Un joven de 19 años acusado de pertenecer al grupo de ciberdelincuencia Scattered Spider ha sido detenido en Finlandia y extraditado a Estados Unidos tras una investigación en la que Microsoft compartió información con el FBI. Uno de los elementos utilizados para seguir su rastro fue un identificador asociado a Windows, el Global Device Identifier o GDID. Curiosamente, el popular hacker especializado en intrusiones corporativas acabó dejando huella por usar Windows. El presunto hacker que quizá habría preferido usar Linux El presunto hacker es Peter Stokes, ciudadano con doble nacionalidad estadounidense y estonia.
Hace unos días, el Departamento de Justicia de Estados Unidos anunció su detención. Este se enfrenta a cargos federales en el Distrito Norte de Illinois por conspiración, intrusión informática y fraude. Lo más llamativo de la detención, más allá de su supuesta vinculación con Scattered Spider, es la forma en que se ha seguido su rastro digital. Son varios los medios que explican que Microsoft aportó información al FBI relacionada con el GDID, un identificador único asociado a instalaciones de Windows y telemetría del dispositivo.
Con ello, los investigadores pudieron averiguar el hardware físico, actividad online, direcciones IP, uso de herramientas y ubicaciones. Qué es Scattered Spider y por qué preocupa tanto Scattered Spider es, según el Departamento de Justicia, una organización criminal dedicada a acceder a cuentas corporativas mediante engaños, robar o cifrar datos y extorsionar a empresas para obtener pagos en criptomonedas. También son conocidos por usar otros nombres como pueden ser Octo Tempest, UNC3944 u 0ktapus. El grupo habría estado implicado en más de 100 intrusiones, obteniendo más de 100 millones de dólares en rescates.
En el caso que se le atribuye el hacker detenido no se consiguió rescate alguno, pese a que la demanda era de 8 millones de dólares. Eso sí, se ha confirmado que la empresa de joyas de lujo sufrió al menos 2 millones de dólares en pérdidas por interrupción del negocio, investigación y mitigación. El identificador de Windows que reabre el debate sobre privacidad El detalle del GDID no ha pasado desapercibido por los usuarios. Hablamos de un identificador global de dispositivo asignado a instalaciones de Windows y asociado a telemetría específica.
Este permite asociar el sistema operativo utilizado en un ciberdelito con hardware, IPs, historial de uso y herramientas utilizadas. En una investigación criminal está claro que hablamos de un identificador tremendamente útil que facilita al máximo la tarea a los investigadores policiales. Sin embargo, desde el punto de vista del usuario reabre un debate sobre la privacidad que cada vez está más en la cuerda floja. No sabemos hasta qué punto los datos recogidos por los sistemas operativos modernos permiten reconstruir la actividad de una persona.
Por eso, muchos usuarios no han tardado en decir de forma sarcástica que este hacker debía haber utilizado Linux, que no cuenta con la invasiva telemetría de Windows 11. ¿Se puede apagar el GDID? No hay una forma clara y oficial de desactivar el GDID de Windows desde los ajustes del sistema. De hecho, Microsoft no ofrece ningún tipo de información al respecto en sus webs oficiales de soporte. Lo que sí existen son aplicaciones de terceros que permiten reducir la telemetría, bloquear servicios de diagnóstico, desactivar identificadores publicitarios, limitar experiencias personalizadas o impedir conexiones automáticas a ciertos servidores de Microsoft.
Entre las aplicaciones más populares tenemos O&O ShutUp10++, WPD o Privatezilla que se han hecho un hueco entre muchos usuarios de Windows 11. Estas permiten modificar opciones de privacidad, diagnóstico, anuncios, permisos de aplicaciones, historial de actividad o sincronización desde una misma pantalla.