El rastreador GDID de Windows expone tu identidad incluso usando VPN

Contenido del artículo
El ecosistema de la ciberseguridad y la privacidad digital ha sufrido uno de los impactos más severos de los últimos años. Lo que comenzó como un caso judicial de alto perfil contra un joven prodigio del cibercrimen ha terminado por exponer una de las estructuras de vigilancia interna más profundas y silenciosas de Microsoft. El arresto y la reciente extradición de Peter Stokes, un joven de 19 años con doble nacionalidad estadounidense y estonia conocido en el submundo digital como “Bouquet”, ha sacado a la luz la existencia del rastreador GDID (Global Device Identifier), un identificador de telemetría persistente que reside en el corazón de Windows y que, según las pruebas presentadas por el FBI, es capaz de pulverizar por completo el anonimato que prometen las redes privadas virtuales (VPN).
Stokes, presunto miembro clave de la infame organización de ransomware “Scattered Spider” (también conocida como Octo Tempest o UNC3944), confiaba plenamente en su infraestructura de seguridad operativa (OPSEC). Para infiltrarse en los sistemas de un minorista de joyería de lujo en mayo de 2025, el joven utilizó proxies, túneles seguros mediante ngrok y servicios de VPN comerciales con el fin de enmascarar su dirección IP real. Sin embargo, el Departamento de Justicia de los Estados Unidos y el FBI no necesitaron romper el cifrado de la VPN ni descifrar complejos protocolos de red. En su lugar, simplemente enviaron una orden judicial a Microsoft.
La respuesta de Microsoft contenía un registro detallado de telemetría vinculado al rastreador GDID de la máquina personal de Stokes. Al cruzar los tiempos de conexión del identificador único de su sistema operativo con los accesos simultáneos a sus cuentas personales de Snapchat, Facebook y el videojuego Growtopia, las autoridades federales lograron ubicar geográficamente y asociar sin margen de error la máquina del atacante con su identidad física. La revelación no solo ha sellado el destino judicial de “Bouquet”, sino que ha desatado una tormenta de desconfianza sobre la privacidad en los sistemas operativos modernos.
La caída de “Bouquet” y el fin de la ilusión del anonimato por VPN
De acuerdo con la denuncia penal de 39 páginas desclasificada en el Distrito Norte de Illinois, Peter Stokes fue arrestado en abril de 2026 en un aeropuerto de Finlandia cuando intentaba abordar un vuelo con destino a Japón, y finalmente extraditado a territorio estadounidense en julio del mismo año. Las investigaciones lideradas por figuras clave como Allison Nixon, jefa de investigación de la firma Unit221B, ya le seguían el rastro a Stokes y a la comunidad de ciberdelincuentes conocida como “The Com” desde hacía varios años. No obstante, el elemento definitivo para la imputación formal de Stokes por la intrusión al minorista de joyería (que se cree que es Tiffany & Co.) fue la correlación de datos de telemetría provistos por Microsoft.
Durante el ataque perpetrado entre el 12 y el 15 de mayo de 2025, los atacantes robaron más de 77 gigabytes de información confidencial y exigieron un rescate de 8 millones de dólares en criptomonedas. Para ocultar su rastro, Stokes accedió a las herramientas de intrusión utilizando una VPN cuya dirección IP terminaba en .168. Pensando que el túnel cifrado lo hacía invisible, cometió el error táctico de utilizar esa misma máquina Windows para sus actividades cotidianas.
Microsoft entregó al FBI el historial de conexiones de un identificador de dispositivo global específico bajo el formato alfanumérico encabezado por una “g” minúscula seguida de una cadena decimal: g:6755467234350028. Este identificador único de Windows reportaba conexiones constantes desde la misma IP finalizada en .168 hacia servidores de Microsoft a las mismas horas exactas en que el atacante operaba en el panel de control de ngrok y accedía a sus redes sociales. El FBI pudo demostrar que este rastreador GDID correspondía al ordenador personal de Stokes, rastreando sus viajes físicos desde Tallin (Estonia) hasta Nueva York y Tailandia, gracias a las IPs capturadas por la telemetría del sistema operativo.
Anatomía técnica: ¿Cómo opera el rastreador GDID en Windows?
Para la comunidad de investigadores de seguridad y analistas de malware que han desarmado el funcionamiento de la telemetría de Windows, el funcionamiento del rastreador GDID revela un diseño de persistencia extremo. Este identificador no es una simple cookie de navegador web ni un valor volátil que se elimine al borrar el historial; se trata de una firma a nivel de sistema operativo que se genera y transmite de la siguiente manera:
- Aprovisionamiento e Inicio de Sesión: En el momento en que un usuario configura una instalación de Windows (ya sea Windows 10 o Windows 11) utilizando una Cuenta de Microsoft (MSA), el proceso del sistema
wlidsvc(Windows Live ID Service) realiza una solicitud de autenticación al servidorlogin.live.com. Durante este intercambio, el servidor asigna un identificador único conocido como Device PUID (Unique Identifier), el cual se registra inmediatamente en el Servicio de Directorio de Dispositivos de Microsoft (Device Directory Service). - Almacenamiento en el Registro de Windows: Una vez generado, el GDID se escribe de forma persistente dentro del registro del sistema, específicamente bajo la ruta:
HKCU\SOFTWARE\Microsoft\IdentityCRL\ExtendedProperties. Este valor queda sellado y asociado directamente a la identidad del hardware y a la instalación activa del sistema operativo. - Canales de Transmisión Activos: El sistema operativo reporta continuamente este identificador de vuelta a los servidores de Microsoft a través de múltiples servicios integrados. Los dos vectores principales son el servicio de optimización de entrega (Delivery Optimization, utilizado para gestionar la distribución de actualizaciones del sistema en redes locales e internet) y el servicio de telemetría de diagnóstico unificado (conocido técnicamente como
DiagTracko Unified Telemetry Client).
Lo que agrava sustancialmente la situación es que el nivel de detalle recopilado por Microsoft depende de la configuración de diagnóstico del sistema. En el caso de Peter Stokes, se presume que su sistema tenía activada la telemetría en modo “Opcional” o “Completo”. Bajo este esquema, funciones como SmartScreen, Windows Defender o el propio navegador Microsoft Edge registran y envían de manera activa las direcciones URL completas que el usuario visita en tiempo real, todo ello etiquetado con el respectivo rastreador GDID del dispositivo. Esto explica por qué Microsoft pudo certificar ante el FBI que el ordenador del sospechoso había visitado la página de registro de ngrok exactamente el 12 de mayo de 2025 a las 7:21 p.m. UTC.
La polémica de la privacidad: un callejón sin salida y sin interruptor
Tras la divulgación de los documentos judiciales, Microsoft ha tenido que reconocer de manera implícita lo que muchos administradores de sistemas sospechaban: no existe un interruptor oficial, botón o configuración en la interfaz de Windows para desactivar por completo el rastreador GDID. Este componente está estrechamente acoplado con las funciones fundamentales del ecosistema de software de la compañía.
Intentar deshabilitar de forma manual o forzada los servicios de registro e identidad como wlidsvc o bloquear los endpoints de telemetría mediante el archivo hosts provoca un colapso en cadena de funciones esenciales del sistema operativo. Al interrumpir estas comunicaciones, el usuario pierde el acceso a la activación de la licencia de Windows, la sincronización de cuentas, las actualizaciones de seguridad críticas de Windows Update y la ejecución de aplicaciones de la Microsoft Store o servicios de Xbox. Microsoft ha diseñado el sistema de tal manera que la identidad del dispositivo en la nube es un requisito ineludible para el funcionamiento de un ordenador moderno con su plataforma.
Lecciones de OPSEC y contramedidas para una navegación 100% anónima
Para aquellos usuarios corporativos, periodistas de investigación, activistas y profesionales de la seguridad informática que requieren un blindaje absoluto de su huella digital, el caso de Peter Stokes deja lecciones sumamente crudas pero necesarias sobre el verdadero alcance de la seguridad en el endpoint:
- El mito de la VPN única: Una VPN o un proxy únicamente cifra el tráfico de datos en tránsito y enmascara la dirección IP frente a los servidores de destino del usuario. Sin embargo, no tiene ninguna autoridad ni capacidad para impedir que el sistema operativo local registre la actividad y la envíe directamente al fabricante (Microsoft) a través de canales de telemetría internos cifrados que no pasan por las reglas del túnel de la VPN.
- La reinstalación “tierra quemada”: El rastreador GDID es altamente resiliente. No se elimina con actualizaciones acumulativas, parches de seguridad o restauración de puntos del sistema. La única manera conocida de obligar a Windows a generar un nuevo identificador es realizar una instalación limpia del sistema operativo desde cero, formateando la unidad de almacenamiento. Sin embargo, si tras la reinstalación el usuario vuelve a iniciar sesión con la misma Cuenta de Microsoft o reproduce exactamente los mismos patrones de navegación y uso de cuentas, los algoritmos de correlación de Microsoft volverán a asociar el nuevo GDID con el perfil de usuario antiguo en cuestión de minutos.
- Configuración estricta de telemetría: Es fundamental auditar las directivas de grupo (GPEDIT) o el registro para rebajar la telemetría de Windows de “Opcional/Completa” a “Requerida/Básica”. Esto limita significativamente la cantidad de metadatos recopilados (como las URLs completas analizadas por SmartScreen) y reduce la información que el sistema operativo transmite de manera proactiva a los servidores de Redmond.
- La migración indispensable hacia el código abierto: El caso del rastreador GDID demuestra de forma contundente que el verdadero anonimato y la privacidad son incompatibles con sistemas operativos comerciales y de código cerrado (como Windows o macOS). Los profesionales que necesitan operar en entornos hostiles o que exigen la máxima confidencialidad deben migrar a distribuciones Linux orientadas expresamente a la privacidad, tales como Tails (que ejecuta todo su tráfico a través de la red Tor de forma nativa), Qubes OS (que aísla aplicaciones y hardware mediante virtualización por compartimentos extremadamente seguros) o Arch Linux debidamente securizado. Estas plataformas carecen por completo de arquitecturas de telemetría integradas y permiten la ejecución de sesiones efímeras que no dejan un rastro persistente a nivel de hardware.
El rastreo basado en dispositivos ha cambiado las reglas del juego de la atribución cibernética. La noción de que basta con una VPN comercial para permanecer invisible en internet ha quedado sepultada definitivamente en los archivos de la corte federal de Chicago, recordándonos que el eslabón más débil de la seguridad suele ser el propio sistema operativo que elegimos para trabajar día con día.
Escrito por
TempMail Ninja
Experto en privacidad digital y seguridad en línea. Apasionado por crear herramientas que protejan la identidad de los usuarios en internet.


