Arresto de delincuente abre discusión sobre posibilidades de rastreo de dispositivos Windows ~ Segu-Info

El FBI utilizó un identificador de dispositivo de Microsoft, denominado GDID,
para vincular a un adolescente con un ataque informático atribuido a Scattered
Spider, lo que generó preocupación sobre la privacidad y las capacidades de
vigilancia de Windows.

El grupo habría estado implicado en más de 100 intrusiones, obteniendo más de
100 millones de dólares en rescates. En el caso que se le atribuye el hacker
detenido no se consiguió rescate alguno, pese a que la demanda era de 8
millones de dólares. Eso sí, se ha confirmado que la empresa de joyas de lujo
sufrió al menos 2 millones de dólares en pérdidas por interrupción del
negocio, investigación y mitigación.

Según una denuncia federal sustitutiva presentada en el Distrito Norte de
Illinois, se utilizó un identificador persistente de dispositivo de Microsoft
para desenmascarar a un presunto operador de Scattered Spider. Peter Stokes,
de 19 años, con doble nacionalidad estadounidense y estonia, quien
supuestamente usaba los alias «Bouquet», «Spencer» y
«Jordan», fue arrestado en Finlandia el 10 de abril de 2026, cuando
intentaba abordar un vuelo a Japón.

Los fiscales alegan
que es miembro de Scattered Spider, también conocido como Octo Tempest,
UNC3944 y 0ktapus, un grupo vinculado a más de 100 intrusiones y pagos de
rescate por más de 100 millones de dólares.

La detención de un joven ha revelado que Microsoft puede rastrear un PC con
Windows y su actividad en línea mediante un «Identificador Global de
Dispositivo» que, al parecer, no permite desactivarlo fácilmente, lo que ha
generado temores sobre una posible vigilancia.

La semana pasada, Estados Unidos anunció la extradición de Peter Stokes, de 19
años, desde Europa, por presuntamente pertenecer al conocido grupo de hackers
Scattered Spider. Sin embargo, el caso destaca porque Microsoft desempeñó un
papel clave al vincular a Stokes con los presuntos delitos informáticos, según
una denuncia penal que se hizo pública.

Al parecer, Stokes hackeó una joyería de lujo (cuyo nombre no se ha revelado)
en mayo de 2025 utilizando una VPN. Finalmente, se extrajeron datos utilizando
Teleport.sh y Amazon S3, por un total de al menos 77 GB, seguido de una
amenaza de despliegue de ransomware y una demanda de extorsión de 8 millones
de dólares que quedó impaga.

La denuncia penal de 39 páginas revela que el FBI utilizó los registros de
Microsoft para descubrir que su dirección IP estaba asociada a un
identificador de dispositivo de Microsoft conocido como ID Global de
Dispositivo (GDID).

«Según un representante de Microsoft, un ID Global de Dispositivo en el
ecosistema de Windows es un identificador persistente a nivel de
dispositivo, diseñado para identificar de forma única una instalación del
sistema operativo Windows en un dispositivo, ya sea físico (por ejemplo, un
teléfono móvil o un portátil) o virtual, en determinados servicios y
escenarios de Microsoft»
, explica la denuncia.

El ID Global de Dispositivo no resulta sorprendente, dado que es práctica
habitual asignar un ID único a cada cuenta o dispositivo para que un proveedor
de tecnología pueda reconocerlos y distinguirlos. Sin embargo, la denuncia
revela que Microsoft puede asociar el GDID con servicios de terceros y también
con la hora de uso, lo que le permite, en teoría, rastrear la actividad en
línea de un usuario. En otras palabras, Microsoft podría rastrear la actividad
en línea de su PC con Windows sin necesidad de cookies de navegador de
terceros.

Se descubrió que Stokes estaba utilizando la herramienta ngrok para eludir las
defensas de la red de la joyería. La denuncia indica que Microsoft tenía
registros que mostraban que el 12 de mayo de 2025, a las 19:21 UTC, el GDID
asociado al ordenador de Stokes
«accedió, entre otras páginas de ngrok, a
https://dashboard[.]ngrok.com/signup, la página de ngrok para crear una
cuenta»
.

El documento añade que los registros de Microsoft también mostraban que el
GDID accedió a «múltiples sitios» desde servidores de Tzulo, un
proveedor de alojamiento web, para facilitar el ataque.

Por lo tanto, el hecho de que los investigadores federales usaran el
identificador de Microsoft para atrapar a un presunto delincuente genera
preocupación por su posible uso indebido con otros fines de vigilancia.

El identificador del dispositivo se
menciona brevemente en esta página de soporte, pero Microsoft no se ha pronunciado públicamente al respecto. Según la
denuncia penal, un usuario de Windows puede restablecer el GDID por sí mismo,
aunque no es sencillo.
«Un GDID se mantiene constante tras las actualizaciones del sistema
operativo Windows en un dispositivo, pero una reinstalación de Windows, ya
sea en el mismo dispositivo o en otro, se vinculará a un nuevo GDID
único»
, indica el documento judicial. En una nota a pie de página, añade:
«Por lo tanto, un usuario de Microsoft podría tener varios GDID».

¿Se puede desactivar el GDID?

No hay una forma clara y oficial de
desactivar el GDID de Windows
desde los ajustes del sistema. De hecho, Microsoft no ofrece ningún tipo de
información al respecto en sus webs oficiales de soporte. Lo que sí existen son
aplicaciones de terceros que permiten reducir la telemetría, bloquear servicios
de diagnóstico, desactivar identificadores publicitarios, limitar experiencias
personalizadas o impedir conexiones automáticas a ciertos servidores de
Microsoft.

Entre las aplicaciones más populares tenemos, WinDebloatO&O
ShutUp10++
, WPDPrivatezilla, DoNotSpyMajorPrivay, WinTenPrivacy, y BlackBird que se han hecho un hueco entre muchos usuarios
de Windows 11. Estas permiten modificar opciones de privacidad, diagnóstico,
anuncios, permisos de aplicaciones, historial de actividad o sincronización
desde una misma pantalla.

Fuente:
PCMag


Ver fuente

Related Post