Telemetría de Windows: Cómo el GDID expuso a Scattered Spider

Contenido del artículo
El arresto de Peter Stokes, un joven de 19 años con doble nacionalidad estadounidense y estonia, en el aeropuerto de Helsinki, Finlandia, parecía ser un capítulo más en la ofensiva global contra el cibercrimen. Sin embargo, los documentos judiciales presentados tras su extradición a los Estados Unidos han revelado una realidad mucho más profunda y alarmante. El verdadero protagonista de esta historia no es el arresto en sí, sino el mecanismo técnico que lo hizo posible: la silenciosa y profunda telemetría de Windows, un sistema de recolección de datos que terminó por destrozar por completo la seguridad operativa (OPSEC) de uno de los hackers más buscados del planeta.
El auge y la caída de un fantasma digital: El caso “Scattered Spider”
Peter Stokes, conocido en el submundo digital bajo los alias de “Bouquet” y “Jordan”, ha sido identificado por el FBI como una pieza clave de Scattered Spider (también conocida en el sector de la ciberseguridad como Octo Tempest, UNC3944 o 0ktapus). Este grupo de cibercriminales es famoso por poner en jaque a corporaciones multimillonarias mediante sofisticadas campañas de ingeniería social, secuestro de datos y extorsión. Se estima que la organización ha estado involucrada en más de 100 intrusiones de red, acumulando más de 100 millones de dólares en pagos de rescates.
La acusación central contra Stokes se remonta a un ataque perpetrado en mayo de 2025 contra una prestigiosa joyería de lujo en los Estados Unidos (denominada “Compañía F” en los archivos de la corte). El modus operandi del grupo fue tan simple como devastador:
- Utilizaron números de Google Voice para realizar llamadas de vishing (phishing de voz) al centro de soporte técnico (IT helpdesk) de la joyería.
- Se hicieron pasar por empleados legítimos que habían perdido el acceso a sus cuentas, logrando que el personal técnico restableciera las credenciales.
- Consiguieron acceso a cuentas con privilegios de administrador, lo que les permitió infiltrarse en el centro de datos de la empresa.
- Desplegaron la herramienta de túnel seguro Ngrok para asegurar un acceso persistente y no autorizado a la red.
- Exfiltraron miles de registros confidenciales y exigieron un rescate de 8 millones de dólares en criptomonedas.
Aunque la joyería logró expulsar a los intrusos y se negó a pagar el rescate, la interrupción del negocio y los costos de mitigación superaron los 2 millones de dólares. Este ataque encendió las alarmas del FBI, que bajo la Operación Riptide, comenzó a seguir el rastro digital de Stokes.
El oscuro secreto de la telemetría de Windows: ¿Qué es exactamente el GDID?
Para evadir la acción de la justicia, Stokes tomó precauciones extremas. Utilizó redes privadas virtuales (VPN) y servidores proxy (como los servidores de la firma Tzulo) para enmascarar su dirección IP real durante el ataque. No obstante, lo que el joven hacker no previó es que la telemetría de Windows estaba registrando minuciosamente cada uno de sus movimientos directamente desde el sistema operativo de su computadora, anulando cualquier capa de anonimato que su VPN pudiera ofrecer.
En el centro de esta revelación se encuentra el Global Device Identifier (GDID), un identificador a nivel de dispositivo que hasta ahora se mantenía prácticamente indocumentado por Microsoft, apareciendo únicamente en una oscura y solitaria referencia de la Microsoft Developer Network (MSDN). De acuerdo con las declaraciones de representantes de Microsoft incluidas en la demanda criminal:
- El GDID es una huella digital persistente y única asignada a cada instalación de sistema operativo Windows.
- A diferencia de las cookies de navegación, las direcciones MAC o las direcciones IP, el GDID no cambia con las actualizaciones del sistema operativo ni con la modificación de registros locales.
- La única forma de alterar o eliminar un GDID es realizando un formateo completo del disco y una reinstalación absoluta del sistema operativo.
- Incluso si el usuario deshabilita las opciones básicas de telemetría, el sistema operativo continúa enviando paquetes de diagnóstico esenciales asociados
Escrito por
TempMail Ninja
Experto en privacidad digital y seguridad en línea. Apasionado por crear herramientas que protejan la identidad de los usuarios en internet.


