El hacker argentino “Gov.eth”, acusado de vulnerar plataformas digitales de organismos estatales y medios de comunicación de distintos países, fue detenido en Madrid en el marco de una investigación encabezada por la Justicia federal argentina y la Policía Federal Argentina (PFA), con colaboración de la Policía Nacional de España.
El detenido fue identificado como Matheo Enzo Torres Palacios, señalado por los investigadores como el responsable de múltiples ataques informáticos cometidos entre 2024 y 2026 contra organismos públicos, empresas privadas y medios de comunicación de Argentina, Uruguay, México, España y Estados Unidos.
Esto no les gusta a los autoritarios
El ejercicio del periodismo profesional y crítico es un pilar fundamental de la democracia. Por eso molesta a quienes creen ser los dueños de la verdad.
Se trata del ciberdelincuente que se infltró en abril de 2025 en los sistemas informáticos de Perfil.com y publicó en la portada imágenes de la foto del DNI del presidente Javier Milei, junto con insultos al mandatario.
Agentes de la Policía Federal Argentina lograron identificar al ciberdelincuente conocido como “@Gov.eth” (M.E.T.P.), responsable de diversos ataques informáticos a infraestructuras públicas y privadas en 2024 y 2025 tanto en la Argentina como en otros países, como Uruguay, México, España en Estados Unidos. En España, donde residía, sustrajo y difundió información privada de altos funcionarios del gobierno.
Cómo fue el hackeo de Gov.eth a Perfil.com en abril de 2025
En la mañana del 8 de abril de 2025, la home de Perfil.com se vio repentinamente inundada de una imagen repetida: la foto del documento nacional de identidad del presidente Javier Milei. El atacante había ingresado de forma remota a los sistemas que controlan el sitio web, donde modificó varias notas, puso la foto del presidente (que había extraído del Sistema Federal de Comunicaciones Policiales – SIFCOP) y sumó un reguero de insultos contra el mandatario, algunos antisemitas, como la palabra “Jewlei” (de “jew”, judío en inglés). El ciberdelincuente dejó clara su firma con la leyenda “hacked by @gov.eth”.
Se trató de un ataque de tipo defacement, en el que se altera el contenido visible del sitio web para dejar un mensaje .El hacker, un joven de 22 años, fue entrevistado por Agustino Fontevecchia. En esa conversación, asumió la responsabilidad del ataque y se autodefinió como “nacional socialista”, seguidor de Adolf Hitler y Benito Mussolini.
Cómo se gestó el hackeo a Perfil.com y quién es @gov.eth
El “Messi” de los hackers
Este ciberdelincuente ya tenía antecedentes vulnerando sistemas de la administración pública argentina. Solía difundir sus acciones a través de un canal de Telegram. De hecho, el prontuario de Torres Palacios no se limitó a los medios de comunicación. A fines de 2024, se adjudicó la intrusión en los sistemas de la aplicación SUBE y de la plataforma Mi Argentina, además de vulnerar la web de Ámbito Financiero.
Estos ataques masivos terminaron de cimentar su reputación en el submundo digital, pero curiosamente, esa fama saltó la barrera de los foros oscuros: el hacker llegó a recibir saludos públicos de figuras de la escena trap urbana. En su momento de mayor exposición, un reconocido cantante le dedicó una historia en Instagram donde lo bautizó como “el Messi de los hackers”.
Una investigación internacional que llevó hasta Madrid
La causa comenzó en octubre de 2025 por disposición del Juzgado Federal de Primera Instancia de Campana, a cargo de Adrián González Charvay. En paralelo, el Departamento de Inteligencia contra el Crimen Organizado (DICCO) de la Policía Federal desarrolló la denominada megacausa “Dictadores”, que derivó en 21 allanamientos y la detención de once integrantes de una organización dedicada al cibercrimen.
El quiebre definitivo del caso —(levado adelante por el juez González Charvay junto a las secretarías penales de Ocampo y Sánchez Guzmán) se logró al aplicar la Ley 27.319 de Técnicas Especiales de Investigación. Al rastrear la actividad oculta del sospechoso en la blockchain y cruzarla con sus datos biográficos, los peritos ubicaron su búnker exacto: un inmueble sobre la Plaza Euskadi, en Rivas-Vaciamadrid.
Tras el aviso de los agentes encubiertos argentinos, el Grupo Conjunto contra el Crimen Organizado (GCO) de la policía española irrumpió en el departamento, le puso las esposas y secuestró todo el arsenal tecnológico que el joven usaba para operar.
Según informaron fuentes oficiales, un agente encubierto de la Policía Federal Argentina, junto con el monitoreo de sus actividades digitales, fue clave para confirmar la identidad del sospechoso y permitir su localización.
También lo acusan de vender datos personales y amenazar a un periodista
Además de los hackeos contra organismos estatales y medios de comunicación, la investigación sostiene que Torres Palacios administraba canales y bots en Telegram desde donde presuntamente comercializaba información personal obtenida de bases de datos oficiales, incluyendo registros del RENAPER y la Dirección Nacional de los Registros del Automotor (DNRPA). Los investigadores sostienen que cobraba tanto en pesos argentinos como en Bitcoin por brindar acceso ilegal a esa información.
El expediente también lo vincula con prácticas de doxxing, mediante las cuales publicaba datos personales de terceros en plataformas especializadas con fines de hostigamiento, intimidación o extorsión.
En paralelo, el hacker enfrenta otra causa en la Justicia federal por presuntas amenazas contra un periodista que investigaba grupos digitales vinculados al movimiento libertario. Según consta en la denuncia, una persona que dijo actuar “de parte de Gov” le envió mensajes por WhatsApp con fotografías de armas de fuego y le exigió eliminar publicaciones periodísticas.
La causa por esta brutal coacción recayó en el Juzgado Federal N°2 de Comodoro Py, a cargo de Sebastián Ramos. El expediente detalla que la intimidación llegó desde una línea con código de área de Miami. Para demostrar que la amenaza iba en serio, el emisario no solo mandó fotos del armamento para forzar al periodista a dar de baja los artículos, sino que sumó un cartel con el alias del ciberdelincuente y una bizarra imagen intimidatoria: un mono encerrado en una jaula.
El presunto modus operandi de Gov.eth
De acuerdo con el informe elaborado por la Policía Federal, la estructura delictiva atribuida a “Gov.eth” combinaba distintas modalidades de ataque.
Los investigadores sostienen que obtenía y comercializaba bases de datos personales mediante bots de Telegram; adquiría herramientas especializadas para localizar credenciales comprometidas en filtraciones previas; y aprovechaba vulnerabilidades en sitios web que carecían de sistemas de autenticación reforzada para modificar completamente sus contenidos mediante ataques de defacement.
Para Rusia “Argentina es uno de los países con más ciberataques en América Latina”
También habría participado en comunidades cerradas dedicadas al cibercrimen, desde donde difundía los resultados de sus ataques para amplificar su impacto y obtener reconocimiento dentro de ese ámbito.
Con la detención en España, la Justicia argentina considera que dio un paso clave para desarticular una de las estructuras de ciberataques más activas que operaban contra organismos públicos y empresas de distintos países.
