El hacker que ridiculizó a todo el Estado: así cayó “@Gov.eth”, buscado en varios países

Durante meses dejó su firma digital en ataques que expusieron fallas críticas de seguridad en organismos estatales y empresas privadas. Bajo el alias “@Gov.eth”, un hacker se convirtió en una de las figuras más temidas del cibercrimen regional hasta que una investigación de la Policía Federal Argentina logró ponerle nombre, apellido y domicilio.

El sospechoso, identificado por las siglas M.E.T.P., fue localizado en Rivas-Vaciamadrid, Madrid, tras una pesquisa internacional que permitió reconstruir su identidad virtual y detectar el búnker desde donde operaba. La información recabada por investigadores argentinos fue clave para que la Policía Nacional de España allanara la vivienda y secuestrara computadoras y teléfonos que ahora serán peritados.

Los ataques

Según la investigación, la actividad del hacker entre 2024 y 2026 impactó en sistemas de Argentina, Uruguay, España, Estados Unidos y México. En el país, se le atribuyen intrusiones contra el Registro Nacional de las Personas (RENAPER), la Dirección Nacional de los Registros Nacionales de la Propiedad del Automotor (DNRPA), el sitio de Ámbito Financiero y medios del Grupo Perfil.

Uno de los episodios más resonantes ocurrió en abril de 2025, cuando tras vulnerar la web de Perfil publicó imágenes del Documento Nacional de Identidad del presidente Javier Milei, junto con otros contenidos de alto impacto.

La causa se inició en octubre del año pasado en el Juzgado Federal de Campana, a cargo de Adrián González Charvay, con intervención de las secretarías penales conducidas por Agustín Andrés Ocampo y Sánchez Guzmán. Desde allí se impulsó la megacausa “DICTADORES”, que derivó en 21 allanamientos, 11 detenciones y el desmantelamiento de una estructura cibercriminal.

Doxxing, bots y mensajes neonazis

La investigación determinó que el esquema delictivo de “@Gov.eth” funcionaba en tres niveles. El primero consistía en el doxxing, práctica basada en obtener y divulgar información privada sin consentimiento. A través de bots en Telegram, comercializaba acceso clandestino a bases de datos sensibles.

Luego explotaba vulnerabilidades de seguridad utilizando herramientas especializadas de auditoría informática para rastrear contraseñas comprometidas. Finalmente ejecutaba ataques de defacement, una modalidad que consiste en tomar control de sitios web y alterar su contenido.

Según la pesquisa, una vez dentro de los paneles de administración, reemplazaba el material original por imágenes generadas con inteligencia artificial que incluían desnudos, insultos y simbología neonazi y fascista.

Los investigadores también lo vincularon con comunidades cibercriminales conocidas como “DICTADORES”, “SHERLOCK” y “LA PAMPA LEAKs”, esta última señalada por filtraciones masivas de bases de datos del Estado uruguayo.

Además, administraba un canal propio de Telegram bajo el nombre “@GOV.ETH”, donde difundía capturas de sus ataques para amplificar su repercusión y consolidar prestigio dentro del submundo hacker.

La causa sigue abierta y busca establecer el alcance total de los ataques, la red de colaboradores y el volumen de información sensible comprometida en una de las investigaciones de cibercrimen más relevantes de los últimos años.