miércoles, 15 de julio de 2026
Policial

Captura de sospechoso reaviva debate sobre capacidades de geolocalización en sistemas operativos Windows

El FBI utilizó un identificador de dispositivo de Microsoft conocido como GDID para vincular a un adolescente con un ataque informático atribuido al grupo Scattered Spider, lo que ha generado preocupaciones sobre la privacidad y las capacidades de vigilancia en Windows.

El grupo habría participado en más de 100 intrusiones y obtenido más de 100 millones de dólares en rescates. En el caso del hacker detenido, no se logró obtener rescate alguno pese a una demanda de 8 millones de dólares. Sin embargo, se confirmó que la empresa de joyas de lujo afectada sufrió al menos 2 millones de dólares en pérdidas por interrupción del negocio, investigación y mitigación.

Según una denuncia federal sustitutiva presentada en el Distrito Norte de Illinois, se utilizó el identificador persistente de dispositivo de Microsoft para identificar a un presunto operador de Scattered Spider. Peter Stokes, de 19 años con doble nacionalidad estadounidense y estonia, quien usaba los alias «Bouquet», «Spencer» y «Jordan», fue arrestado en Finlandia el 10 de abril de 2026 cuando intentaba abordar un vuelo a Japón.

Los fiscales alegan que es miembro de Scattered Spider, también conocido como Octo Tempest, UNC3944 y 0ktapus, un grupo vinculado a más de 100 intrusiones y pagos de rescate superiores a 100 millones de dólares.

La detención del joven ha revelado que Microsoft puede rastrear un PC con Windows y su actividad en línea mediante un «Identificador Global de Dispositivo» que aparentemente no permite desactivarlo fácilmente, lo que ha generado temores sobre posible vigilancia.

Estados Unidos anunció recientemente la extradición de Peter Stokes, de 19 años, desde Europa, por presuntamente pertenecer al grupo de hackers Scattered Spider. Sin embargo, el caso destaca porque Microsoft desempeñó un papel clave al vincular a Stokes con los presuntos delitos informáticos, según documentos penales que se hicieron públicos.

Al parecer, Stokes hackeó una joyería de lujo en mayo de 2025 utilizando una VPN. Se extrajeron datos mediante Teleport.sh y Amazon S3, por un total de al menos 77 GB, seguido de una amenaza de ransomware y una demanda de extorsión de 8 millones de dólares que quedó sin pagar.

La denuncia penal de 39 páginas revela que el FBI utilizó registros de Microsoft para descubrir que la dirección IP de Stokes estaba asociada a un identificador de dispositivo de Microsoft conocido como ID Global de Dispositivo, o GDID.

Según un representante de Microsoft, un ID Global de Dispositivo en el ecosistema de Windows es un identificador persistente a nivel de dispositivo, diseñado para identificar de forma única una instalación del sistema operativo Windows en un dispositivo, ya sea físico o virtual, en determinados servicios y escenarios de Microsoft.

El ID Global de Dispositivo no resulta sorprendente, dado que es práctica común asignar un identificador único a cada cuenta o dispositivo para que un proveedor de tecnología pueda reconocerlos y distinguirlos. Sin embargo, la denuncia revela que Microsoft puede asociar el GDID con servicios de terceros y también con la hora de uso, permitiendo rastrear la actividad en línea de un usuario. En otras palabras, Microsoft podría rastrear la actividad en línea de un PC con Windows sin necesidad de cookies de navegador de terceros.

Se descubrió que Stokes utilizaba la herramienta ngrok para eludir las defensas de la red de la joyería. La denuncia indica que Microsoft contaba con registros que mostraban que el 12 de mayo de 2025, a las 19:21 UTC, el GDID asociado al ordenador de Stokes «accedió, entre otras páginas de ngrok, a https://dashboard.ngrok.com/signup, la página de ngrok para crear una cuenta».

El documento añade que los registros de Microsoft también mostraban que el GDID accedió a «múltiples sitios» desde servidores de Tzulo, un proveedor de alojamiento web, para facilitar el ataque.

El hecho de que los investigadores federales usaran el identificador de Microsoft para capturar a un presunto delincuente genera preocupación por su posible uso indebido con otros fines de vigilancia.

El identificador del dispositivo se menciona brevemente en documentación de soporte de Microsoft, pero la compañía no se ha pronunciado públicamente al respecto. Según la denuncia penal, un usuario de Windows puede restablecer el GDID, aunque no es sencillo. Un GDID se mantiene constante tras las actualizaciones del sistema operativo Windows en un dispositivo, pero una reinstalación de Windows, ya sea en el mismo dispositivo o en otro, se vinculará a un nuevo GDID único. Por lo tanto, un usuario de Microsoft podría tener varios GDID.

No existe una forma clara y oficial de desactivar el GDID de Windows desde los ajustes del sistema. De hecho, Microsoft no ofrece información al respecto en sus sitios web de soporte oficiales. Lo que sí existen son aplicaciones de terceros que permiten reducir la telemetría, bloquear servicios de diagnóstico, desactivar identificadores publicitarios, limitar experiencias personalizadas o impedir conexiones automáticas a servidores de Microsoft.

Entre las aplicaciones más populares se encuentran WinDebloat, O&O ShutUp10++, WPD, Privatezilla, DoNotSpy, MajorPrivacy, WinTenPrivacy y BlackBird, que han ganado aceptación entre muchos usuarios de Windows 11. Estas permiten modificar opciones de privacidad, diagnóstico, anuncios, permisos de aplicaciones, historial de actividad o sincronización desde una misma pantalla.

Con Información de blog.segu-info.com.ar

Editor

Redacción.

Deja tu comentario