# Detención de hacker revela identificador oculto de Windows 11

> El arresto de un joven vinculado al grupo Scattered Spider destapó al GDID, un rastreador permanente que Microsoft asigna a cada instalación de Windows y que operaba sin conocimiento de los usuarios.

- Medio: Onda Corta (https://ondacorta.news)
- Sección: Infra y Cloud
- Publicado: 2026-07-12T13:03:04.802Z
- URL canónica: https://ondacorta.news/infraestructura/gdid-windows-hacker-detenido

Un identificador que Microsoft integra en cada copia de Windows terminó siendo la pieza clave que permitió al FBI vincular a un hacker de 19 años con una serie de ataques informáticos, pese a que el sospechoso usaba una VPN para esconder su rastro. El caso, documentado en registros judiciales de Estados Unidos, puso al descubierto la existencia del Global Device Identifier (GDID), un mecanismo de rastreo que hasta ahora operaba sin que la mayoría de los usuarios lo supiera.

El protagonista es Peter Stokes, señalado como integrante del colectivo de ciberdelincuencia Scattered Spider. Según reportó PC Mag, agentes lo interceptaron durante un control en el aeropuerto de Helsinki, en Finlandia, y desde entonces enfrenta en territorio estadounidense una causa que incluye cargos por asociación ilícita para delinquir, acceso no autorizado a sistemas informáticos y estafa.

Lo llamativo no es la detención en sí, sino el camino que siguieron los investigadores para dar con él. Stokes recurría a una VPN para enmascarar su dirección IP, una precaución habitual entre quienes cometen delitos informáticos. Sin embargo, un representante de Microsoft confirmó ante la Justicia que el GDID (una especie de huella digital fija que se asigna a cada instalación de Windows, ya sea en una computadora física o en una máquina virtual) permanece activo en distintos servicios de la compañía y no depende de la dirección IP para identificar un equipo.

## Cómo se armó el caso

El ataque que destapó todo ocurrió en mayo de 2025, cuando el grupo se comunicó con la mesa de ayuda de una joyería de alta gama haciéndose pasar por empleados con las cuentas bloqueadas. Con esa treta lograron que el soporte técnico restableciera contraseñas y les diera acceso a los sistemas internos. En cuestión de horas instalaron herramientas de acceso remoto y puertas traseras que les permitieron copiar 77 GB de información de la empresa, por los que luego pidieron un rescate de 8 millones de dólares.

Ese fue el punto donde el GDID se volvió determinante: los datos internos de Microsoft mostraron que el equipo asociado a Stokes había ingresado a la página donde se registraban las herramientas usadas para crear los túneles de conexión del ataque. El mismo identificador apareció también en accesos a cuentas de Snapchat, Apple y Facebook que la fiscalía le atribuye al acusado, y coincidió con direcciones IP y ubicaciones geográficas que se correspondían con los desplazamientos que el Departamento de Estado tenía registrados a su nombre.

Lo que preocupa a los especialistas en privacidad es el alcance del GDID: de acuerdo con los documentos presentados en la causa, este identificador no se limita a las aplicaciones y servicios propios de Microsoft, sino que puede vincularse con plataformas externas y quedar asociado a marcas de tiempo exactas. En la práctica, eso significaría que sería posible reconstruir el historial de navegación o de uso de un dispositivo sin recurrir a cookies ni al historial local del navegador.

Tras conocerse los detalles del expediente, el especialista en seguridad informática Matthew Hickey se refirió públicamente a Windows como un software de vigilancia, en alusión a la capacidad de este tipo de identificadores para rastrear a los usuarios más allá de lo que la mayoría asume al configurar su privacidad en el sistema operativo.

## Por qué importa

Una VPN no alcanza para anonimizarse en Windows si el propio sistema operativo lleva incorporado un identificador que sobrevive a ese tipo de protecciones. Para cualquier usuario o empresa que gestione datos sensibles, el caso deja claro que la telemetría de Windows 11 puede terminar en manos de terceros, incluidas fuerzas de seguridad, sin que exista forma sencilla de desactivarla.

## Fuentes

- [La detención de un hacker acaba de revelar cómo Microsoft te espía en Windows](https://hipertextual.com/seguridad/windows-11-gdid-identificador-espia/) (hipertextual.com)

---
Artículo original de Onda Corta. Al citarlo, atribuir con enlace a https://ondacorta.news/infraestructura/gdid-windows-hacker-detenido
