En el marco de un importante procedimiento impulsado por el Ministerio de Seguridad Nacional en la lucha contra el crimen transnacional, agentes del Departamento Federal de Investigaciones (DFI) de la Policía Federal Argentina (PFA) lograron identificar al ciberdelincuente conocido como “@Gov.eth” (M.E.T.P.), responsable de diversos ataques informáticos cometidos tanto en la Argentina —entre ellos contra el Registro Nacional de las Personas (RENAPER), la Dirección Nacional de los Registros Nacionales de la Propiedad del Automotor (DNRPA), el sitio web de Ámbito Financiero y medios pertenecientes al Grupo Perfil— como de la sustracción y difusión de información privada de altos funcionarios del Gobierno de España, entre otros países. Gracias a su identificación y localización, la Policía Nacional de España logró desarticular el búnker desde el cual operaba en la ciudad de Madrid.

La actividad delictiva desplegada por Gov.eth entre 2024 y 2026 tuvo alcance internacional y afectó infraestructuras públicas y privadas de diversos países, entre ellos Argentina, Uruguay, España, Estados Unidos y México. Asimismo, en abril de 2025 se le atribuyó el hackeo al sitio web del diario Perfil, hecho que aprovechó para publicar imágenes del Documento Nacional de Identidad del presidente argentino, Javier Milei, entre otros contenidos.

La investigación se inició en octubre del año pasado a partir de directivas emanadas del Juzgado Federal de Primera Instancia de Campana, a cargo del Dr. Adrián González Charvay, ante la Secretaría Penal Nº 2, conducida por el Dr. Agustín Andrés Ocampo, con la determinante participación de la Secretaría Nº 1, a cargo del Dr. Sánchez Guzmán. En ese contexto, los investigadores del Departamento Inteligencia contra el Crimen Organizado (DICCO) de la PFA desarrollaron una megacausa denominada “DICTADORES”, que culminó con 21 allanamientos, la detención de 11 personas y la completa desarticulación de una peligrosa organización cibercriminal.

La pista clave surgió a partir de la utilización de nuevas herramientas contempladas en la Ley 27.319 de Técnicas Especiales de Investigación, Prevención y Lucha contra Delitos Complejos, mediante las cuales fue posible establecer la verdadera identidad del hacker que operaba bajo un alias en la blockchain (libro contable digital). De esta manera, se confirmó que “@Gov.eth” correspondía a M.E.T.P.

En ese marco, y a partir de un seguimiento permanente de su actividad virtual, complementado con información biográfica y geográfica, se llevó adelante una activa cooperación internacional mediante el enlace con el Grupo Conjunto contra el Crimen Organizado (GCO). Como resultado, se obtuvo la ficha registral completa del sospechoso y se logró localizar el inmueble utilizado como centro de operaciones, ubicado en Plaza Euskadi, Rivas-Vaciamadrid, Madrid.

Al tomar conocimiento de la investigación y debido a que el sospechoso también era requerido por el área de Cibercrimen de la Policía Nacional de España, la PFA puso a disposición de esa fuerza la totalidad de la información reunida durante la pesquisa. Finalmente, gracias a los datos aportados por los investigadores argentinos, la Policía Nacional Española allanó la vivienda del imputado y secuestró dos teléfonos celulares y dos computadoras de vital importancia para la causa, elementos que contendrían evidencia directamente vinculada con los ciberataques perpetrados en territorio argentino.

MODUS OPERANDI

El accionar delictivo de “@Gov.eth” se encontraba dividido en tres etapas. La primera consistía en el negocio clandestino del “doxxing”, práctica maliciosa que implica investigar, recopilar y difundir información privada o identificatoria de una persona sin su consentimiento. Esta actividad estaba vinculada con la promoción y comercialización de datos personales mediante herramientas automatizadas (bots) operadas a través de servicios de mensajería instantánea como Telegram. Una vez efectuado el pago correspondiente, los usuarios podían acceder de manera clandestina a bases de datos privadas, entre ellas las del RENAPER y la DNRPA.

Además, desarrollaba actividades de doxxing activo en plataformas como Doxbin, un sitio utilizado para publicar información sensible de las víctimas con fines de hostigamiento, intimidación y extorsión económica o política.

La segunda etapa consistía en aprovechar vulnerabilidades derivadas de deficiencias en los sistemas de seguridad de sus objetivos. Para ello, el imputado abonaba licencias anuales en euros de herramientas de auditoría como “Intelligence X”, que le permitían rastrear contraseñas previamente comprometidas mediante distintos tipos de malware.

Finalmente, ejecutaba ataques de tipo “defacement”, accediendo ilegalmente a sitios web para modificar su apariencia visual o alterar sus contenidos. Una vez obtenido el control de los paneles de administración, y aprovechando la ausencia de sistemas de verificación en dos pasos, reemplazaba el material original por imágenes generadas mediante Inteligencia Artificial que incluían desnudos, insultos y simbología de carácter neonazi y fascista.

Cabe destacar que el mencionado hacker integraba una comunidad cibercriminal y operaba activamente en grupos como “DICTADORES”, “SHERLOCK” y “LA PAMPA LEAKs”, este último conocido por haber adquirido notoriedad tras vulnerar y filtrar bases de datos masivas del Estado uruguayo. Asimismo, M.E.T.P. administraba un canal propio de Telegram denominado “@GOV.ETH”, donde publicaba capturas de pantalla de sus ataques informáticos con el objetivo de amplificar su repercusión mediática entre una amplia audiencia internacional.