- En el caso de Peter Stokes, de 19 años y acusado de vínculos con Scattered Spider, se reveló que el FBI vinculó una PC con Windows con actividad en línea usando registros del Global Device ID (GDID) de Microsoft
- El GDID es un identificador persistente a nivel de dispositivo que identifica una instalación de Windows en distintos servicios y escenarios de Microsoft, y puede aplicarse tanto a dispositivos físicos como a máquinas virtuales
- La denuncia penal incluye registros de que, el 12 de mayo de 2025 a las 19:21 UTC, el GDID asociado con la computadora de Stokes accedió a la página de registro de ngrok y a varios sitios en servidores de Tzulo
- El GDID se mantiene tras actualizaciones de Windows, pero cambia a un valor nuevo al reinstalar; un usuario de Microsoft puede tener varios GDID
- El caso aumentó la preocupación de que la actividad en línea de una PC con Windows pueda rastrearse incluso sin cookies de navegador de terceros, y algunos usuarios empezaron a buscar formas de verificar y eliminar el GDID
Uso del GDID revelado en el caso de arresto
- Estados Unidos extraditó desde Europa a Peter Stokes, de 19 años, acusado de formar parte del grupo de hackers Scattered Spider
- En la denuncia penal publicada, los registros de Microsoft se usaron como una pista clave para vincular a Stokes con presuntos delitos de hacking
- Stokes está acusado de hackear en mayo de 2025 a un minorista de joyería de lujo no identificado, y los registros indican que en ese momento usó una VPN
- El FBI confirmó mediante registros de Microsoft que su dirección IP estaba vinculada a un identificador de dispositivo de Microsoft llamado Global Device ID (GDID)
Qué identifica el GDID
- En la explicación de Microsoft citada en la denuncia, el GDID se define como un identificador persistente a nivel de dispositivo dentro del ecosistema Windows
- Este identificador está diseñado para distinguir de forma única una instalación del sistema operativo Windows
- Puede corresponder a dispositivos físicos como laptops o teléfonos
- También incluye máquinas virtuales
- Se usa en ciertos servicios y escenarios de Microsoft
- La práctica de asignar IDs únicos a cuentas o dispositivos es común, pero este caso reveló que el GDID puede vincularse incluso con registros de acceso a servicios de terceros y sus horarios
Registros vinculados con actividad en línea
- Stokes está acusado de abusar de la herramienta de desarrollo web ngrok para evadir las defensas de red del minorista de joyería
- Los registros de Microsoft indican que el 12 de mayo de 2025 a las 19:21 UTC, el GDID asociado con la computadora de Stokes accedió a
https://dashboard[.]ngrok.com/signup- Esa URL corresponde a la página para configurar una cuenta de ngrok
- El mismo GDID también quedó registrado accediendo a otras páginas de ngrok
- El documento también señala que este GDID accedió a “varios sitios” en servidores del proveedor de hosting web Tzulo para ayudar a ejecutar el hackeo
- El GDID de la PC de Stokes mostrado en la denuncia es 6755467234350028
Posibilidad de rastreo y reacción de los usuarios
- El hecho de que investigadores federales identificaran a un presunto hacker mediante un identificador de Microsoft aumentó la preocupación por su abuso con fines de vigilancia
- El experto en ciberseguridad Matthew Hickey afirmó en X: “Microsoft Windows is surveillance software”
- El GDID se menciona brevemente en una página de soporte de Microsoft, pero la empresa no lo ha explicado públicamente más allá de eso
- Algunos usuarios empezaron a explorar formas de limitar o eliminar el identificador GDID
Reinstalación y preguntas pendientes sobre otras plataformas
- Según la denuncia, el GDID se mantiene tras actualizaciones del sistema operativo Windows en el mismo dispositivo
- Al reinstalar Windows en el mismo dispositivo o en otro, se asocia un nuevo GDID único
- Una nota al pie de la denuncia señala que un usuario de Microsoft puede tener varios GDID
- El investigador de ciberseguridad Costin Raiu preguntó, a partir del uso de identificadores únicos, si otras empresas tecnológicas tienen capacidades de vigilancia similares
- Si ocurre a la misma escala en dispositivos Apple
- Si está vinculado al hardware a un nivel que no dependa de la reinstalación
- Señaló que, si se busca anonimato total, podría ser necesario usar Linux, FreeBSD, etc. en entornos de desarrollo y pasar por proxies, Tor, VPN, entre otros
1 comentarios
Comentarios en Hacker News
La parte interesante no es el simple hecho de que exista un identificador de dispositivo. Casi todos los sistemas operativos modernos tienen algo parecido La pregunta más grande es dónde están los límites. Qué componentes pueden acceder a él, y en qué momento un identificador local se convierte en un identificador de rastreo remoto Tener un machine-id en disco y que el proveedor del sistema operativo lo relacione con actividad de red son cosas completamente distintas
/etc/machine-iden Linux Como ngrok usa un modelo freemium, no sorprendería nada que el cliente enviara el ID del dispositivo para detectar a usuarios que intentan saltarse los límites del plan gratuito/etc/machine-idhttps://www.freedesktop.org/software/systemd/man/latest/mach...about:networking#networkidde Firefox es otro ejemplo parecido. En su momento fue polémico, y todas las IA tienen información incorrecta sobre su origen y su propósitoEsto parece significar que Microsoft realiza alguna forma de análisis de tráfico en el endpoint y lo conecta con el GDID. Probablemente sea parte de la protección en tiempo real de Defender o de MAPS Como dato curioso, el nombre anterior de Microsoft Defender MAPS era SpyNet https://en.wikipedia.org/wiki/Microsoft_Active_Protection_Se... Aun así, el identificador GDID parece ser de tipo software. Si quisieran ser más agresivos, podrían atarlo al número de serie de la placa madre, como hacen algunos juegos. Entonces el rastreo duraría todo el ciclo de vida del hardware, no solo una instancia de instalación de Windows
No me sorprendería que pronto salga una herramienta de Windows para cambiar el identificador de este sospechoso a “g:6755467234350028”. Por cierto, es un ID raro. Entiendo que tenga 16 dígitos, pero habría esperado que fuera hexadecimal También me intriga cómo funciona eso de que “según los registros de Microsoft, el GDID asociado con la computadora de Stokes accedió a 'https://dashboard[.]ngrok.com/signup' entre varias páginas de ngrok el 12 de mayo de 2025 a las 19:21 UTC” Si el navegador le está enviando esa información a Microsoft, ¿nadie se habría dado cuenta de que la PC se conecta a Microsoft por cada página web que abre? ¿O será que junta los datos y luego los envía después? Si es así, ¿esto solo afecta “de forma limitada” a los usuarios del navegador de Microsoft? ¿O Chrome también le manda datos a Google de la misma manera? La otra posibilidad es que ocurra en una capa más baja; se me ocurren lugares donde componentes del sistema podrían acceder al nombre de dominio, pero no tengo claro dónde podrían ver la URL completa
Esto muestra con bastante fuerza que a Microsoft no le importa la privacidad, diga lo que diga en el título de la pantalla de consentimiento de cookies No le importa en absoluto, y esto hay que decirlo de todos los proveedores big tech. Aunque suene trillado, ya es hora de decirlo claramente. No les importan tu privacidad, tu independencia ni tu bienestar. De verdad no les importan
Este chico usó su computadora en su casa, y lo rastrearon por la dirección IP, y esa dirección IP también enviaba solicitudes de Windows Updates. Así fue como redujeron el Device ID, y ese ID de dispositivo llevó a este chico Este es exactamente el tipo de cosa sobre la que los defensores de la privacidad han venido advirtiendo. Este tipo de capacidad borra en la práctica cualquier afirmación de privacidad Más aún, empresas como Google han aprovechado esto para destruir por completo cualquier expectativa de privacidad
El texto es ambiguo. No hay pruebas de que Microsoft pueda ver qué páginas web visita un usuario en Chrome o Firefox
¿Esto no viola la ley europea de protección de datos personales?
Puede sonar descabellado, pero estoy convencido de que este tipo de telemetría está conectado de alguna manera con el enorme impulso coordinado que ha tenido la publicidad de VPN en los últimos años Cada vez más, la “mano invisible del mercado” parece literalmente la mano de unos pocos grupos gigantes con poder y capital. Ellos moldean la estructura económica de todo el mercado, la controlan de facto y crean una inclinación que hace que las empresas optimicen sus pérdidas Una VPN puede ser spyware que directamente mejora la capacidad de rastreo, o puede ofrecerse para seguir lucrando con el miedo de los usuarios mientras continúan rastreándolos, ahora que ya se puede rastrear incluso sin IP Viéndolo de forma más amplia, parece que ya no queda mucho de libre mercado ni de democracia. Ahora todos los gobiernos también están empujando de forma coordinada para eliminar la privacidad
La industria tecnológica de EE. UU. se está volviendo rápidamente como Rusia y China
Este es un hilo relacionado en el que los desarrolladores de Massgrave.dev explican parte del mecanismo GDID https://x.com/massgravel/status/2074304593303892354