En el marco de un procedimiento impulsado por el Ministerio de Seguridad Nacional en la lucha contra el crimen transnacional, agentes del Departamento Federal de Investigaciones (DFI) lograron identificar al ciberdelincuente conocido como “@Gov.eth” (M.E.T.P.), responsable de diversos ataques informáticos cometidos tanto en la Argentina —entre ellos contra el Registro Nacional de las Personas (RENAPER), la Dirección Nacional de los Registros Nacionales de la Propiedad del Automotor (DNRPA), el sitio web de Ámbito Financiero y medios pertenecientes al Grupo Perfil— como de la sustracción y difusión de información privada de altos funcionarios del Gobierno de España, entre otros países.
La actividad delictiva desplegada por Gov.eth entre 2024 y 2026 tuvo alcance internacional y afectó infraestructuras públicas y privadas de diversos países, entre ellos Argentina, Uruguay, España, Estados Unidos y México. Asimismo, en abril de 2025 se le atribuyó el hackeo al sitio web del diario Perfil, hecho que aprovechó para publicar imágenes del Documento Nacional de Identidad del presidente argentino, Javier Milei, entre otros contenidos.
El modus operandi
El accionar delictivo de “@Gov.eth” se encontraba dividido en tres etapas. La primera consistía en el negocio clandestino del “doxxing”, práctica maliciosa que implica investigar, recopilar y difundir información privada o identificatoria de una persona sin su consentimiento. Esta actividad estaba vinculada con la promoción y comercialización de datos personales mediante herramientas automatizadas (bots) operadas a través de servicios de mensajería instantánea como Telegram. Una vez efectuado el pago correspondiente, los usuarios podían acceder de manera clandestina a bases de datos privadas, entre ellas las del RENAPER y la DNRPA.
Además, desarrollaba actividades de doxxing activo en plataformas como Doxbin, un sitio utilizado para publicar información sensible de las víctimas con fines de hostigamiento, intimidación y extorsión económica o política.
La segunda etapa consistía en aprovechar vulnerabilidades derivadas de deficiencias en los sistemas de seguridad de sus objetivos. Para ello, el imputado abonaba licencias anuales en euros de herramientas de auditoría como “Intelligence X”, que le permitían rastrear contraseñas previamente comprometidas mediante distintos tipos de malware.
Finalmente, ejecutaba ataques de tipo “defacement”, accediendo ilegalmente a sitios web para modificar su apariencia visual o alterar sus contenidos. Una vez obtenido el control de los paneles de administración, y aprovechando la ausencia de sistemas de verificación en dos pasos, reemplazaba el material original por imágenes generadas mediante Inteligencia Artificial que incluían desnudos, insultos y simbología de carácter neonazi y fascista.
Cabe destacar que el mencionado hacker integraba una comunidad cibercriminal y operaba activamente en grupos como “DICTADORES”, “SHERLOCK” y “LA PAMPA LEAKs”, este último conocido por haber adquirido notoriedad tras vulnerar y filtrar bases de datos masivas del Estado uruguayo. Asimismo, M.E.T.P. administraba un canal propio de Telegram denominado “@GOV.ETH”, donde publicaba capturas de pantalla de sus ataques informáticos con el objetivo de amplificar su repercusión mediática entre una amplia audiencia internacional.