Arresto de delincuente abre discusión sobre posibilidades de rastreo de dispositivos Windows
El FBI utilizó un identificador de dispositivo de Microsoft, denominado GDID, para vincular a un adolescente con un ataque informático atribuido a Scattered Spider, lo que generó preocupación sobre la privacidad y las capacidades de vigilancia de Windows.
El grupo habría estado implicado en más de 100 intrusiones, obteniendo más de 100 millones de dólares en rescates. En el caso que se le atribuye el hacker detenido no se consiguió rescate alguno, pese a que la demanda era de 8 millones de dólares. Eso sí, se ha confirmado que la empresa de joyas de lujo sufrió al menos 2 millones de dólares en pérdidas por interrupción del negocio, investigación y mitigación.
Según una denuncia federal sustitutiva presentada en el Distrito Norte de Illinois, se utilizó un identificador persistente de dispositivo de Microsoft para desenmascarar a un presunto operador de Scattered Spider. Peter Stokes, de 19 años, con doble nacionalidad estadounidense y estonia, quien supuestamente usaba los alias "Bouquet", "Spencer" y "Jordan", fue arrestado en Finlandia el 10 de abril de 2026, cuando intentaba abordar un vuelo a Japón.
Los fiscales alegan que es miembro de Scattered Spider, también conocido como Octo Tempest, UNC3944 y 0ktapus, un grupo vinculado a más de 100 intrusiones y pagos de rescate por más de 100 millones de dólares.
La detención de un joven ha revelado que Microsoft puede rastrear un PC con Windows y su actividad en línea mediante un "Identificador Global de Dispositivo" que, al parecer, no permite desactivarlo fácilmente, lo que ha generado temores sobre una posible vigilancia.
La semana pasada, Estados Unidos anunció la extradición de Peter Stokes, de 19 años, desde Europa, por presuntamente pertenecer al conocido grupo de hackers Scattered Spider. Sin embargo, el caso destaca porque Microsoft desempeñó un papel clave al vincular a Stokes con los presuntos delitos informáticos, según una denuncia penal que se hizo pública.
Al parecer, Stokes hackeó una joyería de lujo (cuyo nombre no se ha revelado) en mayo de 2025 utilizando una VPN. Finalmente, se extrajeron datos utilizando Teleport.sh y Amazon S3, por un total de al menos 77 GB, seguido de una amenaza de despliegue de ransomware y una demanda de extorsión de 8 millones de dólares que quedó impaga.
La denuncia penal de 39 páginas revela que el FBI utilizó los registros de Microsoft para descubrir que su dirección IP estaba asociada a un identificador de dispositivo de Microsoft conocido como ID Global de Dispositivo (GDID).
"Según un representante de Microsoft, un ID Global de Dispositivo en el ecosistema de Windows es un identificador persistente a nivel de dispositivo, diseñado para identificar de forma única una instalación del sistema operativo Windows en un dispositivo, ya sea físico (por ejemplo, un teléfono móvil o un portátil) o virtual, en determinados servicios y escenarios de Microsoft", explica la denuncia.
El ID Global de Dispositivo no resulta sorprendente, dado que es práctica habitual asignar un ID único a cada cuenta o dispositivo para que un proveedor de tecnología pueda reconocerlos y distinguirlos. Sin embargo, la denuncia revela que Microsoft puede asociar el GDID con servicios de terceros y también con la hora de uso, lo que le permite, en teoría, rastrear la actividad en línea de un usuario. En otras palabras, Microsoft podría rastrear la actividad en línea de su PC con Windows sin necesidad de cookies de navegador de terceros.
Se descubrió que Stokes estaba utilizando la herramienta ngrok para eludir las defensas de la red de la joyería. La denuncia indica que Microsoft tenía registros que mostraban que el 12 de mayo de 2025, a las 19:21 UTC, el GDID asociado al ordenador de Stokes "accedió, entre otras páginas de ngrok, a https://dashboard[.]ngrok.com/signup, la página de ngrok para crear una cuenta".
El documento añade que los registros de Microsoft también mostraban que el GDID accedió a "múltiples sitios" desde servidores de Tzulo, un proveedor de alojamiento web, para facilitar el ataque.
Por lo tanto, el hecho de que los investigadores federales usaran el identificador de Microsoft para atrapar a un presunto delincuente genera preocupación por su posible uso indebido con otros fines de vigilancia.
El identificador del dispositivo se menciona brevemente en esta página de soporte, pero Microsoft no se ha pronunciado públicamente al respecto. Según la denuncia penal, un usuario de Windows puede restablecer el GDID por sí mismo, aunque no es sencillo. "Un GDID se mantiene constante tras las actualizaciones del sistema operativo Windows en un dispositivo, pero una reinstalación de Windows, ya sea en el mismo dispositivo o en otro, se vinculará a un nuevo GDID único", indica el documento judicial. En una nota a pie de página, añade: "Por lo tanto, un usuario de Microsoft podría tener varios GDID".
¿Se puede desactivar el GDID?
No hay una forma clara y oficial de desactivar el GDID de Windows desde los ajustes del sistema. De hecho, Microsoft no ofrece ningún tipo de información al respecto en sus webs oficiales de soporte. Lo que sí existen son aplicaciones de terceros que permiten reducir la telemetría, bloquear servicios de diagnóstico, desactivar identificadores publicitarios, limitar experiencias personalizadas o impedir conexiones automáticas a ciertos servidores de Microsoft.
Entre las aplicaciones más populares tenemos, WinDebloat, O&O ShutUp10++, WPD, Privatezilla, DoNotSpy, MajorPrivay, WinTenPrivacy, y BlackBird que se han hecho un hueco entre muchos usuarios de Windows 11. Estas permiten modificar opciones de privacidad, diagnóstico, anuncios, permisos de aplicaciones, historial de actividad o sincronización desde una misma pantalla.
Fuente: PCMag


0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!