Un identificador poco conocido de Windows salta al primer plano
La documentación presentada en un proceso judicial contra un presunto integrante de Scattered Spider explica cómo Microsoft utilizó el Global Device Identifier (GDID) como uno de los elementos empleados durante la investigación.
📌 En resumen
- Un documento judicial cita el uso del identificador GDID de Windows.
- El GDID identifica de forma única una instalación del sistema operativo.
- Fue uno de los múltiples elementos utilizados durante una investigación penal.
- El caso reabre el debate sobre la telemetría y la privacidad en Windows.
La detención de un presunto integrante del grupo de ciberdelincuentes Scattered Spider ha puesto el foco sobre un componente poco conocido de Windows: el Global Device Identifier (GDID). La documentación presentada en el procedimiento judicial explica que este identificador permite distinguir de forma única una instalación del sistema operativo y fue utilizado como parte de la investigación.
El GDID es un identificador persistente asociado a una instalación concreta de Windows, no al usuario. Según la documentación judicial y la descripción técnica de Microsoft, puede utilizarse para reconocer esa instalación en determinados servicios y fue empleado como uno de los elementos que ayudaron a relacionar distintos registros durante una investigación criminal.
El caso ha reabierto el debate sobre el funcionamiento de la telemetría de Windows y sobre el tipo de información que los sistemas operativos modernos pueden asociar a un dispositivo cuando existe una investigación oficial.
La investigación contra un presunto miembro de Scattered Spider
Según la documentación judicial citada por PCMag, Peter Stokes, de 19 años, fue detenido en el aeropuerto de Helsinki y está acusado en Estados Unidos de delitos relacionados con intrusión informática, fraude y conspiración.
Las autoridades sostienen que Stokes formaba parte de Scattered Spider, un grupo al que se atribuyen diversos ataques contra grandes empresas mediante técnicas de ingeniería social.
De acuerdo con la acusación, uno de los incidentes comenzó tras una llamada al servicio de soporte técnico de una empresa para obtener acceso inicial a los sistemas. Posteriormente, los investigadores afirman que se instalaron herramientas destinadas a mantener el acceso remoto y extraer información.
Qué es el Global Device Identifier (GDID)
Uno de los elementos mencionados en la documentación es el Global Device Identifier (GDID).
Según la explicación incluida por Microsoft en el procedimiento, este identificador permite distinguir de forma única una instalación de Windows, tanto en un equipo físico como en una máquina virtual.
El GDID permanece asociado a esa instalación durante su vida útil y puede ser utilizado por determinados servicios de Microsoft para identificarla.
Cómo ayudó durante la investigación
La documentación judicial indica que los registros de Microsoft asociaron un mismo GDID con el acceso a determinadas herramientas utilizadas durante la investigación.
Ese identificador también habría aparecido relacionado con varias cuentas y servicios que los investigadores atribuyen al acusado.
Los fiscales sostienen que el GDID fue combinado con otros elementos como direcciones IP, marcas temporales y datos de ubicación para reconstruir parte de la actividad investigada.
El propio procedimiento deja claro que el GDID no constituye la única prueba del caso, sino uno de los múltiples elementos utilizados para establecer relaciones entre distintos registros.
¿Se puede cambiar el GDID?
La documentación técnica de Microsoft señala que el identificador permanece estable durante las actualizaciones normales del sistema operativo.
Sin embargo, cuando se realiza una reinstalación completa de Windows, el sistema genera un nuevo GDID correspondiente a la nueva instalación.
Esto significa que el identificador no permanece ligado indefinidamente al hardware, sino a cada instalación concreta del sistema operativo.
Un debate sobre privacidad y telemetría
La publicación de estos documentos ha generado un nuevo debate entre especialistas en ciberseguridad y privacidad.
Algunos investigadores consideran que identificadores persistentes como el GDID pueden facilitar la correlación de actividad cuando existe una investigación judicial o un requerimiento legal.
Otros recuerdan que este tipo de identificadores forman parte de los mecanismos habituales utilizados por los sistemas operativos modernos para tareas de diagnóstico, soporte técnico, seguridad y detección de fraude.
La existencia del GDID ya aparecía documentada por Microsoft desde hace tiempo, aunque este procedimiento judicial ha mostrado de forma mucho más visible cómo puede utilizarse dentro de una investigación penal.
Un identificador que gana protagonismo
El procedimiento contra Peter Stokes continúa su curso y todavía deberá resolverse en los tribunales.
Más allá del caso concreto, la documentación ha servido para dar a conocer el funcionamiento del Global Device Identifier, un componente poco conocido de Windows que puede ayudar a identificar una instalación específica del sistema operativo y que, junto con otras evidencias técnicas, puede desempeñar un papel relevante en investigaciones de cibercrimen.