Hackeo, filtraciones y ataques: cómo Irán penetró el principal think tank de “seguridad” de Israel

El INSS y sus líderes – entre ellos ex jefes del Mossad y de Inteligencia Militar – se han convertido en un objetivo principal de Irán. Una investigación de Haaretz basada en más de 100,000 correos electrónicos y mensajes revela una campaña de seis años que vincula ciberataques, influencia e intentos de asesinato.

En junio de 2025, en el apogeo de la primera guerra de Israel contra Irán, un misil balístico impactó en un barrio residencial cerca de la Universidad de Tel Aviv. La explosión también se sintió en el Instituto de Estudios de Seguridad Nacional (INSS), donde puertas y ventanas de vidrio se hicieron añicos. El director adjunto del think tank informó a la junta que ningún miembro del personal había resultado herido, pero también les informó sobre otro frente donde Irán había acertado de lleno: los ciberataques contra el instituto y sus funcionarios.

Esos ataques no eran nuevos. Habían comenzado al menos cinco años antes de la guerra. Haaretz ha tenido conocimiento de ellos, incluido el correo electrónico a la junta y otros incidentes sensibles, porque el grupo de hackers Handala – afiliado al Ministerio de Inteligencia de Irán (MOIS) – ha publicado más de 100,000 correos electrónicos y archivos pertenecientes al personal del INSS en los últimos dos meses, con datos que se extienden hasta finales de 2025.

Una investigación de Haaretz basada en decenas de miles de correos electrónicos, archivos y mensajes de WhatsApp encontró que las recientes filtraciones – publicadas días después de que comenzara la guerra en marzo – eran solo la punta del iceberg. Años antes de que Handala volcara el material robado en línea, Irán ya lo estaba utilizando como parte de una operación de inteligencia más amplia que incluía agentes locales e incluso intentos de asesinato dirigidos contra figuras israelíes, incluidos altos funcionarios del instituto.

Aunque formalmente independiente y no parte del establecimiento de seguridad, en la práctica, el personal del INSS mantiene estrechos vínculos con los organismos de defensa y gubernamentales.

Durante al menos seis años, el instituto ha sido el punto focal de una ofensiva cibernética iraní de múltiples etapas destinada a recopilar y utilizar información sobre funcionarios israelíes, pasados y presentes. La investigación también expone una grave brecha en las defensas de Israel, dejando a ex funcionarios de inteligencia e investigadores vulnerables y enfrentando amenazas reales.

El INSS está dirigido por el ex jefe de la Dirección de Inteligencia Militar de las FDI (conocida como Aman), el mayor general (res.) Tamir Hayman, quien reemplazó al mayor general (res.) Amos Yadlin, también ex jefe del Aman.

Aunque formalmente independiente y no parte del establecimiento de seguridad, en la práctica su personal mantiene estrechos vínculos con los organismos de defensa y gubernamentales. Muchos de sus investigadores son ex altos cargos del Mossad y otros servicios de seguridad que permanecen estrechamente vinculados al establecimiento de defensa, participan en foros sensibles y son invitados a simulaciones y juegos de guerra. “Desde el punto de vista de Irán, este no es un organismo de investigación. Es un brazo del Aman, el Shin Bet y el Mossad”, dijo a Haaretz un ex alto funcionario de seguridad.

De hackeos a intentos de asesinato

Handala ha pasado años apuntando a sitios y funcionarios de seguridad israelíes, presentándose como un grupo hacktivista propalestino (el nombre se refiere a una conocida figura de cómic que simboliza al pueblo palestino). El mes pasado, USA confirmó que el grupo es en realidad una unidad cibernética dentro del Ministerio de Inteligencia de Irán, sirviendo Handala como uno de varios frentes utilizados para enmascarar sus orígenes estatales.

Su especialidad son las llamadas operaciones de hackeo y filtración (hack-and-leak), utilizando material robado por otros hackers no con fines de inteligencia, sino de influencia. Ha publicado material que afirma haber tomado de los teléfonos del ex primer ministro Naftali Bennett, del jefe de gabinete del primer ministro Benjamín Netanyahu, Tzachi Braverman, y del ex jefe del Estado Mayor de las FDI, Herzi Halevi.

En abril, durante la guerra, Handala publicó correos electrónicos de las cuentas de seis altas figuras del INSS: Raz Zimmt; Tamir Hayman; Sima Shine, investigadora senior y ex jefa de la división de investigación del Mossad; Laura Gilinsky, subdirectora de alianzas estratégicas; Deborah Oppenheimer, ex jefa de asuntos exteriores; y el Dr. Ilan Steiner, director financiero y de operaciones.

Handala calificó al INSS como “el brazo de investigación y análisis del Mossad”, y afirmó haber robado más de 400,000 archivos clasificados. Haaretz analizó más de 99,000 archivos, totalizando más de 33 gigabytes de texto e imágenes. La mayoría parecen auténticos, y gran parte del contenido es administrativo. Pero enterradas en las filtraciones se encuentra lo que los profesionales de la ciberseguridad llamarían una mina de oro: contraseñas para las cámaras de seguridad del instituto, su red Wi-Fi y la cuenta de Zoom utilizada en su sala de conferencias.

Una invitación a une reunión enviada a un invitado incluso reveló el código de la puerta principal del edificio. La misma invitación expone los nombres de militares de unidades como la unidad 8200 (un pilar central de la inteligencia de señales y ciberguerra del ejército), mientras que otros documentos identifican a diplomáticos y altos funcionarios de la OTAN.

Yossi Karadi, jefe de la Dirección Nacional de Cibernética, describió recientemente los riesgos y cómo los esfuerzos digitales iraníes alimentan el ámbito físico. Los hackers intentan acceder a las cámaras de seguridad para perfeccionar los ataques con misiles, y la información recopilada a través de ciberataques se utiliza para apoyar intentos de asesinato contra figuras israelíes, incluidos funcionarios de seguridad, académicos y científicos.

La cadena de infección

La forma en que los iraníes infiltraron los sistemas del INSS se expone en los materiales que filtraron.

En octubre de 2019, el administrador de TI del instituto advirtió al personal: “El instituto está constantemente bajo ciberataques e intentos de intrusión en sus buzones”. En noviembre de 2020, hackers suplantaron a la entonces directora de asuntos exteriores, Deborah Oppenheimer, y enviaron a investigadores de otros institutos un informe robado de los servidores del INSS antes de su publicación.

El informe era un cebo. Los buzones dentro y fuera del instituto fueron comprometidos una y otra vez. No está claro quién fue vulnerado primero, pero a finales de 2021 los hackers ya tenían acceso a la cuenta de Gmail del entonces director, Amos Yadlin.

A finales de 2021 o principios de 2022, los hackers utilizaron la cuenta de Yadlin para intentar atraer a la ex ministra de asuntos exteriores Tzipi Livni al extranjero. Ella desconfió de la redacción, llamó a Yadlin, y juntos contactaron con Check Point. La empresa determinó que el mensaje era parte de una operación iraní que había tomado el control de otras cuentas de altos cargos israelíes. La operación fue expuesta en junio de 2022, semanas después de que el Shin Bet dijera que había frustrado un complot iraní para atraer a altos cargos israelíes al extranjero con el fin de secuestrarlos. Livni no estaba sola.

En 2022, Raz Zimmt escribió a un colega británico que hackers iraníes habían filtrado su libro una semana antes de su publicación. En los meses y años siguientes, muestran las filtraciones, los investigadores fueron blanqueados una y otra vez. En diciembre de 2024, Zimmt y el general de brigada (res.) Udi Dekel recibieron un correo electrónico falso que pretendía provenir del presidente de un conocido think tank emiratí. Dekel detectó la amenaza, pero el material filtrado muestra que en los meses siguientes los iraníes lograron penetrar las cuentas de Zimmt.

Los archivos filtrados incluyen, irónicamente, un grupo de WhatsApp titulado “amenazas cibernéticas a investigadores sobre Oriente Medio”, que documenta más de diez incidentes separados.

En 2025, hackers iraníes suplantaron al profesor Meir Litvak, investigador senior asociado al Centro Alliance para Estudios Iraníes de la Universidad de Tel Aviv. En un intercambio en el grupo, Litvak dijo a sus colegas que “alguien desagradable” había estado enviando correos electrónicos en su nombre. Decenas de especialistas en Irán fueron blanqueados.

En el mismo grupo de chat, más de 20 investigadores israelíes sobre Irán compartieron en tiempo real los diferentes intentos de Irán para hackearlos con falsos correos de phishing con la empresa de ciberdefensa ClearSky. Su CEO Boaz Dolev examinó los correos de Litvak y encontró un PDF malicioso diseñado para robar credenciales de Gmail. Un investigador, Ashkan Safaei Hakimi, respondió: “Tengan cuidado. Intentaron hackear mi correo electrónico hace dos años con un correo similar bajo el nombre de Meir”.

El material filtrado muestra que el INSS contrató a empresas privadas de cibernética a lo largo de los años para tratar de defenderse, y recibió asistencia pro bono de empresas de ciberseguridad como Check Point y ClearSky, así como ayuda de la Dirección Nacional de Cibernética. Según información obtenida por Haaretz, las agencias de seguridad oficiales no participaron en los esfuerzos de defensa.

El material filtrado incluye el acceso a las cámaras de seguridad del INSS, las contraseñas de su Wi-Fi y de la cuenta de Zoom de su sala de conferencias. Una entrada de calendario digital incluso reveló el código de entrada del edificio a los operadores iraníes.

En 2024, la amenaza cibernética se volvió física: el 31 de octubre, un comunicado del Shin Bet fue publicado en el grupo de WhatsApp de los investigadores: una pareja de Lod fue acusada de haber realizado tareas para la inteligencia iraní durante tres años, incluida la fotografía de lugares como la sede del Mossad. Días antes, el director adjunto del INSS había informado al personal que el Shin Bet le había dicho que uno de sus colegas estaba bajo vigilancia. Lo que más alarmó al chat del grupo fue también el hecho de que la vigilancia era de un miembro del personal del INSS a quien los iraníes habían buscado asesinar. El hombre había seguido su coche y explorado su casa durante varios días. Según el Shin Bet, el manipulador había pedido a la pareja que localizara a un posible asesino.

La correspondencia interna filtrada por los iraníes completa lo que el Shin Bet no dijo y la identifica explícitamente. “Todo el mundo me llama. Creen que soy yo”, escribió Sima Shine esa mañana en un chat de equipo, pero otra empleada aclaró que ella misma era el objetivo.

Los ataques no cesaron. Las filtraciones muestran un flujo constante de nuevas advertencias. Hace un año, la empresa de ciberseguridad Volexity alertó al INSS de que un “actor estatal” había comprometido una de las cuentas de correo electrónico de sus investigadores y la estaba utilizando para phishing contra objetivos en institutos de investigación de USA. En respuesta, el responsable de ciberseguridad del instituto desconectó todos los dispositivos vinculados a esa cuenta.

En septiembre de 2025, Ilan Steiner, Director de Finanzas y Operaciones del INSS, recibió una alerta de Google sobre una actividad sospechosa en su cuenta personal de Gmail. La advertencia fue enviada a su dirección de correo electrónico del INSS, que luego fue filtrada.

La batalla por la influencia

Las filtraciones también exponen los proyectos de poder blando (soft power) del INSS y los esfuerzos de influencia dirigidos a Irán, así como sus intentos de proyectar influencia en el extranjero y dentro de Israel. Revelan iniciativas que se suponía debían permanecer confidenciales, incluyendo las identidades de algunos donantes, entre ellos un hombre de negocios iraní-usamericano que lucha contra el programa nuclear iraní.

El material muestra que los investigadores del INSS participaron en un esfuerzo del Ministerio de Asuntos de la Diáspora israelí para contrarrestar las redes de influencia iraníes y chiítas en Alemania y Austria. El ministerio recibió una propuesta de una empresa privada israelí, Maisha Group, que incluía la producción de “informes de incriminación”, basados en parte en inteligencia humana (HUMINT). El INSS dijo a Haaretz que el proyecto finalmente no se llevó a cabo.

En un esfuerzo separado, el INSS realizó un proyecto piloto de varios meses utilizando una herramienta desarrollada por la empresa israelí de inteligencia cibernética Cognyte para monitorear las redes sociales y rastrear las campañas de influencia iraníes en todo el mundo. El instituto dijo que no compró ninguna herramienta de monitoreo a la empresa.

Las filtraciones también documentan un gran proyecto de contra-influencia del INSS financiado en parte por el Ministerio de Defensa y la Dirección Nacional de Cibernética, en coordinación con el Shin Bet, el Mossad y la Inteligencia Militar.

La Dirección Nacional de Cibernética, que ha ayudado al INSS durante años, declaró: “Los institutos de investigación y los organismos académicos son un objetivo atractivo para los ciberatacantes, y en los últimos años hemos identificado y bloqueado decenas de incidentes cibernéticos en este sector”.

Añadió que el caso del INSS subraya la necesidad de la Ley de Defensa Cibernética que se está promoviendo ahora, que “pretende establecer estándares vinculantes para los organismos críticos y fortalecer la resiliencia de toda la economía”.

*Fuente: Faustotounsi