1 puntos por GN⁺ 3 시간 전 | 1 comentarios | Compartir por WhatsApp
  • En el caso de Peter Stokes, de 19 años y acusado de vínculos con Scattered Spider, se reveló que el FBI vinculó una PC con Windows con actividad en línea usando registros del Global Device ID (GDID) de Microsoft
  • El GDID es un identificador persistente a nivel de dispositivo que identifica una instalación de Windows en distintos servicios y escenarios de Microsoft, y puede aplicarse tanto a dispositivos físicos como a máquinas virtuales
  • La denuncia penal incluye registros de que, el 12 de mayo de 2025 a las 19:21 UTC, el GDID asociado con la computadora de Stokes accedió a la página de registro de ngrok y a varios sitios en servidores de Tzulo
  • El GDID se mantiene tras actualizaciones de Windows, pero cambia a un valor nuevo al reinstalar; un usuario de Microsoft puede tener varios GDID
  • El caso aumentó la preocupación de que la actividad en línea de una PC con Windows pueda rastrearse incluso sin cookies de navegador de terceros, y algunos usuarios empezaron a buscar formas de verificar y eliminar el GDID

Uso del GDID revelado en el caso de arresto

  • Estados Unidos extraditó desde Europa a Peter Stokes, de 19 años, acusado de formar parte del grupo de hackers Scattered Spider
  • En la denuncia penal publicada, los registros de Microsoft se usaron como una pista clave para vincular a Stokes con presuntos delitos de hacking
  • Stokes está acusado de hackear en mayo de 2025 a un minorista de joyería de lujo no identificado, y los registros indican que en ese momento usó una VPN
  • El FBI confirmó mediante registros de Microsoft que su dirección IP estaba vinculada a un identificador de dispositivo de Microsoft llamado Global Device ID (GDID)

Qué identifica el GDID

  • En la explicación de Microsoft citada en la denuncia, el GDID se define como un identificador persistente a nivel de dispositivo dentro del ecosistema Windows
  • Este identificador está diseñado para distinguir de forma única una instalación del sistema operativo Windows
    • Puede corresponder a dispositivos físicos como laptops o teléfonos
    • También incluye máquinas virtuales
    • Se usa en ciertos servicios y escenarios de Microsoft
  • La práctica de asignar IDs únicos a cuentas o dispositivos es común, pero este caso reveló que el GDID puede vincularse incluso con registros de acceso a servicios de terceros y sus horarios

Registros vinculados con actividad en línea

  • Stokes está acusado de abusar de la herramienta de desarrollo web ngrok para evadir las defensas de red del minorista de joyería
  • Los registros de Microsoft indican que el 12 de mayo de 2025 a las 19:21 UTC, el GDID asociado con la computadora de Stokes accedió a https://dashboard[.]ngrok.com/signup
    • Esa URL corresponde a la página para configurar una cuenta de ngrok
    • El mismo GDID también quedó registrado accediendo a otras páginas de ngrok
  • El documento también señala que este GDID accedió a “varios sitios” en servidores del proveedor de hosting web Tzulo para ayudar a ejecutar el hackeo
  • El GDID de la PC de Stokes mostrado en la denuncia es 6755467234350028

Posibilidad de rastreo y reacción de los usuarios

  • El hecho de que investigadores federales identificaran a un presunto hacker mediante un identificador de Microsoft aumentó la preocupación por su abuso con fines de vigilancia
  • El experto en ciberseguridad Matthew Hickey afirmó en X: “Microsoft Windows is surveillance software”
  • El GDID se menciona brevemente en una página de soporte de Microsoft, pero la empresa no lo ha explicado públicamente más allá de eso
  • Algunos usuarios empezaron a explorar formas de limitar o eliminar el identificador GDID

Reinstalación y preguntas pendientes sobre otras plataformas

  • Según la denuncia, el GDID se mantiene tras actualizaciones del sistema operativo Windows en el mismo dispositivo
  • Al reinstalar Windows en el mismo dispositivo o en otro, se asocia un nuevo GDID único
  • Una nota al pie de la denuncia señala que un usuario de Microsoft puede tener varios GDID
  • El investigador de ciberseguridad Costin Raiu preguntó, a partir del uso de identificadores únicos, si otras empresas tecnológicas tienen capacidades de vigilancia similares
    • Si ocurre a la misma escala en dispositivos Apple
    • Si está vinculado al hardware a un nivel que no dependa de la reinstalación
    • Señaló que, si se busca anonimato total, podría ser necesario usar Linux, FreeBSD, etc. en entornos de desarrollo y pasar por proxies, Tor, VPN, entre otros

1 comentarios

 
GN⁺ 3 시간 전
Comentarios en Hacker News
  • La parte interesante no es el simple hecho de que exista un identificador de dispositivo. Casi todos los sistemas operativos modernos tienen algo parecido La pregunta más grande es dónde están los límites. Qué componentes pueden acceder a él, y en qué momento un identificador local se convierte en un identificador de rastreo remoto Tener un machine-id en disco y que el proveedor del sistema operativo lo relacione con actividad de red son cosas completamente distintas

    • Eso es precisamente lo que más falta en este artículo. No está claro exactamente cómo se vinculó el identificador de dispositivo de Microsoft con la sesión de ngrok. Normalmente las sesiones de ngrok se inician con un CLI de código cerrado Solo con el artículo no se puede distinguir si Microsoft inyectó el identificador de dispositivo en el tráfico de red de alguna manera sospechosa, o si fue el software cliente de ngrok, que es de código cerrado, el que tomó el identificador de dispositivo. Si fuera lo segundo, entonces podría hacerse igual en otros sistemas operativos, como con /etc/machine-id en Linux Como ngrok usa un modelo freemium, no sorprendería nada que el cliente enviara el ID del dispositivo para detectar a usuarios que intentan saltarse los límites del plan gratuito
    • Systemd viene incluido en varias distribuciones importantes de Linux y, por ejemplo, tiene machine-id. Cualquiera en ese dispositivo puede leer ese valor en /etc/machine-id https://www.freedesktop.org/software/systemd/man/latest/mach...
    • El NetworkID en about:networking#networkid de Firefox es otro ejemplo parecido. En su momento fue polémico, y todas las IA tienen información incorrecta sobre su origen y su propósito
    • Esta parte no está clara y es, por mucho, lo más interesante. La clave es en qué etapa y en qué momento el GDID se asoció con la herramienta o con la solicitud web Tal como está escrito ahora, suena como si la “telemetría” de Microsoft recolectara todo, luego buscara actividades específicas a gran escala y después sacara el GDID para vincularlo con el usuario
  • Esto parece significar que Microsoft realiza alguna forma de análisis de tráfico en el endpoint y lo conecta con el GDID. Probablemente sea parte de la protección en tiempo real de Defender o de MAPS Como dato curioso, el nombre anterior de Microsoft Defender MAPS era SpyNet https://en.wikipedia.org/wiki/Microsoft_Active_Protection_Se... Aun así, el identificador GDID parece ser de tipo software. Si quisieran ser más agresivos, podrían atarlo al número de serie de la placa madre, como hacen algunos juegos. Entonces el rastreo duraría todo el ciclo de vida del hardware, no solo una instancia de instalación de Windows

    • La idea detrás de SecureBoot y del chip TPM es precisamente dar un GDID basado en huella de hardware. Algunos juegos ya rastrean así a los usuarios con el pretexto de “anti-cheat”, y Microsoft lo hace desde la época de Windows 7 Lo que cambió es que ahora el TPM aporta esa autoridad de hardware
  • No me sorprendería que pronto salga una herramienta de Windows para cambiar el identificador de este sospechoso a “g:6755467234350028”. Por cierto, es un ID raro. Entiendo que tenga 16 dígitos, pero habría esperado que fuera hexadecimal También me intriga cómo funciona eso de que “según los registros de Microsoft, el GDID asociado con la computadora de Stokes accedió a 'https://dashboard[.]ngrok.com/signup' entre varias páginas de ngrok el 12 de mayo de 2025 a las 19:21 UTC” Si el navegador le está enviando esa información a Microsoft, ¿nadie se habría dado cuenta de que la PC se conecta a Microsoft por cada página web que abre? ¿O será que junta los datos y luego los envía después? Si es así, ¿esto solo afecta “de forma limitada” a los usuarios del navegador de Microsoft? ¿O Chrome también le manda datos a Google de la misma manera? La otra posibilidad es que ocurra en una capa más baja; se me ocurren lugares donde componentes del sistema podrían acceder al nombre de dominio, pero no tengo claro dónde podrían ver la URL completa

    • Todo es construcción paralela https://en.wikipedia.org/wiki/Parallel_construction
    • Probablemente fue Microsoft Defender SmartScreen de Edge. Se envía a Microsoft para verificar si el dominio visitado es un sitio conocido de malware o phishing Y, como nos enteramos aquí, esa información queda vinculada con el GDID y con la cuenta de Microsoft, y puede consultarse mediante solicitudes de las autoridades
    • Esa es la representación decimal de un entero de 64 bits
    • Esa URL muestra 16 solicitudes bloqueadas y, como mínimo, intenta cargar datadog y googletagmanager. Supongo que la policía contactó a todas las empresas de analítica a las que Ngrok enviaba datos, directa o indirectamente, y que esas empresas estaban guardando todo lo que conseguían Lo más sorprendente es que esa persona haya hecho todo esto desde una instalación de Windows. Pero solo nos enteramos de los criminales tontos que atrapan, así que al final tiene sentido
    • Aunque no sea Edge, el sistema operativo puede obtener el nombre de dominio en conexiones HTTPS, y también puede conocer el título de la página que se pone como título de la ventana En muchos casos, eso probablemente basta para identificar la URL. Por ejemplo, la URL de registro pone el título como “ngrok Sign Up”
  • Esto muestra con bastante fuerza que a Microsoft no le importa la privacidad, diga lo que diga en el título de la pantalla de consentimiento de cookies No le importa en absoluto, y esto hay que decirlo de todos los proveedores big tech. Aunque suene trillado, ya es hora de decirlo claramente. No les importan tu privacidad, tu independencia ni tu bienestar. De verdad no les importan

  • Este chico usó su computadora en su casa, y lo rastrearon por la dirección IP, y esa dirección IP también enviaba solicitudes de Windows Updates. Así fue como redujeron el Device ID, y ese ID de dispositivo llevó a este chico Este es exactamente el tipo de cosa sobre la que los defensores de la privacidad han venido advirtiendo. Este tipo de capacidad borra en la práctica cualquier afirmación de privacidad Más aún, empresas como Google han aprovechado esto para destruir por completo cualquier expectativa de privacidad

  • El texto es ambiguo. No hay pruebas de que Microsoft pueda ver qué páginas web visita un usuario en Chrome o Firefox

    • En la respuesta de arriba aparece esto
      1. Microsoft records also indicate: a little more than three hours after the ngrok account was created, the user visited “[Company F].com” from the .168 proxy server.
    • En Edge sería igual si tienes desactivadas las siguientes opciones

      Send optional diagnostic data to improve Microsoft products [Includes how you use the browser, websites you visit, and enhanced error reporting. Determined by your Windows diagnostic data setting] Allow Microsoft to save your browsing activity including history, usage, favourites, web content, and other browsing data to personalise and improve Microsoft Edge and Microsoft services like ads, search, shopping, news, and Copilot [Includes your history, usage, favourites, web content and other browsing data]

  • ¿Esto no viola la ley europea de protección de datos personales?

    • Probablemente sí. Pero si se trata de un caso en el que hackearon un sitio web para hacer que enviaran joyas caras a la dirección de su casa, quizá no importe mucho
    • ¿Y qué cambia si sí la viola? Seguirán portándose mal y como mucho les caerá una multa equivalente a 6 horas de ingresos
    • El GDPR solo trata con información de identificación personal, y esto es un ID generado aleatoriamente que cambia cada vez que se instala el sistema operativo Si se combina con otra información se puede rastrear al usuario, pero por sí solo no basta para desanonimizar a alguien
  • Puede sonar descabellado, pero estoy convencido de que este tipo de telemetría está conectado de alguna manera con el enorme impulso coordinado que ha tenido la publicidad de VPN en los últimos años Cada vez más, la “mano invisible del mercado” parece literalmente la mano de unos pocos grupos gigantes con poder y capital. Ellos moldean la estructura económica de todo el mercado, la controlan de facto y crean una inclinación que hace que las empresas optimicen sus pérdidas Una VPN puede ser spyware que directamente mejora la capacidad de rastreo, o puede ofrecerse para seguir lucrando con el miedo de los usuarios mientras continúan rastreándolos, ahora que ya se puede rastrear incluso sin IP Viéndolo de forma más amplia, parece que ya no queda mucho de libre mercado ni de democracia. Ahora todos los gobiernos también están empujando de forma coordinada para eliminar la privacidad

  • La industria tecnológica de EE. UU. se está volviendo rápidamente como Rusia y China

    • ¿Has oído hablar de un sitio web llamado facebook?
    • No entiendo por qué cuando un estadounidense hace algo siempre sienten la necesidad de mencionar a Rusia y China Aunque quizá yo sea malo para la propaganda. Si a esto lo llamaran un comportamiento “al estilo chino”, tal vez eso sí le entraría a cierto grupo que normalmente apoyaría este tipo de conductas con el argumento de protegerse del “Black Crime”
  • Este es un hilo relacionado en el que los desarrolladores de Massgrave.dev explican parte del mecanismo GDID https://x.com/massgravel/status/2074304593303892354

    • Este es un enlace alternativo para quienes no quieren crearse una cuenta de Twitter https://xcancel.com/massgravel/status/2074304593303892354 Parece que a las medidas anti-bots del sitio no les gusta mi computadora/ubicación en este momento, pero ojalá a los demás les funcione bien