Golpe al cibercrimen: detuvieron en Madrid al hacker argentino “Gov.eth”
Un operativo conjunto entre la Policía Federal Argentina (PFA) y la Policía Nacional de España culminó con la detención en Madrid de M.E.T.P., de 22 años, identificado como el hacker argentino conocido bajo el alias “@Gov.eth”, señalado como responsable de múltiples ataques informáticos contra organismos estatales, medios de comunicación y plataformas digitales de distintos países.
La captura se produjo tras una investigación iniciada por la Justicia argentina que permitió localizar al sospechoso en la capital española, desde donde habría coordinado gran parte de sus actividades.
La investigación que permitió identificarlo
La pesquisa comenzó en octubre de 2025 por orden del Juzgado Federal de Primera Instancia de Campana, a cargo de Adrián González Charvay.
Los investigadores del Departamento Inteligencia contra el Crimen Organizado (DICCO) de la PFA lograron establecer la identidad detrás del alias “Gov.eth” mediante técnicas especiales de investigación y el análisis de sus movimientos en distintos entornos digitales.
La causa se enmarcó dentro de una megainvestigación denominada “Dictadores”, que derivó en:
- 21 allanamientos.
- 11 detenciones.
- La desarticulación de una presunta organización cibercriminal.
Ataques en Argentina y el exterior
Según informó el Ministerio de Seguridad, la actividad atribuida al hacker se extendió entre 2024 y 2026 y afectó a organismos y empresas de:
- Argentina.
- Uruguay.
- España.
- Estados Unidos.
- México.
Uno de los episodios de mayor repercusión ocurrió en abril de 2025, cuando el sitio web de Perfil.com sufrió un ataque que permitió la publicación de información personal vinculada al presidente Javier Milei.
En aquella ocasión también apareció una imagen del mandatario acompañada por la inscripción “Jewlei”, una referencia de tono antisemita relacionada con la postura de Milei respecto de Israel.
Cómo operaba “Gov.eth”
De acuerdo con los investigadores, el accionar del hacker se dividía en tres etapas.
Venta y difusión de datos personales
La primera consistía en actividades de doxxing, una práctica que implica recopilar y divulgar información privada sin consentimiento.
Según la investigación, utilizaba bots de Telegram para comercializar datos personales obtenidos de bases privadas y publicaba información sensible en plataformas especializadas.
Búsqueda de vulnerabilidades
La segunda etapa se basaba en la explotación de fallas de seguridad.
Para ello habría utilizado herramientas profesionales de inteligencia digital que permitían rastrear contraseñas filtradas y sistemas vulnerables.
Modificación de sitios web
Finalmente ejecutaba ataques conocidos como defacement, mediante los cuales alteraba la apariencia y los contenidos de páginas web comprometidas.
Los investigadores sostienen que reemplazaba información original por imágenes generadas con inteligencia artificial, mensajes ofensivos y simbología vinculada al neonazismo.
El allanamiento en Madrid
Tras recibir la información recopilada por la Policía Federal Argentina, la Policía Nacional de España realizó un allanamiento en la vivienda del sospechoso.
Durante el procedimiento secuestró:
- Dos teléfonos celulares.
- Dos computadoras.
Los dispositivos serán sometidos a peritajes para determinar el alcance de las actividades atribuidas al detenido y establecer posibles conexiones con otros integrantes de la red.
Una comunidad internacional de ciberdelincuentes
La investigación también señala que “Gov.eth” participaba activamente en grupos de ciberdelincuencia conocidos como “Dictadores”, “Sherlock” y “La Pampa Leaks”, este último vinculado a filtraciones masivas de información en Uruguay.
Además administraba un canal propio en Telegram donde difundía capturas de pantalla de los ataques para amplificar su repercusión y ganar notoriedad dentro de la comunidad hacker.
