El hacker argentino «Gov.eth», acusado de vulnerar plataformas digitales de organismos estatales y medios de comunicación de distintos países, fue detenido en Madrid en el marco de una investigación encabezada por la Justicia federal argentina y la Policía Federal Argentina (PFA), con colaboración de la Policía Nacional de España.

El detenido fue identificado como Matheo Enzo Torres Palacios, señalado por los investigadores como el responsable de múltiples ataques informáticos cometidos entre 2024 y 2026 contra organismos públicos, empresas privadas y medios de comunicación de Argentina, Uruguay, México, España y Estados Unidos.

Se trata del ciberdelincuente que se infltró en abril de 2025 en los sistemas informáticos de Perfil.com y publicó en la portada imágenes de la foto del DNI del presidente Javier Milei, junto con insultos al mandatario.

Agentes de la Policía Federal Argentina lograron identificar al ciberdelincuente conocido como “@Gov.eth” (M.E.T.P.), responsable de diversos ataques informáticos a infraestructuras públicas y privadas en 2024 y 2025 tanto en la Argentina como en otros países, como Uruguay, México, España en Estados Unidos. En España, donde residía, sustrajo y difundió información privada de altos funcionarios del gobierno.

Cómo fue el hackeo de Gov.eth a Perfil.com en abril de 2025

En la mañana del 8 de abril de 2025, la home de Perfil.com se vio repentinamente inundada de una imagen repetida: la foto del documento nacional de identidad del presidente Javier Milei. El atacante había ingresado de forma remota a los sistemas que controlan el sitio web, donde modificó varias notas, puso la foto del presidente (que había extraído del Sistema Federal de Comunicaciones Policiales – SIFCOP) y sumó un reguero de insultos contra el mandatario, algunos antisemitas, como la palabra «Jewlei» (de «jew», judío en inglés). El ciberdelincuente dejó clara su firma con la leyenda «hacked by @gov.eth».

Se trató de un ataque de tipo defacement, en el que se altera el contenido visible del sitio web para dejar un mensaje .El hacker, un joven de 22 años, fue entrevistado por Agustino Fontevecchia. En esa conversación, asumió la responsabilidad del ataque y se autodefinió como “nacional socialista”, seguidor de Adolf Hitler y Benito Mussolini.

Este ciberdelincuente ya tenía antecedentes vulnerando sistemas de la administración pública argentina. Solía difundir sus acciones a través de un canal de Telegram.

Una investigación internacional que llevó hasta Madrid

La causa comenzó en octubre de 2025 por disposición del Juzgado Federal de Primera Instancia de Campana, a cargo de Adrián González Charvay. En paralelo, el Departamento de Inteligencia contra el Crimen Organizado (DICCO) de la Policía Federal desarrolló la denominada megacausa «Dictadores», que derivó en 21 allanamientos y la detención de once integrantes de una organización dedicada al cibercrimen.

A partir de esa investigación, los especialistas lograron establecer que el hacker ocultaba su identidad mediante distintos mecanismos tecnológicos. Mediante técnicas especiales de investigación y el análisis de información vinculada a la blockchain, los peritos reconstruyeron su verdadera identidad y ubicaron el inmueble desde donde operaba, en la localidad madrileña de Rivas-Vaciamadrid.

Según informaron fuentes oficiales, un agente encubierto de la Policía Federal Argentina, junto con el monitoreo de sus actividades digitales, fue clave para confirmar la identidad del sospechoso y permitir su localización.

Con esa información, la Policía Nacional de España realizó un allanamiento en su domicilio, donde detuvo al acusado y secuestró computadoras y teléfonos celulares que ahora serán analizados como evidencia en la causa.

También lo acusan de vender datos personales y amenazar a un periodista

Además de los hackeos contra organismos estatales y medios de comunicación, la investigación sostiene que Torres Palacios administraba canales y bots en Telegram desde donde presuntamente comercializaba información personal obtenida de bases de datos oficiales, incluyendo registros del RENAPER y la Dirección Nacional de los Registros del Automotor (DNRPA). Los investigadores sostienen que cobraba tanto en pesos argentinos como en Bitcoin por brindar acceso ilegal a esa información.

El expediente también lo vincula con prácticas de doxxing, mediante las cuales publicaba datos personales de terceros en plataformas especializadas con fines de hostigamiento, intimidación o extorsión.

En paralelo, el hacker enfrenta otra causa en la Justicia federal por presuntas amenazas contra un periodista que investigaba grupos digitales vinculados al movimiento libertario. Según consta en la denuncia, una persona que dijo actuar «de parte de Gov» le envió mensajes por WhatsApp con fotografías de armas de fuego y le exigió eliminar publicaciones periodísticas.

El presunto modus operandi de Gov.eth

De acuerdo con el informe elaborado por la Policía Federal, la estructura delictiva atribuida a «Gov.eth» combinaba distintas modalidades de ataque.

Los investigadores sostienen que obtenía y comercializaba bases de datos personales mediante bots de Telegram; adquiría herramientas especializadas para localizar credenciales comprometidas en filtraciones previas; y aprovechaba vulnerabilidades en sitios web que carecían de sistemas de autenticación reforzada para modificar completamente sus contenidos mediante ataques de defacement.

Para Rusia “Argentina es uno de los países con más ciberataques en América Latina”

También habría participado en comunidades cerradas dedicadas al cibercrimen, desde donde difundía los resultados de sus ataques para amplificar su impacto y obtener reconocimiento dentro de ese ámbito.

Con la detención en España, la Justicia argentina considera que dio un paso clave para desarticular una de las estructuras de ciberataques más activas que operaban contra organismos públicos y empresas de distintos países.