El hacker argentino «Gov.eth», quien había vulnerado plataformas digitales de organismos estatales y medios de comunicación, fue arrestado este miércoles en Madrid, desde donde desarrollaba su actividad delictiva, en el marco de un procedimiento impulsado por el Ministerio de Seguridad de la Nación.

Agentes del Departamento Federal de Investigaciones (DFI) de la Policía Federal Argentina (PFA) lograron identificar al ciberdelincuente conocido como “@Gov.eth” (M.E.T.P.), responsable de diversos ataques informáticos cometidos tanto en la Argentina como en la sustracción y difusión de información privada de altos funcionarios del gobierno español.

Gracias a su identificación y localización, la Policía Nacional de España logró desarticular el búnker desde el cual operaba el joven de 22 años en la ciudad de Madrid.

En sus publicaciones, se autodefinió como “nacionalsocialista”, una etiqueta que combinaba con referencias racistas y antisemitas. Uno de sus ataques más comentados fue al sitio del diario Perfil.com, donde dejó una imagen del presidente Javier Milei acompañado del mensaje: “Jewlei”, una alusión peyorativa al apoyo permanente del mandatario argentino hacia el Estado de Israel.

La actividad delictiva desplegada por «Gov.eth» entre 2024 y 2026 tuvo alcance internacional y afectó infraestructuras públicas y privadas de diversos países, entre ellos Argentina, Uruguay, España, Estados Unidos y México. Asimismo, en abril de 2025 se le atribuyó el hackeo al sitio web del diario Perfil, hecho que aprovechó para publicar imágenes del Documento Nacional de Identidad del presidente argentino, Javier Milei.

La investigación se inició en octubre del año pasado a partir de directivas emanadas del Juzgado Federal de Primera Instancia de Campana, a cargo de Adrián González Charvay. En ese contexto, los investigadores del Departamento Inteligencia contra el Crimen Organizado (DICCO) de la PFA desarrollaron una megacausa denominada “Dictadores”, que culminó con 21 allanamientos, la detención de once personas y la completa desarticulación de una peligrosa organización cibercriminal.

La pista clave surgió a partir de la utilización de nuevas herramientas contempladas en la Ley 27.319 de Técnicas Especiales de Investigación, Prevención y Lucha contra Delitos Complejos, mediante las cuales fue posible establecer la verdadera identidad del hacker, quien operaba bajo un alias en la blockchain (libro contable digital). De esta manera, se confirmó que “@Gov.eth” correspondía a M.E.T.P.

Al tomar conocimiento de la investigación y debido a que el sospechoso también era requerido por el área de Cibercrimen de la Policía Nacional de España, la PFA puso a disposición de esa fuerza la totalidad de la información reunida durante la pesquisa.

Finalmente, gracias a los datos aportados por los investigadores argentinos, la policía española allanó la vivienda del imputado y secuestró dos teléfonos celulares y dos computadoras de vital importancia para la causa, elementos que contendrían evidencia directamente vinculada con los ciberataques perpetrados en territorio argentino.

Modus Operandi

El accionar delictivo de “@Gov.eth” se encontraba dividido en tres etapas: La primera consistía en el negocio clandestino del “doxxing”, práctica maliciosa que implica investigar, recopilar y difundir información privada o identificatoria de una persona sin su consentimiento. Esta actividad estaba vinculada con la promoción y comercialización de datos personales mediante herramientas automatizadas (bots) operadas a través de servicios de mensajería instantánea como Telegram. Una vez efectuado el pago correspondiente, los usuarios podían acceder de manera clandestina a bases de datos privadas, entre ellas las del RENAPER y la DNRPA.

Además, desarrollaba actividades de doxxing activo en plataformas como Doxbin, un sitio utilizado para publicar información sensible de las víctimas con fines de hostigamiento, intimidación y extorsión económica o política.

La segunda etapa consistía en aprovechar vulnerabilidades derivadas de deficiencias en los sistemas de seguridad de sus objetivos. Para ello, el imputado abonaba licencias anuales en euros de herramientas de auditoría como “Intelligence X”, que le permitían rastrear contraseñas previamente comprometidas mediante distintos tipos de malware.

Finalmente, ejecutaba ataques de tipo “defacement”, accediendo ilegalmente a sitios web para modificar su apariencia visual o alterar sus contenidos. Una vez obtenido el control de los paneles de administración, y aprovechando la ausencia de sistemas de verificación en dos pasos, reemplazaba el material original por imágenes generadas mediante Inteligencia Artificial que incluían desnudos, insultos y simbología de carácter neonazi y fascista.

Asimismo, el mencionado hacker integraba una comunidad cibercriminal y operaba activamente en grupos como “Dictadores”, “Sherlock” y “La Pampa Leaks”, este último conocido por haber adquirido notoriedad tras vulnerar y filtrar bases de datos masivas del Estado uruguayo.

El joven administraba, además, un canal propio de Telegram denominado “@GOV.ETH”, donde publicaba capturas de pantalla de sus ataques informáticos con el objetivo de amplificar su repercusión mediática entre una amplia audiencia internacional.

Fuente NA.