Si usted utiliza Windows, probablemente(nueva ventana) esté al menos(nueva ventana) vagamente consciente(nueva ventana) de que su computadora portátil lo está espiando(nueva ventana). Esta semana, recibimos un recordatorio concreto de lo realmente invasivo(nueva ventana) para la privacidad(nueva ventana) que es el omnipresente sistema operativo de Microsoft.

Peter Stokes, un joven de 19 años sospechoso de ser miembro del conocido grupo de piratería informática criminal Scattered Spider(nueva ventana), fue extraditado de Finlandia a los Estados Unidos y acusado de piratear a la “Compañía F, una tienda minorista de joyería de lujo”.

Sin embargo, lo que hace que el caso sea interesante es cómo lo atraparon.

Windows como programa espía

Según la denuncia penal(nueva ventana) del FBI, Stokes utilizó una VPN para ocultar su actividad en línea. Esto se considera ampliamente una opción sensata, ya que una VPN oculta su dirección IP real de los sitios web que visita y su actividad en línea de su PSI. Pero cometió un error de principiante fatal: utilizó Windows.

Las autoridades identificaron a Stokes mediante registros de Microsoft que vinculaban su computadora con el uso sospechoso de ngrok, una herramienta de túnel de desarrollo web que se utilizó para “burlar las defensas de la red de la Compañía F y permitir el acceso no autorizado persistente al centro de datos de la Compañía F”.

Microsoft pudo identificar la computadora de Stokes gracias a su Identificador Global de Dispositivo (GDID, por sus siglas en inglés), un “identificador a nivel de dispositivo diseñado para identificar de forma exclusiva una instalación de un sistema operativo Windows en un dispositivo”.

En otras palabras, cada instalación de Windows tiene un GDID que Microsoft puede utilizar para identificar un dispositivo (incluidos los dispositivos virtuales) y para recopilar telemetría(nueva ventana). Reinstalar Windows crea un nuevo GDID para ese dispositivo, pero no elimina el anterior de los sistemas de Microsoft, por lo que aún se puede utilizar para identificar un dispositivo.

Luego, Microsoft entregó esta información a terceros.

Cómo utilizó el FBI la información proporcionada por Microsoft

Esta evidencia por sí sola no era suficiente para conectar el delito con Stokes, pero conocer el GDID le dio al FBI un historial de direcciones IP a las que su dispositivo había accedido a lo largo del tiempo. Para demostrar que esas IP pertenecían específicamente a Peter Stokes, los investigadores cotejaron este historial de IP con los inicios de sesión de cuentas que se sabía que eran suyas, incluidas Apple, Snapchat, Facebook y su inicio de sesión del juego Growtopia.

Conectar el GDID con cuentas que se sabía que pertenecían a Stokes ayudó a demostrar que el GDID utilizado para piratear a la joyería pertenecía a un dispositivo propiedad de Stokes, según la denuncia.

El hecho de que una de las direcciones IP identificadas de esta manera perteneciera a un hotel de Nueva York que, según los investigadores, coincide con el interior visible en una selfi de Snapchat que muestra a Stokes cubriéndose el rostro con un fajo de billetes de 100 dólares, es poco probable que ayude a su caso.

Selfi incriminatoria del presunto pirata informático

¿Qué significa esto para el resto de nosotros?

Lo primero que hay que destacar es que, en este caso, el sistema funcionó como se esperaba.

Stokes se enfrenta a cargos que incluyen conspiración, intrusión cibernética y delitos de fraude vinculados a más de 100 millones de dólares en pagos de rescatos en más de 100 intrusiones corporativas desde 2022. El uso de datos de Microsoft por parte del FBI se encuadra dentro de los marcos legales que requieren órdenes judiciales y citaciones.

Pero el GDID plantea preguntas importantes sobre el consentimiento del usuario y sobre quién es realmente el propietario del hardware por el que usted paga. Nunca se le pide que acepte el GDID en su dispositivo, y no hay una manera fácil de borrarlo. Incluso reinstalar Windows por completo es solo una solución parcial.

En toda la extensa documentación en línea de Microsoft, GlobalDeviceId merece una sola mención enterrada(nueva ventana) en un documento técnico sumamente oscuro que es poco probable que alguien lea.

Sin embargo, es cierto que todos los demás sistemas operativos comerciales importantes, como macOS, Android e iOS, también pueden, casi con certeza, identificar de forma exclusiva los dispositivos ante sus fabricantes. Lo lamentable es que la mayoría de nosotros simplemente aceptamos esta situación.

Para quienes no lo hacen, la única forma práctica de evitarlo es utilizar sistemas operativos de código abierto, como Linux.