
Detenido hacker por un identificador: GDID de Windows
Un joven de 19 años fue arrestado en Finlandia y extraditado a Estados Unidos tras una investigación en la que Microsoft aportó información al FBI sobre el Global Device Identifier, conocido como GDID de Windows. La identificación del dispositivo y la telemetría asociada permitieron a las autoridades asociar la actividad a un sospechoso vinculado al grupo Scattered Spider.
La persona detenida fue identificada como Peter Stokes, ciudadano con doble nacionalidad estadounidense y estonia, y se enfrenta a cargos federales en el Distrito Norte de Illinois por conspiración, intrusión informática y fraude. Según informan las autoridades, la investigación incluyó datos que relacionaron instalaciones de Windows con hardware físico, direcciones IP, uso de herramientas y ubicaciones.
El caso se encuadra en una serie de operaciones atribuidas al grupo Scattered Spider, al que el Departamento de Justicia vincula con intrusiones dirigidas a cuentas corporativas mediante engaños y extorsiones. El grupo también es conocido por otros nombres —Octo Tempest, UNC3944 y 0ktapus— y, según las referencias del expediente, habría estado implicado en más de 100 intrusiones y habría obtenido más de 100 millones de dólares en rescates.
En la causa concreta que motivó la detención de Stokes, no se consiguió rescate pese a que la demanda era de 8 millones de dólares, pero se detalló que una empresa de joyas de lujo sufrió al menos 2 millones de dólares en pérdidas por la interrupción del negocio, la investigación y la mitigación. La combinación de estos daños y las evidencias digitales fue central en la acusación presentada ante los tribunales.
El rastro digital y la telemetría
El elemento clave que destaca en la investigación es el identificador conocido como GDID. En palabras recogidas en la documentación: "El Global Device Identifier (GDID) es un identificador único asociado a las instalaciones de Windows y a la telemetría del hardware, que permite rastrear la actividad y ubicación de un dispositivo." Esta capacidad para correlacionar sistema operativo, hardware y actividad en red facilitó el trabajo de los investigadores.
Fuentes citadas en la causa explican que el GDID permite asociar un sistema operativo con el hardware físico, historiales de uso y direcciones IP, información que, combinada, ofreció pistas sobre la identidad y los movimientos del sospechoso. Microsoft compartió esa información con el FBI, lo que derivó en la detención en Finlandia y la posterior extradición a Estados Unidos para responder ante los cargos federales.
Sobre la posibilidad de evitar ese rastro, la documentación apunta a que "No hay una forma clara y oficial de desactivar el GDID de Windows" desde los ajustes del sistema, y que la empresa no ofrece información pública al respecto en sus páginas de soporte. En respuesta, algunos usuarios y expertos han recurrido a herramientas de terceros para reducir la telemetría y bloquear servicios de diagnóstico.
Entre las aplicaciones mencionadas que permiten limitar el envío de datos figuran O&O ShutUp10++, WPD y Privatezilla, que agrupan opciones para modificar parámetros de diagnóstico, anuncios, permisos de aplicaciones y sincronización. Estas herramientas no se presentan como soluciones oficiales para eliminar identificadores, sino como opciones que muchos usuarios emplean para restringir la recopilación de datos.
El episodio ha reabierto el debate sobre telemetría y privacidad en sistemas operativos modernos, al tiempo que pone de relieve cómo elementos técnicos diseñados para diagnóstico y mejora del software pueden tener un papel decisivo en investigaciones criminales. La combinación de identificadores, registros de actividad y colaboración entre empresas tecnológicas y fuerzas de seguridad ha sido determinante en este caso.
En lo judicial, el detenido afronta las acusaciones formales por su presunta participación en operaciones atribuidas a Scattered Spider y será procesado en la jurisdicción indicada por el Departamento de Justicia. Los hechos descritos en la investigación incluyen la vinculación de la actividad informática con pérdidas económicas para víctimas empresariales y la utilización del GDID como prueba de correlación entre dispositivos y acciones.
No hay información adicional en la documentación abierta sobre medidas concretas para desactivar el GDID desde el propio sistema, ni sobre cambios inmediatos en políticas de telemetría; tampoco se amplían detalles sobre acciones futuras de las partes involucradas. El procedimiento penal continúa conforme a las diligencias y cargos que rodean a la acusación presentada.
