- Microsoft confirmó públicamente la existencia del Global Device Identifier (GDID), asignado a cada instalación de Windows vinculada a una cuenta, y la fiscalía federal de EE. UU. lo incluyó en una denuncia federal usada para rastrear a una persona presuntamente vinculada al grupo Scattered Spider
- Una cadena de servicios de Windows genera el GDID y lo envía a los servidores de Microsoft, manteniéndolo incluso después de actualizaciones. Si se bloquea su asignación, podrían verse afectadas la activación de Windows y las apps de Microsoft Store
- El FBI vinculó con el mismo GDID la actividad de Peter Stokes en cuatro países durante unos 8 meses, pese al uso de VPN y proxies, y la contrastó con redes sociales e información de viajes a partir de registros de acceso a ngrok y a un minorista afectado
- El GDID no tiene funciones de consentimiento, restablecimiento ni desactivación, ni documentación para usuarios comunes; aunque el valor cambie al reinstalar Windows, si se inicia sesión con la misma cuenta de Microsoft, la actividad anterior puede volver a vincularse
- Aunque usar una cuenta local y ajustar la configuración de privacidad puede reducir el rastreo relacionado, no es posible desactivar directamente el GDID, y Microsoft tampoco anunció planes para ofrecer control al usuario ni documentación adicional
Un ID persistente que identifica instalaciones de Windows
- El Global Device Identifier (GDID) es un identificador a nivel de dispositivo que se asigna a esa instalación de Windows cuando se aprovisiona para una cuenta de Microsoft
- Es un identificador persistente diseñado para distinguir de forma única sistemas Windows instalados en dispositivos físicos o máquinas virtuales en algunos servicios y escenarios de uso de Microsoft
- Se mantiene después de las actualizaciones de Windows, pero no se conserva si se borra el disco y se reinstala Windows desde cero
- Un mismo usuario puede tener varios GDID, y Microsoft puede vincularlos entre sí mediante la cuenta, OneDrive y el historial de activación
- Se ha aplicado en segundo plano a unos 1,600 millones de usuarios de Windows sin una divulgación específica ni controles para el usuario, y existe en todas las instalaciones de Windows conectadas a una cuenta de Microsoft
Desde su creación hasta el reporte a los servidores de Microsoft
- Varios servicios de Windows actúan en cadena para generar el GDID
- El servicio
wlidsvcsolicita un Device PUID alogin.live.com - Connected Devices Platform registra ese valor en Microsoft Device Directory Service
- Delivery Optimization reporta el GDID a Microsoft cuando la PC descarga o comparte actualizaciones
- El servicio
- El identificador se guarda en la clave
LIDdel registroHKCU\\SOFTWARE\\Microsoft\\IdentityCRL\\ExtendedProperties- Usa un formato que combina el prefijo en minúscula
gcon números decimales - El usuario no puede ver su propio GDID desde la interfaz normal de Windows
- Usa un formato que combina el prefijo en minúscula
- Si se bloquea la asignación del GDID, podrían dejar de funcionar la activación de Windows y las apps UWP
- Según Massgrave, creador de Microsoft Activation Scripts, durante el proceso de configuración de Windows se envía información de hardware a Microsoft y se devuelve un identificador que se usa para el acceso a la Store y las licencias
Cómo el FBI vinculó sesiones de VPN
- El FBI usó el GDID para rastrear a Peter Stokes, presunto integrante de Scattered Spider, a través de conexiones VPN y servidores proxy
- El rastreo duró unos 8 meses y abarcó actividades en 4 países
- Según la denuncia,
g:6755467234350028accedió a la página de registro de ngrok en el momento en que la cuenta usada en el ataque fue creada a través de un proxy de Tzulo VPN- Tres horas después, el mismo GDID accedió al sitio web del minorista afectado mediante el mismo proxy
- Las autoridades cruzaron ese dispositivo con direcciones IP vinculadas a las cuentas de Snapchat, Facebook, Apple y Ubisoft de Stokes
- Entre las ubicaciones relacionadas aparecen Estonia, Nueva York y Tailandia
- Fotos publicadas por Stokes en Snapchat coincidían con reservas de hotel, ubicaciones e itinerarios de viaje ligados al GDID
- Aunque las direcciones IP de la VPN cambiaban con frecuencia, la instalación de Windows seguía reportando el mismo identificador, lo que se convirtió en una pista de rastreo que atravesaba sesiones de VPN
Un identificador invisible y los límites del control del usuario
- Cuando se asigna un GDID no aparece ninguna pantalla de consentimiento, y tampoco existe una función para restablecerlo o desactivarlo
- El identificador publicitario de Apple ofrece aviso de App Tracking Transparency y función de restablecimiento
- Android también ofrece controles similares
- Al reinstalar Windows se genera un nuevo GDID, pero si se inicia sesión con la misma cuenta de Microsoft, Microsoft puede vincular el nuevo identificador con la actividad anterior
- La documentación pública de Microsoft se limita a una sola frase en una tabla de referencia de Azure Monitor para administradores de TI empresariales, donde describe el GDID como un “identificador usado internamente por Microsoft”
- El investigador de seguridad Matthew Hickey describió a Windows, a raíz de este caso, como “software de vigilancia (surveillance software)”
- En el pódcast Three Buddy Problem, Costin Raiu planteó la pregunta de cuántas funciones similares existen en otras plataformas
- Los principales sistemas operativos mantienen medios persistentes de identificación del dispositivo para licencias y verificaciones de seguridad, pero Windows, a diferencia de las plataformas de Apple y Google, no ofrece controles visibles para el usuario
Configuraciones para reducir el rastreo relacionado
- Como no se puede desactivar directamente el GDID sin afectar funciones centrales de Windows, las siguientes configuraciones son medidas para reducir el rastreo relacionado
- Si es posible, usar una cuenta local en lugar de una cuenta de Microsoft
- En versiones recientes de Windows 11 se ha vuelto más difícil configurar una cuenta local, pero quienes conocen el procedimiento todavía pueden elegirla durante la instalación
- En
Configuración → Privacidad y seguridad → Diagnóstico y comentarios, desactivar los datos de diagnóstico opcionales - En
Privacidad y seguridad → Recomendaciones y sugerencias, desactivar la publicidad personalizada y el seguimiento de ejecución de apps - En
Privacidad y seguridad → Búsqueda, desactivar Cloud Content Search para evitar que la búsqueda local se envíe a Bing - Revisar y desactivar Activity History y otras opciones de telemetría
- Si es posible, usar una cuenta local en lugar de una cuenta de Microsoft
- En situaciones como trabajo periodístico, activismo social o violencia doméstica, donde la persistencia del identificador puede representar una amenaza, se recomienda usar Linux a través de Tor en lugar de depender de una PC con Windows y una VPN comercial
- Incluso si se reinstala Windows para obtener un nuevo GDID, iniciar sesión con la misma cuenta de Microsoft le da a Microsoft datos para vincularlo con la actividad anterior
Alcance limitado de la divulgación y estado futuro
- Solicitudes legales como citaciones pueden obligar a Microsoft a entregar a las autoridades datos de actividad del GDID, y el caso de Scattered Spider se convirtió en un ejemplo real
- Microsoft no indicó que vaya a cambiar la forma en que el GDID se genera, almacena o reporta, ni prometió controles o documentación para usuarios comunes
- Aparte de la denuncia federal, el único material público disponible es una entrada breve en la documentación de Azure Monitor; por ahora, la parte de telemetría de Microsoft en la denuncia es el material público más detallado sobre cómo funciona el GDID
- El caso Scattered Spider sigue en trámite en un tribunal federal de EE. UU., y los usuarios pueden estar atentos a futuras actualizaciones de privacidad por parte de Microsoft
1 comentarios
Comentarios en Lobste.rs
Lo que no entiendo es cómo Windows GDID se vincula con la actividad en servicios externos a Microsoft. Me pregunto si el dispositivo envía el GDID a esos servicios, o si Microsoft almacena la actividad de navegación de todos los usuarios. Si es lo segundo, también queda la duda de si lo recopila solo desde Edge o si usa otros medios
.168, y alrededor de la misma hora se creó, desde esa misma IP VPN, la cuenta de ngrok usada para el hackeoEn ese momento varias personas podrían haber estado usando esa misma IP VPN, así que es difícil considerarlo una prueba concluyente. Es parecido a que estar cerca de un asesinato en el momento en que ocurrió no te convierte en el asesino, aunque sí puede hacerte sospechoso. Las circunstancias de que presumiera riqueza de origen poco claro y hablara de hackers condenados probablemente aumentaron las sospechas, pero el hecho de que en el allanamiento se encontraran los datos filtrados es mucho más convincente
No parece que aquí el GDID haya cumplido una función especial. Está relacionado solo porque Microsoft usó el GDID en su propio análisis al entregar información al FBI, y cualquier otra empresa que recopile registros de IP vinculados a información de cuentas podría haber hecho el mismo reporte
La solicitud judicial relacionada está aquí: https://www.justice.gov/usao-ndil/media/1450651/dl?inline
La confirmación de Microsoft no es importante; incluso sin esa declaración, la existencia de esa función ya estaba demostrada
Según dicen, el investigador de seguridad Matthew Hickey describió a Windows como “software de vigilancia” por este caso, pero eso es ridículo. La valoración de que Windows es spyware existe, como mínimo, desde el lanzamiento de Windows 10