Quién es uruguayo1337: el joven de 19 años tras los ciberataques al Estado uruguayo

Un joven de nombre Juan Manuel Lage Machi, de 19 años, cuyo nombre fue revelado por el diario El Observador, fue identificado como el presunto líder del grupo de ciberdelincuentes PampaLeaks —anteriormente conocido como Uruguayo1337—, considerado el colectivo más activo contra el Estado uruguayo en los últimos dos años.

La revelación de su identidad ocurrió el 19 de mayo de 2025 a través de una publicación del citado medio, basada en una investigación realizada por la empresa de ciberseguridad BCA LTD. Según los datos recabados, la exposición de sus datos personales se originó en una disputa interna entre grupos rivales de cibercrimen, lo que derivó en la filtración de su información.

A partir de allí, BCA analizó el identificador único de su cuenta de Telegram y la configuración de privacidad, lo que permitió vincular el perfil del atacante con una persona concreta. La denuncia fue presentada ante el Ministerio del Interior y la Fiscalía.

El joven fue detenido el 26 de mayo de 2025 en una operación discreta de la Policía Nacional uruguaya, y formalizado ese mismo mes.

El perfil del grupo combina discurso hacktivista con monetización a través de criptomonedas

Fuentes policiales confirmaron al rotativo la aprehensión de Lage Machi, aunque el propio grupo PampaLeaks se adelantó a los medios y reconoció la detención en Telegram, con publicaciones en foros como DarkForums y SpearForums.

En el comunicado difundido por el colectivo, aseguraron que la operación fue deliberadamente discreta porque el objetivo principal de las autoridades es otro integrante, presumiblemente el administrador del grupo, y señalaron que existen al menos dos detenciones previas en la causa. El caso continúa bajo investigación y no se han difundido mayores detalles sobre el avance del proceso judicial.

Según analistas de ciberseguridad, PampaLeaks opera con una motivación híbrida: discurso hacktivista anti-progresismo combinado con monetización en criptomonedas.

La narrativa política da legitimidad y captación de seguidores; el negocio paga las facturas, explicaron desde Security Advisor. Un informe de esa misma consultora describe a LaPampaLeaks como un actor activo desde diciembre de 2024, con «movimientos recientes y significativos». El grupo desarrolló una tecnología llamada PampaBot, presentada como un «servicio de consulta de datos gubernamentales uruguayos» que opera con consultas por Telegram a cambio de pagos en criptomonedas, según expertos consultados.

Los analistas señalan que lo más relevante del período no es el volumen de ataques, sino que un actor local creó la primera plataforma de Cybercrime-as-a-Service (CaaS) de origen uruguayo, de acuerdo al informe de Security Advisor. El historial de ataques del grupo acumula una larga lista de organismos comprometidos, con filtraciones que alcanzaron a altas autoridades del gobierno.

En marzo de 2025, el colectivo atacó la Dirección Nacional de Aviación Civil (Dinacia), en colaboración con BogotaLeaks y Uruguayo1337, adulteraron la web y publicaron datos personales del presidente Yamandú Orsi, incluyendo su foto de cédula y su teléfono personal, según informó Prensa Mercosur. El año pasado también filtraron bases de datos de usuarios de Ceibal y la plataforma Crea, hackearon los sitios de la Fiscalía General de la Nación y la Masonería Uruguaya, reportó La Diaria.

En mayo de 2026, el grupo afirmó haber mantenido acceso prolongado a la infraestructura de TuID Digital de Antel

LaPampaLeaks aseguró haber extraído 8 GB de documentación interna mediante credenciales API expuestas y archivos backend. Entre los datos difundidos como prueba aparecieron información de la senadora Graciana Bianchi, el exdirector de AGESIC Daniel Mordecki y el periodista Eduardo Preve.

Posteriormente, PampaLeaks también afirmó haber accedido a casi seis millones de datos vinculados a cédulas de identidad uruguayas, incluyendo información del ministro del Interior Carlos Negro y el secretario de Presidencia Alejandro Sánchez, según consignó Atlanticafm. En total, entre los organismos comprometidos figuran MSP, Dinacia, Mides, Fiscalía General, Migraciones, Ceibal/CREA, ANEP, SUCIVE, DNIC, IMM y Antel TuID, de acuerdo al relevamiento de Security Advisor.

Otro golpe al ecosistema cibercriminal vinculado a Uruguay

El hacker argentino identificado como Matheo Enzo Torres Palacios (alias Gov.eth), de 22 años, fue detenido en Madrid en el marco de una operación conjunta entre la Policía Federal Argentina y la Policía Nacional de España, según publicó Perfil.

Gov.eth fue responsable de diversos ataques informáticos contra infraestructuras públicas y privadas de Argentina, Uruguay, España, Estados Unidos y México entre 2024 y 2026, y operaba en comunidades cibercriminales cerradas como «Sherlock» y «La Pampa Leaks», esta última célebre por filtrar datos masivos del Estado uruguayo, reportaron Cadena 3 Argentina y Cadenaentrerriana.

La investigación argentina se articuló dentro de una megacausa denominada «Dictadores», que culminó con 21 allanamientos y la detención de once personas, según informó Cadena 3 Argentina.

El panorama general de la ciberseguridad en Uruguay muestra un incremento significativo de los incidentes

CERTuy registró 42.768 incidentes de ciberseguridad en 2025, el triple que en 2024.

Los ciberataques en Uruguay aumentaron un 199% en el primer trimestre de 2026, con un enfoque agresivo en infraestructuras críticas y empresas públicas, de acuerdo a datos publicados por Diario La R. Pese a la detención de Lage Machi, el grupo PampaLeaks sigue activo en Telegram, según lo reconoció el propio colectivo en su comunicado posterior al arresto, lo que confirma que la estructura supera a un único operador y que las investigaciones continúan en curso para desmantelar la totalidad de la organización.

Los organismos afectados por las filtraciones y ataques informáticos provienen de diversos sectores del Estado uruguayo, abarcando desde dependencias del Poder Ejecutivo hasta entidades descentralizadas y empresas públicas. La diversidad de los objetivos comprometidos sugiere un patrón de ataque que combina la extracción de datos personales de ciudadanos y funcionarios con la exposición de documentación interna de las instituciones.

La Plataforma PampaBot, desarrollada por el grupo, representa un modelo de negocio basado en la venta de información sensible a través de Telegram.

Este servicio de consulta de datos gubernamentales uruguayos, que opera a cambio de pagos en criptomonedas, constituye según los analistas el primer caso documentado de Cybercrime-as-a-Service de origen uruguayo, lo que marca un precedente en la evolución del cibercrimen local. La disponibilidad de esta herramienta permite a terceros acceder a información reservada sin necesidad de contar con habilidades técnicas avanzadas, ampliando el alcance y el impacto de las filtraciones.

Las autoridades mantienen reserva sobre los avances de la investigación y no han brindado detalles sobre posibles nuevos operativos.

La Fiscalía y el Ministerio del Interior continúan trabajando en el caso, mientras que desde el grupo PampaLeaks aseguran que la estructura permanece activa y que la detención de Lage Machi no afecta la continuidad de sus operaciones. La situación plantea interrogantes sobre la capacidad del Estado para hacer frente a un fenómeno que combina motivaciones políticas con un claro componente económico, y que ha demostrado capacidad para comprometer infraestructuras críticas en múltiples ocasiones.

Los datos aportados por las investigaciones indican que el grupo mantiene vínculos con otras organizaciones de cibercriminales de la región, como lo demuestra la colaboración con BogotaLeaks en el ataque a Dinacia y la participación de Gov.eth en comunidades como «La Pampa Leaks». Esta red de contactos internacionales sugiere que las operaciones del colectivo trascienden las fronteras uruguayas y se insertan en un ecosistema más amplio de ciberdelincuencia en América Latina.