Microsoft ayudó al FBI a detener a un hacker de Scattered Spider con su identificador único de Windows
El GDID, un identificador de dispositivo de Windows 11, fue clave para rastrear y arrestar a Peter Stokes, un joven de 19 años vinculado al notorio grupo de extorsión.
5 de julio de 2026 · 3 min de lectura
¿Qué ha ocurrido?
El 19 de junio de 2025, las autoridades finlandesas arrestaron en el aeropuerto de Helsinki a Peter Stokes, un joven de 19 años con doble ciudadanía estadounidense y estonia, cuando intentaba abordar un vuelo a Japón. Stokes está acusado de pertenecer a Scattered Spider, uno de los grupos de ciberextorsión más activos del mundo, responsable de más de 100 millones de dólares en pagos de rescate, según el Departamento de Justicia de EE.UU. (DOJ).
La detención fue posible gracias a la información proporcionada por Microsoft, que compartió con el FBI el Global Device Identifier (GDID) asociado al equipo utilizado por Stokes. Este identificador único, asignado a cada instalación de Windows 11, permitió vincular la actividad delictiva con un dispositivo físico específico, superando el uso de VPNs y otras técnicas de anonimato.
La acusación formal se centra en un ataque de mayo de 2025 contra un joyero de lujo estadounidense. Los atacantes, haciéndose pasar por empleados mediante llamadas telefónicas con Google Voice, convencieron al servicio de asistencia TI para restablecer credenciales, accediendo a tres cuentas (dos con privilegios de administrador). Robaron datos sensibles y exigieron un rescate de 8 millones de dólares en criptomonedas. Aunque la empresa no pagó, las pérdidas operativas se estiman en 2 millones de dólares.
¿Por qué es importante?
Este caso marca un hito en la colaboración entre empresas tecnológicas y fuerzas de seguridad. El GDID, un identificador que Microsoft recopila para telemetría y gestión de licencias, se ha convertido en una herramienta forense de gran alcance. A diferencia de las direcciones IP o cookies, el GDID está ligado al hardware de forma persistente, lo que dificulta su evasión.
Scattered Spider, también conocido como Octo Tempest o UNC3944, es conocido por su sofisticación en ingeniería social. El grupo ha atacado a decenas de empresas, incluyendo casinos de Las Vegas y proveedores de infraestructura crítica. La detención de Stokes podría desarticular parte de la red, aunque el grupo sigue activo.
El caso también reabre el debate sobre la privacidad. Microsoft no revela públicamente cómo almacena o comparte los GDID, y esta colaboración con el FBI podría sentar un precedente para que otras empresas (Google, Apple) sigan el mismo camino. Para los usuarios, significa que sus dispositivos Windows 11 dejan una huella digital prácticamente indeleble.
¿Qué consecuencias tendrá?
En el corto plazo, se espera que Stokes enfrente cargos por conspiración, intrusión informática y fraude, con posibles penas de prisión. El DOJ ha señalado que la investigación continúa y podrían producirse más arrestos.
Para la industria de la ciberseguridad, este caso refuerza la importancia de la telemetría como herramienta de atribución. Las empresas deberán equilibrar la cooperación con las autoridades y la protección de datos de sus usuarios. Es probable que Microsoft actualice sus políticas de privacidad para aclarar el uso del GDID en contextos legales.
Para los delincuentes, la lección es clara: el uso de sistemas operativos comerciales como Windows deja rastros que pueden ser explotados por las fuerzas de seguridad. Esto podría impulsar a los cibercriminales a migrar hacia sistemas más opacos o a emplear técnicas de ofuscación más avanzadas.
¿Qué deben saber los lectores?
- El GDID no es nuevo: Microsoft lo utiliza desde Windows 10 para fines de telemetría y licencias. Sin embargo, su uso en investigaciones criminales es una novedad.
- No solo Windows: Otros sistemas operativos y plataformas también recopilan identificadores similares. Por ejemplo, los identificadores de publicidad en iOS y Android pueden ser utilizados con fines de rastreo.
- Medidas de protección: Aunque es difícil eliminar el GDID, el uso de máquinas virtuales, sistemas operativos alternativos (Linux) o herramientas de ofuscación de hardware puede reducir la exposición.
- Contexto legal: La colaboración de Microsoft se realizó bajo orden judicial, por lo que no se trata de una vigilancia masiva, sino de un caso específico. No obstante, los defensores de la privacidad advierten que podría ampliarse.
"El GDID es como una huella dactilar digital: único, persistente y difícil de cambiar. Este caso demuestra su poder como herramienta de investigación, pero también subraya la necesidad de un debate público sobre sus límites", comentó un analista de ciberseguridad consultado por TheVortiq.
Puntos clave
- Microsoft proporcionó el GDID de Windows 11 al FBI para identificar y detener a Peter Stokes, presunto miembro de Scattered Spider.
- El GDID es un identificador único de hardware que permite rastrear dispositivos incluso detrás de VPNs.
- El arresto se produjo en Helsinki cuando Stokes intentaba volar a Japón.
- El caso resalta la colaboración entre tecnológicas y fuerzas de seguridad, y sus implicaciones para la privacidad.
- Scattered Spider ha extorsionado más de 100 millones de dólares en rescates.
Preguntas frecuentes
¿Qué es el GDID de Microsoft?
El Global Device Identifier (GDID) es un identificador único asignado a cada instalación de Windows 11 (y versiones anteriores) para telemetría y gestión de licencias. Está vinculado al hardware y no cambia fácilmente.
¿Cómo ayudó Microsoft al FBI en este caso?
Microsoft compartió el GDID del dispositivo utilizado por Peter Stokes, lo que permitió a los investigadores vincular su actividad en línea con un equipo físico específico y rastrearlo hasta su ubicación en Helsinki.
¿Qué es Scattered Spider?
Scattered Spider es un grupo de ciberextorsión conocido por ataques de ingeniería social. Han atacado a empresas como casinos, joyerías y proveedores de TI, exigiendo rescates multimillonarios.
¿Qué cargos enfrenta Peter Stokes?
Enfrenta cargos por conspiración, intrusión informática y fraude, relacionados con un ataque a un joyero de lujo en mayo de 2025.
¿Cómo puedo protegerme si uso Windows?
Aunque no se puede eliminar el GDID, usar máquinas virtuales, sistemas operativos alternativos como Linux, o herramientas de ofuscación de hardware puede reducir la exposición. Además, mantener el sistema actualizado y usar VPN no evita el rastreo por GDID.
Fuentes utilizadas
Sigue leyendo
Comentarios
Sé el primero en comentar.