3 min de lectura

El GDID oculto de Windows ayudó al FBI a rastrear a un presunto hacker

Microsoft confirmó un identificador persistente de dispositivo en Windows que los usuarios no pueden desactivar sin afectar funciones centrales. Salió a la luz en un caso federal vinculado a Scattered

Imagen: Hacker News

Microsoft confirmó que Windows utiliza un Identificador Global de Dispositivo persistente, o GDID, un identificador a nivel de dispositivo vinculado a instalaciones configuradas con una Cuenta de Microsoft. El identificador salió a la luz en una demanda federal estadounidense contra un supuesto miembro del grupo de hackers Scattered Spider, donde los fiscales describieron cómo el FBI lo utilizó para seguir actividad a través de VPN, proxies y múltiples países.

Microsoft había mencionado anteriormente el GDID solo de forma breve en la documentación de Azure Monitor, describiéndolo sencillamente como "un identificador usado internamente por Microsoft". En la denuncia, un representante de Microsoft lo describió como "un identificador persistente a nivel de dispositivo diseñado para identificar de manera única una instalación del sistema operativo Windows en un dispositivo, ya sea un dispositivo físico como un teléfono móvil o un portátil o una máquina virtual, a través de ciertos servicios y escenarios de Microsoft".

El documento afirma que el GDID se crea cuando Windows se provisiona con una Cuenta de Microsoft y se genera a través de varios servicios de Windows. Según la denuncia, wlidsvc solicita un Device PUID a login.live.com, luego la Connected Devices Platform lo registra en el Device Directory Service de Microsoft. Delivery Optimization informa más adelante el GDID de vuelta a Microsoft cuando un PC comparte o descarga actualizaciones.

El identificador se almacena en el registro de Windows en HKCU\\SOFTWARE\\Microsoft\\IdentityCRL\\ExtendedProperties y aparece como una "g" minúscula seguida de un número decimal. Persiste a través de las actualizaciones de Windows, pero no después de una reinstalación limpia. Aun así, según la denuncia, iniciar sesión nuevamente con la misma Cuenta de Microsoft ofrece a Microsoft una forma de vincular el nuevo identificador con la actividad anterior a través de la cuenta, OneDrive y el historial de activación.

En el caso descrito por los fiscales, el GDID g:6755467234350028 supuestamente ayudó a los investigadores a rastrear a Peter Stokes durante aproximadamente ocho meses. La denuncia afirma que ese identificador visitó la página de registro de ngrok al mismo tiempo que se creó, a través de un proxy VPN Tzulo, una cuenta usada en el ataque. Tres horas después, el mismo GDID accedió al sitio web de un minorista víctima mediante ese mismo proxy. Los investigadores luego vincularon el dispositivo con direcciones IP asociadas a cuentas de Snapchat, Facebook, Apple y Ubisoft en Estonia, Nueva York, Tailandia y otros lugares.

Recomendado

T-Mobile amplía los perfiles de T-Life mientras persisten las preguntas sobre publicidad

Los investigadores de privacidad citados en el artículo sostienen que los usuarios tienen poca visibilidad o control en este aspecto. No hay una pantalla de consentimiento, ni una opción de restablecimiento visible para el usuario, ni una forma sencilla de desactivar el GDID sin afectar la activación de Windows y las aplicaciones de Microsoft Store. El informe señala que Apple y Android ofrecen controles más visibles para identificadores comparables.

Para los usuarios que intentan reducir el seguimiento relacionado, el artículo señala algunos pasos prácticos:

  • Usar una cuenta local en lugar de una Cuenta de Microsoft cuando sea posible
  • Desactivar los datos de diagnóstico opcionales en Configuración > Privacidad y seguridad > Diagnósticos y comentarios
  • Desactivar los anuncios personalizados y el seguimiento de inicio en Privacidad y seguridad > Recomendaciones y ofertas
  • Desactivar la búsqueda de contenido en la nube en Privacidad y seguridad > Búsqueda
  • Revisar y desactivar el Historial de actividad y otras configuraciones de telemetría

El artículo indica que el GDID está presente en todas las instalaciones de Windows vinculadas a una Cuenta de Microsoft, y que los usuarios no pueden verlo a través de las interfaces estándar de Windows. Por ahora, la denuncia federal sigue siendo la explicación pública más clara de cómo funciona.

Sophia Reynolds

Security Editor

Sophia unpacks the invisible wars happening on our networks. Covering cybersecurity, privacy legislation, and cryptography, she exposes how our data is weaponized and defended. Before joining for(geeks), she spent years as a penetration tester. She's the reason the rest of the team uses physical security keys.

vía Hacker News

// Sigue leyendo