Microsoft reconoció públicamente que Windows 11 utiliza un identificador persistente llamado GDID, un sistema sin interruptor de apagado total que salió a la luz tras una denuncia federal contra un presunto integrante de Scattered Spider. El caso reabre el debate sobre cuánta telemetría conserva Windows y qué tan difícil resulta limitarla incluso para usuarios avanzados.
***
- El GDID es un identificador persistente de dispositivo que Microsoft asigna a una instalación de Windows y que puede vincular actividad entre servicios.
- La denuncia contra Peter Stokes sostiene que este dato ayudó al FBI a seguir un mismo equipo a través de VPN, proxies y varios países.
- Expertos en privacidad cuestionan la falta de transparencia y el hecho de que Windows 11 no ofrezca una opción clara para desactivar el sistema.
🚨 Microsoft admite uso de rastreador GDID en Windows 11 🚨
Este identificador persistente permite al FBI rastrear actividades de usuarios a través de VPN y múltiples países.
Un caso contra un hacker reveló su uso en actividades delictivas.
La falta de opciones para… pic.twitter.com/hoRfdOF7oD
— Diario฿itcoin (@DiarioBitcoin) July 11, 2026
Microsoft admitió que Windows 11 incorpora un identificador persistente llamado GDID, un rastreador de dispositivo que no puede desactivarse por completo desde la configuración del sistema. La revelación ganó visibilidad pública tras una denuncia federal de EE. UU. contra Peter Stokes, un presunto miembro del grupo de hackers Scattered Spider.
Según la denuncia, el dato permitió al FBI seguir una misma instalación de Windows a través de VPN, proxies y varios países. El caso pasó de ser una investigación criminal a un debate más amplio sobre privacidad, telemetría y control real del usuario sobre su propio sistema operativo.
La historia comenzó en abril de 2026, cuando un joven de 19 años fue detenido en el aeropuerto de Helsinki mientras llevaba dos discos duros de 2 TB y un boleto a Japón. En julio, fiscales estadounidenses levantaron el secreto de la denuncia e identificaron al sospechoso como Peter Stokes.
Los fiscales lo vinculan con la intrusión de mayo de 2025 a un minorista de joyería de lujo en Estados Unidos. Ese ataque terminó con una exigencia de rescate de USD $8 millones y con costos de limpieza cercanos a USD $2 millones para la empresa afectada.
El reporte original de Windows Latest revisó la denuncia completa de 39 páginas y la contrastó con trabajos de ingeniería inversa sobre la forma en que Windows genera y transmite este identificador. A partir de ahí, el foco dejó de estar solo en Stokes y pasó a centrarse en el alcance del propio GDID.
Para el usuario común, el nombre puede sonar técnico y distante. Sin embargo, el punto central es sencillo: se trata de una huella digital del dispositivo que Microsoft usa internamente y que puede permanecer asociada a una instalación de Windows mientras esa copia del sistema siga activa.
Qué es el GDID y por qué genera controversia
La denuncia cita a un representante de Microsoft que definió el GDID como “un identificador persistente a nivel de dispositivo diseñado para identificar de manera única una instalación del sistema operativo Windows en un dispositivo”. La definición también incluye equipos físicos y máquinas virtuales.
En términos simples, es una identidad digital que Microsoft asigna automáticamente cuando se instala Windows o cuando el usuario inicia sesión con una cuenta de Microsoft. Su finalidad declarada incluye escenarios vinculados a servicios de la empresa, licencias de software y aplicaciones de la tienda.
El dato sobrevive a las actualizaciones normales de Windows. No sobrevive a una reinstalación limpia del sistema, aunque la propia nota citada en la denuncia reconoce que un mismo usuario de Microsoft puede acumular múltiples GDID a lo largo del tiempo.
Ese matiz es importante porque una reinstalación no garantiza una ruptura efectiva del historial. Si el usuario vuelve a iniciar sesión con la misma cuenta, la compañía conserva varios elementos para relacionar la nueva instalación con la anterior, entre ellos activación, OneDrive y otros registros del ecosistema.
La controversia no gira solo alrededor de la existencia de un identificador persistente. También pesa el hecho de que la mayoría de los usuarios nunca había oído hablar del término GDID antes de que apareciera citado en una denuncia judicial federal.
Microsoft apenas había descrito ese elemento en una referencia técnica de Azure Monitor para reportes de Delivery Optimization. Allí, una columna llamada GlobalDeviceId se explicaba con una sola frase: “identificador global de dispositivo Microsoft. Este es un identificador utilizado internamente por Microsoft”.
Cómo Windows genera y utiliza ese identificador
De acuerdo con la reconstrucción técnica citada por la fuente, la cadena comienza con el servicio de Cuenta Microsoft. Cuando Windows aprovisiona un dispositivo con esa cuenta, un servicio del sistema llamado wlidsvc se comunica con login.live.com.
En esa interacción, el sistema recibe desde el servidor un PUID de dispositivo, descrito como un ID único de Pasaporte. El valor no se calcula localmente a partir del hardware del usuario, sino que llega asignado desde la infraestructura de Microsoft.
Luego, Windows almacena esa cadena en el registro del sistema, en texto plano, dentro de HKCUSOFTWAREMicrosoftIdentityCRLExtendedProperties bajo un valor llamado LID. Ese detalle fue identificado a partir de ingeniería inversa independiente, no de una explicación amplia por parte de la empresa.
Después entra en escena la Plataforma de Dispositivos Conectados, a través de cdp.dll ejecutándose como CDPSvc. Ese es el mismo servicio de fondo que habilita funciones como Phone Link, el portapapeles en la nube y Compartir Cercano.
Ese servicio lee el PUID y lo registra en el Servicio de Directorio de Dispositivos de Microsoft, que actúa como el grafo de identidad detrás de varias funciones entre dispositivos. Allí el número recibe una “g” minúscula al frente y queda escrito con el formato g:decimal.
La cadena reaparece más tarde en Delivery Optimization, que reporta el mismo valor a los servidores de Microsoft como UCDOStatus.GlobalDeviceId cuando la PC comparte o descarga datos de actualizaciones mediante pares. En otras palabras, distintos servicios internos pueden leer y reutilizar el mismo identificador.
Para el usuario, la traducción práctica es directa. Si inicia sesión en Windows con una cuenta de Microsoft, un servidor asigna un número persistente a esa instalación, Windows lo guarda localmente y varios servicios lo adjuntan a la actividad que reportan.
Cómo el FBI usó el GDID en el caso Peter Stokes
La acusación sostiene que Stokes fue expuesto porque utilizó el mismo dispositivo Windows en diferentes momentos de su actividad. El GDID habría permitido unir registros dispersos que por separado parecían inconexos o difíciles de atribuir.
Según los fiscales, miembros de Scattered Spider llamaron al servicio de asistencia del minorista de joyas usando números de Google Voice. Se hicieron pasar por empleados bloqueados y convencieron al personal para restablecer tres cuentas, dos de ellas con privilegios de administrador.
A partir de ese acceso, instalaron una herramienta de túnel llamada ngrok para sortear las defensas de red del minorista. Después movieron aproximadamente 77 gigabytes de datos hacia almacenamiento en la nube de Amazon usando ngrok y otra herramienta llamada Teleport.
La denuncia afirma que intentaron desplegar ransomware, pero no lo lograron. Luego enviaron un correo de rescate con el asunto “IMPORTANTE: HEMOS ROBADO LOS DATOS, CONTACTA INMEDIATAMENTE [sic]” y exigieron USD $8 millones en criptomonedas.
La empresa rechazó la demanda y absorbió cerca de USD $2 millones en costos de remediación. Más tarde, los investigadores pidieron registros a ngrok y descubrieron que la cuenta usada en el ataque había sido creada el 12 de mayo de 2025 a las 19:21 UTC.
Esa creación se hizo desde una dirección IP de proxy VPN administrada por Tzulo, un proveedor de alojamiento. La IP por sí sola no resolvía el caso, porque los nodos de salida de VPN suelen rotar y dificultan la atribución personal.
La pieza distinta fue el GDID. Los registros de Microsoft mostraron que exactamente en el mismo minuto, un dispositivo Windows con el GDID g:6755467234350028 había visitado la página de registro de ngrok.
Tres horas después, el mismo GDID visitó el sitio web del minorista usando la misma dirección proxy de Tzulo que se había usado para abrir la cuenta de ngrok. Para los investigadores, eso entregó una referencia de dispositivo mucho más estable que la IP.
La cronología internacional que conectó cuentas, viajes e inicios de sesión
Una vez que los agentes tuvieron el historial de direcciones IP asociadas al GDID, comenzaron a cruzarlo con accesos a cuentas que ya atribuían a Stokes. El resultado fue una línea temporal que abarcó cuatro países en unos ocho meses.
El 4 de junio de 2024, el dispositivo con ese GDID utilizó una IP en Tallin, Estonia, donde vivía Stokes. Esa misma IP había iniciado sesión en su cuenta de Snapchat cuatro minutos antes y en su cuenta de Facebook cerca de 80 minutos después.
El 17 y 18 de noviembre de 2024, el mismo dispositivo apareció en una dirección IP de Nueva York. Esa actividad coincidió con inicios de sesión en una de las cuentas de Apple de Stokes y en su cuenta de Snapchat.
Semanas después, el 26 de noviembre, el mismo dispositivo visitó el sitio web del Empire Hotel en Nueva York. Los investigadores lo vincularon con otro viaje confirmado de Stokes.
La denuncia agrega un detalle visual llamativo. Stokes había publicado una foto en Snapchat el día anterior, y los agentes compararon la alfombra y el papel tapiz con imágenes promocionales del interior de una suite del Empire Hotel.
El 2 de febrero de 2025, el dispositivo apareció en una IP de Tailandia. Esa conexión volvió a coincidir con inicios de sesión en Apple y Snapchat atribuidos a Stokes.
Un día antes, según la denuncia, había publicado una foto en Snapchat con la leyenda “WALDORF ASTORIA BANGKOK”. Para los fiscales, ese patrón reforzó la conexión entre el GDID, el equipo físico y la actividad personal del sospechoso.
También figura un evento del 8 de enero de 2025. Ese día, el mismo dispositivo, ya de vuelta en una IP estonia, inició sesión en el juego móvil Growtopia.
La jornada anterior, la misma dirección IP había accedido a una de las cuentas de Apple de Stokes, y dos minutos después a una cuenta de Ubisoft vinculada a ese ingreso de Growtopia. La fuerza del caso no estaba en cada evento aislado, sino en la repetición del mismo identificador a lo largo del tiempo.
La denuncia recuerda además que Microsoft ya había señalado a Stokes al FBI en una referencia criminal de octubre de 2024. Ese aviso previo describía “telemetría de servicios en línea”.
Privacidad, control del usuario y límites para reducir el rastreo
El caso no ha provocado grandes dudas sobre si el sospechoso correcto fue arrestado. La propia acusación atribuye a Stokes, junto con otros integrantes de Scattered Spider, más de 100 intrusiones corporativas y pagos de rescate superiores a USD $100 millones.
La inquietud de especialistas en privacidad apunta a lo que el expediente revela sobre Windows. Costin Raiu planteó en el pódcast Three Buddy Problem hasta qué punto existen sistemas similares en otras plataformas y si están atados de forma todavía más permanente al hardware.
Matthew Hickey fue más duro y calificó a Windows como “software de vigilancia”. Ese juicio se apoya, según el artículo original, en dos elementos concretos relacionados con consentimiento y activación.
El primero es la ausencia de una pantalla de consentimiento visible para el GDID. A diferencia del identificador publicitario de Apple o del sistema equivalente en Android, aquí no existe un aviso comparable ni una opción explícita de reinicio accesible para el usuario común.
El segundo elemento es la activación. El grupo Massgrave, conocido por Microsoft Activation Scripts, sostiene que la configuración de Windows envía información de hardware a Microsoft y recibe identificadores de vuelta que luego se usan para licencias y acceso a aplicaciones UWP.
Su conclusión es tajante: impedir por completo que Windows obtenga un GDID rompería la activación y las apps UWP. Esa observación conecta el debate de privacidad con un problema práctico, porque limitar demasiado la telemetría puede afectar funciones legítimas del sistema.
Windows Latest subraya que reinstalar Windows no resuelve el asunto como muchos imaginan. Aunque el sistema entregue un nuevo GDID, Microsoft aún tendría bases para vincular esa nueva instalación con la anterior si el usuario regresa a la misma cuenta.
Entre las medidas que sí pueden ayudar figuran usar una cuenta local en vez de una cuenta de Microsoft, desactivar los datos de diagnóstico opcionales en Configuración > Privacidad y seguridad > Diagnósticos y comentarios, y bloquear identificadores publicitarios y recomendaciones personalizadas.
La fuente también sugiere desactivar la búsqueda de contenido en la nube en Configuración > Privacidad y seguridad > Búsqueda, con el fin de evitar que búsquedas locales se envíen a Bing. Además, recomienda revisar y eliminar funciones de IA no deseadas y servicios en segundo plano de Windows 11.
Para escenarios de mayor riesgo, como periodismo, activismo o abuso doméstico, la recomendación es más drástica. En esos casos, se plantea omitir Windows y usar Linux a través de Tor, ya que un GDID no deja de ser el mismo solo por cambiar de VPN comercial.
El fondo del asunto es menos técnico de lo que parece. La pregunta real es cuánto sabe una plataforma sobre un dispositivo y cuánta capacidad tiene el usuario para impedir, revisar o reiniciar esa relación sin romper funciones esenciales.
En este caso, Microsoft terminó informando al público sobre el GDID de forma mucho más visible solo después de que un tribunal obligara a mirar el tema de frente. Eso explica por qué la discusión ha ganado tanta fuerza más allá del expediente penal.
Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público.
Este artículo fue escrito por un redactor de contenido de IA y revisado por un editor humano para garantizar calidad y precisión.
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
China
Padres en China usan IA para elegir carreras universitarias ante el costo de los consultores
Hardware
SK hynix alerta sobre una escasez de memoria que empeoraría en 2027 y se extendería hasta 2030
Europa
UE amenaza a Meta con multas de hasta 6% global por diseño adictivo en Facebook e Instagram
Brasil