Detuvieron en Madrid al hacker argentino “Gov.eth”, acusado de ataques contra organismos estatales y medios
Un hacker argentino conocido como "@Gov.eth" fue detenido este miércoles en Madrid, España, luego de una investigación coordinada entre el Ministerio de Seguridad de la Nación, la Policía Federal Argentina (PFA) y autoridades españolas. El joven, identificado como M.E.T.P., de 22 años, está acusado de haber vulnerado plataformas digitales de organismos públicos y medios de comunicación, además de sustraer y difundir información privada de funcionarios.
La detención fue concretada por la Policía Nacional de España tras la información aportada por agentes del Departamento Federal de Investigaciones (DFI) de la PFA, quienes lograron establecer la identidad detrás del alias utilizado en la blockchain y localizar el lugar desde donde operaba.
Una investigación internacional contra un grupo cibercriminal
La causa se inició en octubre del año pasado a partir de una orden del Juzgado Federal de Primera Instancia de Campana, a cargo del juez Adrián González Charvay.
Dentro de la investigación, denominada "Dictadores", integrantes del Departamento Inteligencia contra el Crimen Organizado (DICCO) de la PFA realizaron 21 allanamientos, detuvieron a 11 personas y avanzaron contra una organización dedicada a delitos informáticos.
Según la investigación, la actividad atribuida a "Gov.eth" se habría desarrollado entre 2024 y 2026 y habría afectado sistemas públicos y privados de Argentina, Uruguay, España, Estados Unidos y México.
El ataque contra el sitio de Perfil y la difusión de datos de Milei
Uno de los episodios que tomó mayor repercusión ocurrió en abril de 2025, cuando se le atribuyó el hackeo del sitio web del diario Perfil.
Durante ese ataque, el ciberdelincuente habría publicado imágenes del Documento Nacional de Identidad del presidente argentino Javier Milei y dejó mensajes con referencias ofensivas vinculadas a sus posturas políticas y a su respaldo al Estado de Israel.
En sus publicaciones, el acusado se identificaba con expresiones vinculadas al nacionalsocialismo y difundía contenido con referencias racistas y antisemitas, según consta en la investigación.
Cómo operaba el hacker argentino
Los investigadores identificaron tres etapas principales dentro del presunto esquema delictivo:
Venta de información privada y "doxxing"
El primer nivel estaba relacionado con el doxxing, una práctica que consiste en recopilar y divulgar información personal sin autorización.
Según la pesquisa, el acusado habría comercializado datos obtenidos ilegalmente mediante herramientas automatizadas y servicios de mensajería como Telegram. Entre las bases de datos mencionadas aparecen registros vinculados al RENAPER y la DNRPA.
También habría utilizado plataformas especializadas para publicar información sensible de víctimas con fines de intimidación, hostigamiento o extorsión.
Obtención de credenciales comprometidas
La segunda etapa consistía en aprovechar filtraciones previas de contraseñas y vulnerabilidades de seguridad.
Para ello, los investigadores indicaron que utilizaba herramientas de análisis de inteligencia digital para rastrear credenciales expuestas previamente mediante distintos tipos de malware.
Ataques de modificación de sitios web
La última fase correspondía a ataques conocidos como defacement, en los que los atacantes toman control de una página web y reemplazan su contenido original.
Según la investigación, el acusado habría alterado sitios utilizando imágenes generadas con inteligencia artificial, insultos y símbolos asociados a ideologías extremistas.
Allanamiento en Madrid y secuestro de equipos electrónicos
Tras la identificación del sospechoso, la PFA compartió la información reunida con la Policía Nacional de España, que intervino en Madrid.
Durante el operativo se allanó la vivienda donde presuntamente funcionaba su centro de operaciones y se secuestraron:
- dos teléfonos celulares;
- dos computadoras;
- dispositivos considerados clave para la investigación.
Los investigadores buscan determinar el alcance total de los ataques y establecer si existen más integrantes vinculados a la red.
Una comunidad cibercriminal con alcance internacional
La pesquisa también vinculó al detenido con comunidades dedicadas a actividades ilegales en internet, entre ellas grupos identificados como "Dictadores", "Sherlock" y "La Pampa Leaks".
Además, habría administrado un canal propio de Telegram bajo el nombre "@GOV.ETH", donde difundía capturas de sus supuestos ataques para aumentar su impacto dentro de la comunidad cibercriminal.
La investigación continúa
El arresto en Madrid representa un avance dentro de una causa internacional contra delitos informáticos. Las autoridades argentinas y españolas continuarán analizando el material secuestrado para determinar responsabilidades, víctimas afectadas y posibles nuevos involucrados.