el correo electrónico de un investigador fue pirateado por un atacante que opera desde Teherán.

+ Se ha presentado una acusación formal contra una pareja israelí reclutada por la inteligencia iraní para vigilar a un investigador del INSS.

2025

+ Un investigador iraní de la Universidad de Tel Aviv advierte que se enviaron correos electrónicos en su nombre a decenas de investigadores.

+ La empresa de ciberseguridad Volexity advierte al INSS que un «actor estatal» pirateó el correo electrónico de un investigador y lo está utilizando para vulnerar la seguridad de investigadores radicados en Estados Unidos.

2026

+ Piratas informáticos vinculados a la inteligencia iraní afirman haber vulnerado las cuentas del INSS, filtrando cientos de miles de correos electrónicos, documentos y mensajes de WhatsApp.

Conoce qué es el INSS, el principal centro de estudios de seguridad de Israel

El Instituto de Estudios de Seguridad Nacional (INSS, por sus siglas en inglés) es el principal centro de pensamiento (think tank) independiente de Israel especializado en seguridad nacional y asuntos estratégicos.Perfil y MisiónFundado originalmente en 1977 como el Centro Jaffee de Estudios Estratégicos, se relanzó con su nombre actual en 2006. Aunque es independiente, está afiliado a la Universidad de Tel Aviv y mantiene vínculos estrechos con las esferas militar y gubernamental del país. Su misión es proporcionar análisis y recomendaciones de políticas a los tomadores de decisiones para fortalecer la seguridad de Israel.

Áreas Clave de Investigación

El instituto aborda una amplia gama de temas críticos, incluyendo: 

Asuntos Militares y Estratégicos: Análisis de conflictos, equilibrio militar en el Medio Oriente y ciberdefensa.  

Relaciones Internacionales: Seguimiento de las relaciones de Israel con potencias globales como Estados Unidos, China y Rusia.

Seguridad Regional: Investigación sobre Irán y su red de aliados («Eje de la Resistencia»), así como las relaciones con el mundo árabe y el conflicto palestino.

Resiliencia Social: Análisis del impacto de las crisis internas y la cohesión social en la seguridad nacional.

Conoce que es el grupo de hackers Handala

El grupo de hackers Handala (también conocido como Handala Hack Team) es un colectivo de ciberactivistas pro-palestinos que, según diversas agencias de inteligencia occidentales y empresas de seguridad como SOCRadar, actúa como una fachada para operaciones de ciberguerra dirigidas por el gobierno de Irán.

Perfil y Objetivos

Identidad Visual: Utilizan el nombre e imagen de Handala, una famosa caricatura política palestina creada por Naji al-Ali, que simboliza la resistencia.

Adversarios: Sus ataques se dirigen principalmente contra infraestructuras, agencias de inteligencia y figuras políticas de Israel y Estados Unidos.

Tácticas: Emplean técnicas sofisticadas como phishing, robo de datos, extorsión y el uso de malware de borrado (wipers) personalizado para sistemas Windows y Linux.

Acciones Recientes (2024-2026)

Filtración de la Armada de EE. UU. (Mayo 2024): El grupo afirmó haber filtrado información clasificada sobre 400 altos oficiales de la Armada estadounidense desplegados en el Golfo Pérsico, incluyendo rangos y detalles personales.

Hackeo al Director del FBI (Marzo 2026): Vulneraron el correo electrónico personal de Kash Patel, quien fue director del FBI, publicando fotografías y documentos privados como represalia por la incautación de dominios vinculados a hackers pro-iraníes.

Ataques en los Emiratos Árabes Unidos (Abril 2024): Reivindicaron ciberataques contra infraestructura crítica en Dubái, afirmando haber destruido bases de datos públicas.

Infiltración en el Mossad: Han asegurado en varias ocasiones haber hackeado archivos secretos y oficinas de la agencia de espionaje israelí, el Mossad.  (Por Omer Benjakob para el diario Haaretz e información de IA de Google)