Recientemente, una demanda federal unificada en Estados Unidos destapo el «secreto a voces» mejor guardado de Microsoft: un identificador persistente e imposible de apagar por el usuario, capaz de atravesar VPNs, proxys y fronteras. Una característica de rastreo que sirvió para capturar a un escurridizo hacker internacional, ahora abre un debate aterrador sobre la vigilancia absoluta en más de 1.600 millones de ordenadores, sin que ellos lo supieran, y sin posibilidad para apagarlo.
Perseguido hasta el fin del mundo
En abril de 2026, un joven de 19 años caminaba a paso firme por los pasillos del aeropuerto de Helsinki, Finlandia. Llevaba consigo un boleto con destino a Japón y dos discos duros de dos terabytes repletos de información encriptada. Para las agencias de ciberseguridad corporativa, aquel chico no era más que una sombra digital esquiva; para el Departamento de Justicia de los Estados Unidos, se trataba de Peter Stokes, una de las mentes maestras detrás de la temida organización criminal Scattered Spider.
Stokes creía haber tomado todas las precauciones necesarias: utilizaba redes privadas virtuales (VPN), servidores proxy geográficamente dispersos y sistemas cifrados para borrar su rastro tras extorsionar por 8 millones de dólares a sus víctimas. Sin embargo, pese a todo este cuidado, Stokes no logró subir a ese avión. Una notificación roja de Interpol, alimentada por el Buró Federal de Investigaciones (FBI), lo detuvo en seco poco antes de tomar el avión.
Así es EthSystems, la nueva apuesta de Lubin por la privacidad institucional de Ethereum
Atrápame, si puedes, versión digital
La pregunta que nace de esto es ¿Cómo logró el FBI desarmar el intrincado laberinto de identidades falsas y túneles encriptados que protegía a Stokes? La respuesta no es que el FBI tuvo suerte, ni que todo provino de un fallo en sus herramientas de anonimato ni de un informante infiltrado. La realidad es mucho más retorcida: provino directamente del sistema operativo que utilizaba para operar, Windows.
Y esto se supo públicamente, cuando documentos judiciales desclasificados en julio de 2026 revelaron todo: Microsoft posee y mantiene una tecnología integrada en el corazón de Windows 11 capaz de rastrear, identificar de forma única y marcar de manera indeleble cada instalación en el planeta. Su nombre técnico es Identificador Global de Dispositivo (GDID), una herramienta letal para la privacidad que carece de un interruptor de apagado, y que permite ponerte en la mira en cualquier lugar del mundo.
La anatomía del rastreador ¿Cómo funciona el GDID?
Durante años, el ecosistema de ciberseguridad asumió que el cambio constante de dirección IP o la reinstalación de ciertos parámetros bastaban para eludir el rastreo masivo. Básicamente, si tenías cuidado, desactivabas ciertas cosas, y utilizabas protocolos seguros, estabas seguro. El GDID es un torpedo a la línea de flotación de esa idea, porque el mismo rompe por completo este paradigma. Según admitió un propio representante de Microsoft en la querella federal, el GDID es:
Un identificador persistente a nivel de dispositivo diseñado para identificar de forma única una instalación de un sistema operativo Windows, ya sea en un entorno físico (un portátil o teléfono) o virtual, a través de ciertos servicios y escenarios de Microsoft.
Invisible en todo momento
El mecanismo se activa de forma automática e invisible en el momento en que un usuario inicia sesión en Windows utilizando una cuenta de Microsoft o al aprovisionar la licencia del dispositivo. El proceso técnico sigue una cadena rigurosa:
- Primero, un servicio nativo del sistema denominado wlidsvc se comunica con los servidores de autenticación central (login.live.com).
- En ese momento, un servidor responde entregando un identificador conocido como PUID (Passport Unique ID). Este parámetro es asignado externamente; Windows nunca lo computa de manera local.
- Seguidamente, la cadena alfanumérica se guarda en texto plano dentro del registro del usuario, específicamente en la ruta: HKCU\SOFTWARE\Microsoft\Identity CRL\Extended Properties bajo el valor LID.
- La plataforma de dispositivos conectados (controlada por la librería cdp.dll a través del servicio CDPSvc), encargada de sincronizar herramientas como el portapapeles en la nube, lee dicho valor y lo introduce en el Servicio de Directorio de Dispositivos de Microsoft. Allí se le antepone una letra «g» minúscula, transformándose en la fórmula del rastreador: g:decimal.
- Finalmente, este código se estampa en cada paquete de optimización de entrega (UCDOStatus.GlobalDeviceId) enviado a la compañía tecnológica cada vez que el equipo descarga o comparte actualizaciones.
Imposible de deshabilitar
Pero el funcionamiento de GDID no termina allí. El colectivo de ingeniería inversa Massgrave declaró al respecto:
Es virtualmente imposible evitar que Windows genere y transmita un GDID sin romper por completo la activación del sistema operativo y el acceso a las aplicaciones UWP. No estamos ante una función opcional; es la columna vertebral de la identidad forzada de Microsoft.
Básicamente, desactivar GDID te deja sin Windows. Si borrar el valor o lo modificas, las actualizaciones no sirven, el acceso a aplicaciones UWP no funciona, el acceso a servicio online que requieren de la lectura lateral del mismo (como el Login usando cuenta Live) no funciona. Literalmente, borrar el GDID y como hacerle una lobotomía al sistema.
La otra cara del código abierto: 40.000 moléculas letales en seis horas
De la pantalla a la celda
El caso criminal contra Stokes sirvió como el escenario ideal para demostrar la letalidad de este rastreador. El grupo Scattered Spider había accedido a los sistemas de la joyería mediante técnicas de ingeniería social, engañando al soporte técnico para resetear credenciales administrativas. Posteriormente, instalaron herramientas de túnel como ngrok y Teleport para extraer 77 gigabytes de información confidencial. Al investigar el servidor proxy de la infraestructura de ngrok utilizada en el ataque, el FBI chocó contra una IP anónima provista por la firma de hosting Tzulo. La pista parecía muerta.
Sin embargo, al emitir una orden judicial a Microsoft, los agentes federales obtuvieron el registro exacto de telemetría. En el mismo minuto en que se creaba la cuenta maliciosa desde el proxy anónimo, un dispositivo Windows con el identificador exacto g:6755467234350028 iniciaba sesión en la web correspondiente. A partir de ese número fijo e inmutable, el FBI pudo trazar una línea de tiempo infalible a lo largo de tres continentes:
- Estonia (Junio de 2024): El GDID del dispositivo operó bajo una IP de Tallin. Cuatro minutos antes, esa misma dirección IP se había utilizado para iniciar sesión en la cuenta personal de Snapchat de Stokes, y ochenta minutos después en su Facebook.
- Nueva York (Noviembre de 2024): El mismo identificador apareció bajo IPs de Nueva York, coincidiendo milimétricamente con accesos a la cuenta de Apple de Stokes y una reserva en el Empire Hotel. Los agentes llegaron a validar la alfombra y el papel tapiz de la habitación mediante fotos publicadas por el sospechoso en sus redes sociales.
- Tailandia (Febrero de 2025): La misma máquina física volvió a reportar actividad a Microsoft desde una IP de Bangkok, sincronizándose al mismo tiempo que Stokes subía imágenes con la etiqueta del hotel Waldorf Astoria.
Otro clavo al ataúd de la privacidad
Por supuesto todo esto tiene una doble lectura. Por un lado, se celebra la captura de un peligroso extorsionador cibernético responsable de millonarias pérdidas, eso no es discutible. Pero al mismo tiempo, la revelación del GDID ha encendido las alarmas en la comunidad de derechos digitales y ciberseguridad internacional. Y no por cualquier cosa: si el FBI puede hacer esto ¿Por qué no podrían hacerlo otras agencias o actores maliciosos? La respuesta es sencilla: pueden hacerlo y lo harán.
Por ello, muchos en la comunidad han manifestado su profunda inquietud debido a que este elemento opera en las sombras, sin una pantalla de consentimiento clara o un aviso explícito, a diferencia de los identificadores publicitarios de Apple o Android que permiten la revocación y el reinicio por voluntad del usuario (al menos por ahora).
De hecho, expertos como Matthew Hickey no han dudado en catalogar a los sistemas operativos modernos con este nivel de persistencia como «software de vigilancia». Y es que la principal preocupación radica en que el GDID no desaparece con una actualización técnica y, aunque una reinstalación limpia del sistema genera un nuevo número decimal, los patrones históricos de activación y las cuentas vinculadas a OneDrive permiten a Microsoft, permiten enlazar el identificador antiguo con el nuevo en cuestión de segundos.
Para periodistas de investigación, activistas políticos en regímenes autoritarios y disidentes, la confirmación de este esquema destruye la confianza en el entorno de escritorio convencional.
Por qué Jeremy Allaire cree que blockchain será el sistema económico de la IA
¿Es Linux una opción?
La recomendación de los expertos ante este nuevo panorama es radical: en entornos donde la seguridad física o la confidencialidad absoluta dependan del anonimato, es imperativo abandonar los sistemas comerciales y migrar hacia plataformas de código abierto como Linux, enrutadas de forma nativa a través de redes descentralizadas como Tor.
Sin embargo, ¿Es esto suficiente? La respuesta es NO, y la razón es muy simple: en Linux, dependiendo de la distros que uses, encuentras cosas parecidas. Un ejemplo claro es el conocido DUID (Device Unique Identifier o Identificador Único de Dispositivo) que se almacena en /etc/machine-id. Este es un identificador que sirve para marcar a tu computador como un elemento único y que es implementado en software como systemd y dbus, parte esencial de prácticamente todo sistema Linux actualmente.
Si bien, el DUID no se usa para «rastrear abiertamente a los usuarios de una distribución», la realidad es que dicho DUID si se usa y se almacena en servidores de distros como Ubuntu /Red Hat (Estados Unidos) u OpenSUSE (Europa), por lo que puede usarse para un propósito parecido. Además, el DUID se usa para derivar otros ID (como el del servicio de red) así que sirve como un «migajero de pan» que puede usarse para rastrearte a nivel global.
Por ejemplo, Google Chrome y Firefox usan el DUID para derivar ciertos identificadores internos, sirviendo como un migajero de pan. Eso significa, que Google y Mozilla, tienen información que puede servir para identificarte, tal como paso en este caso con Microsoft, Windows y su GUID.

