La tecnología de anonimato es fundamental para los ciberdelincuentes, pero a menudo olvidan que la seguridad de red no es lo mismo que la seguridad del punto final (endpoint). Un reciente caso federal ha demostrado esta vulnerabilidad: el arresto de Peter Stokes, presunto miembro del grupo de hackers Scattered Spider, fue posible gracias a un identificador único de Microsoft.

 

El "dedo acusador" de Windows

Stokes, de 19 años, era buscado por su implicación en más de 100 ataques cibernéticos y demandas de extorsión millonarias bajo el grupo Scattered Spider (conocido también como 0ktapus). A pesar de usar servicios de VPN para ocultar su ubicación, los investigadores del FBI lograron rastrear su identidad utilizando el Identificador Global de Dispositivo (GDID) de Microsoft.

El GDID es un código incrustado profundamente en cada instalación de Windows para diagnósticos, telemetría y licencias. A diferencia de una dirección IP, que cambia constantemente al usar proxies o VPNs, el GDID es una huella digital técnica que permanece vinculada a la instalación del sistema operativo, independientemente de la red desde la que se conecte el usuario.

El error táctico

La intrusión, que tuvo como objetivo a un minorista de lujo, comenzó con tácticas clásicas de ingeniería social. Los atacantes obtuvieron acceso administrativo, instalaron herramientas de túnel cifrado y exfiltraron 77 GB de datos corporativos, exigiendo un rescate de 8 millones de dólares. Sin embargo, al registrarse en servicios externos durante el ataque y navegar por la web de la empresa, el GDID de su laptop quedó registrado en los servidores de Microsoft.

El FBI correlacionó este identificador con las cuentas personales de Stokes (Apple, Snapchat, Facebook) y con sus registros de viaje. Las direcciones IP registradas por el GDID coincidían perfectamente con sus estancias en hoteles de lujo en Estonia, Nueva York y Tailandia, confirmando su presencia física y digital de forma innegable.

Lecciones de ciberseguridad

Este arresto sirve como una lección vital: el anonimato de red es insuficiente. Los atacantes pueden ocultar la red, pero rara vez pueden ocultar el identificador del dispositivo que utilizan. Además, el caso destaca un área gris en la transparencia tecnológica: no existe una política clara ni pública que detalle cómo Microsoft comparte los datos de GDID con las autoridades, lo que plantea interrogantes sobre la privacidad de todos los usuarios de Windows frente a investigaciones gubernamentales. Para los ciberdelincuentes, este caso confirma que, sin importar cuánto oculten su IP, su "máquina" siempre los delatará.

Fuente:

https://cybersecuritynews.com/windows-device-identifier-tracking/