El joven de 22 años había atacado sitios web en Argentina, España y otros países. Fue arrestado en un operativo conjunto entre la Policía Federal Argentina y la Policía Nacional de España.
El hacker argentino ‘Gov.eth’, identificado como M.E.T.P., fue arrestado este miércoles en Madrid, España, en el marco de una investigación impulsada por el Ministerio de Seguridad de la Nación. El detenido, de 22 años, es señalado como responsable de diversos ataques informáticos contra plataformas digitales de organismos estatales y medios de comunicación en Argentina y otros países.
Agentes del Departamento Federal de Investigaciones (DFI) de la Policía Federal Argentina (PFA) lograron identificar al ciberdelincuente, que operaba bajo el alias ‘@Gov.eth’. Según informaron las autoridades, también se le atribuye la sustracción y difusión de información privada de altos funcionarios del gobierno español.
La investigación se inició en octubre de 2024 a partir de directivas del Juzgado Federal de Primera Instancia de Campana, a cargo de Adrián González Charvay. Los investigadores del Departamento Inteligencia contra el Crimen Organizado (DICCO) de la PFA desarrollaron la megacausa ‘Dictadores’, que incluyó 21 allanamientos, la detención de once personas y la desarticulación de una organización cibercriminal.
La pista clave surgió mediante herramientas contempladas en la Ley 27.319 de Técnicas Especiales de Investigación, Prevención y Lucha contra Delitos Complejos. Se estableció la verdadera identidad del hacker, quien operaba bajo un alias en la blockchain. La PFA puso a disposición de la Policía Nacional de España la información reunida.
La policía española allanó la vivienda del imputado en Madrid y secuestró dos teléfonos celulares y dos computadoras, elementos que contendrían evidencia vinculada con los ciberataques perpetrados en territorio argentino.
Modus operandi
El accionar delictivo de ‘@Gov.eth’ se dividía en tres etapas. La primera consistía en el negocio clandestino del ‘doxxing’, práctica que implica investigar, recopilar y difundir información privada de una persona sin su consentimiento. Esta actividad estaba vinculada con la promoción y comercialización de datos personales mediante herramientas automatizadas (bots) operadas a través de servicios de mensajería instantánea como Telegram. Una vez efectuado el pago, los usuarios podían acceder a bases de datos privadas, entre ellas las del RENAPER y la DNRPA. También desarrollaba actividades de doxxing activo en plataformas como Doxbin.
La segunda etapa consistía en aprovechar vulnerabilidades en los sistemas de seguridad de sus objetivos. El imputado abonaba licencias anuales en euros de herramientas de auditoría como ‘Intelligence X’, que le permitían rastrear contraseñas previamente comprometidas.
Finalmente, ejecutaba ataques de tipo ‘defacement’, accediendo ilegalmente a sitios web para modificar su apariencia visual o alterar sus contenidos. Una vez obtenido el control de los paneles de administración, reemplazaba el material original por imágenes generadas mediante Inteligencia Artificial que incluían desnudos, insultos y simbología de carácter neonazi y fascista.
El hacker integraba una comunidad cibercriminal y operaba activamente en grupos como ‘Dictadores’, ‘Sherlock’ y ‘La Pampa Leaks’. También administraba un canal propio de Telegram denominado ‘@GOV.ETH’, donde publicaba capturas de pantalla de sus ataques informáticos.
La actividad delictiva desplegada entre 2024 y 2026 tuvo alcance internacional y afectó infraestructuras públicas y privadas de Argentina, Uruguay, España, Estados Unidos y México. En abril de 2025 se le atribuyó el hackeo al sitio web del diario Perfil, hecho que aprovechó para publicar imágenes del Documento Nacional de Identidad del presidente argentino, Javier Milei.