Agentes del Departamento Federal de Investigaciones (DFI) de la Policía Federal Argentina (PFA) lograron identificar al ciberdelincuente, cuyo nombre real es M.E.T.P., vinculándolo a varios ciberataques tanto en Argentina como al robo y difusión de información confidencial de altos funcionarios del gobierno español.
La Policía Nacional de España, tras recibir la información, pudo desarticular el búnker desde el que operaba el joven de 22 años en la capital española. En sus redes sociales, el imputado se definió como ‘nacionalsocialista’, utilizando esta etiqueta junto a comentarios racistas y antisemitas. Uno de sus ataques más destacados fue al sitio del diario Perfil.com, donde dejó una imagen del presidente Javier Milei con el mensaje: ‘Jewlei’, en referencia despectiva al continuo apoyo del mandatario argentino a Israel.
La actividad delictiva de ‘Gov.eth’ entre 2024 y 2026 tuvo un amplio alcance internacional, afectando tanto a infraestructuras públicas como privadas en países como Argentina, Uruguay, España, Estados Unidos y México. Particularmente, en abril de 2025, se le atribuyó el hackeo del sitio web de Perfil, donde divulgó imágenes del Documento Nacional de Identidad de Javier Milei.
La investigación comenzó en octubre del año pasado, a partir de órdenes del Juzgado Federal de Primera Instancia de Campana y estuvo a cargo del Departamento de Inteligencia contra el Crimen Organizado (DICCO) de la PFA. Esta pesquisa resultó en una causa de gran envergadura denominada ‘Dictadores’, que concluyó con 21 allanamientos, la detención de once personas y la desarticulación de una peligrosa organización dedicada al cibercrimen.
La pista crucial para su identificación surgió gracias a nuevas herramientas impulsadas por la Ley 27.319 para la lucha contra delitos complejos, las cuales permitieron conocer la verdadera identidad del hacker, que operaba bajo un alias en la blockchain. Así, se comprobó que ‘@Gov.eth’ correspondía a M.E.T.P.
Ante la confirmación de la investigación y dado que el sospechoso también era requerido por la Policía Nacional de España, la PFA compartió toda la información recopilada. Finalmente, con estos datos, la policía española llevó a cabo un allanamiento en la vivienda del imputado, donde se incautaron dos teléfonos y dos computadoras que contenían evidencia importante relacionada con los ciberataques en territorio argentino.
El modus operandi de ‘@Gov.eth’ se organizaba en tres etapas. La primera consistía en un negocio ilegal de ‘doxxing’, que implica la búsqueda y divulgación de información personal de forma involuntaria. Esta actividad estaba asociada a la comercialización de datos personales a través de bots en plataformas de mensajería como Telegram. Los usuarios, al realizar un pago, podían acceder a bases de datos privadas, como las del RENAPER y la DNRPA.
Además, se dedicaba al doxxing activo en sitios como Doxbin, donde publicaba información sensible de las víctimas con fines de hostigamiento y extorsión.
En la segunda etapa, aprovechaba las vulnerabilidades de los sistemas de seguridad de sus objetivos, comprando licencias de herramientas de auditoría en euros, como ‘Intelligence X’, que le permitían rastrear contraseñas vulneradas mediante malware.
Finalmente, ejecutaba ataques de ‘defacement’, accediendo ilegalmente a sitios web para modificar su apariencia visual. Una vez controlados los paneles administrativos, sustituía contenido original por imágenes generadas con Inteligencia Artificial que incluían material ofensivo y simbología extremista.
Además, el hacker formaba parte de una comunidad cibercriminal y participaba activamente en grupos como ‘Dictadores’, ‘Sherlock’ y ‘La Pampa Leaks’, el último conocido por la filtración de bases de datos del Estado uruguayo. Mantenía, asimismo, un canal en Telegram llamado ‘@GOV.ETH’, donde compartía capturas de pantalla de sus ataques para aumentar su notoriedad en el ámbito internacional.
