Noticias
GDID de Windows 11: el rastreador que no podés borrar y que el FBI usó para cazar a un hacker
El GDID de Windows 11 es un identificador permanente que tu PC lleva puesto y que no podés borrar desde ninguna configuración — y el mundo se enteró de que existe porque un expediente del FBI mostró cómo sirvió para rastrear a un presunto hacker de Scattered Spider a través de VPNs y tres países. Su infraestructura se remontaría a Windows 10, allá por 2015. Nadie te preguntó.
En esta nota:
- Qué es el GDID (y por qué no lo podés borrar)
- El expediente que lo destapó: la cacería de Scattered Spider
- El episodio del podcast que encendió la mecha
- ¿Y en Apple o Android? La tabla que duele
- Qué dice la comunidad
- ¿Y esto qué significa para vos?
- Preguntas frecuentes
La historia se conoció por capas: un podcast de investigadores de seguridad encontró el dato «enterrado en la página nueve» de un expediente judicial, un análisis técnico lo destripó en GitHub, y medios como The Register y Windows Latest lo llevaron al gran público. Lo notable: el identificador figura desde hace años en la propia documentación de Microsoft, descrito con una sola frase: «identificador global de dispositivo de Microsoft, usado internamente por Microsoft». Hasta ahora, nadie sabía qué tan literal era ese «usado internamente».
Qué es el GDID de Windows 11 (y por qué no lo podés borrar)
GDID es la sigla de Global Device Identifier: un número único por instalación de Windows que, según el análisis técnico publicado en GitHub, no se calcula en tu PC — te lo asigna el servidor de Microsoft (login.live.com) cuando el sistema se registra, y queda guardado en el registro de Windows, legible sin permisos de administrador. De ahí en más, viaja con la telemetría del sistema: la plataforma de dispositivos conectados lo registra y el servicio de Delivery Optimization lo reporta a Microsoft junto a datos como ciudad aproximada, país y proveedor de internet — todo documentado en las tablas oficiales de Microsoft Learn.
| Dato | Detalle |
|---|---|
| Qué es | «Un identificador persistente a nivel de dispositivo, diseñado para identificar de forma única una instalación de Windows» (definición de Microsoft en el expediente, vía PCMag) |
| Desde cuándo | Su infraestructura se remontaría al lanzamiento de Windows 10 (2015), según The Register; casi sin documentación pública durante años |
| Dónde vive | En el registro de Windows (clave IdentityCRL) y en los reportes de telemetría como «GlobalDeviceId» |
| ¿Sobrevive updates? | Sí. Reinstalar Windows genera uno NUEVO — pero al volver a iniciar sesión con la misma cuenta Microsoft puede religarse a tu actividad anterior, y el viejo no se borra de los sistemas de Microsoft |
| ¿Se puede apagar? | No hay interruptor. Se puede LIMITAR lo que viaja con él (ver la sección final) — apagarlo del todo, no |
| ¿Te avisaron? | Ese es el punto: sin pantalla de consentimiento, sin botón de reset. El «guiño» es que ni la doc oficial le dedica más de una frase |
Un matiz técnico importante que aportó la comunidad: aunque reinstalar Windows te dé un GDID nuevo, la telemetría también incluye el hardware hash del equipo (número de serie, CPU, TPM), que sobrevive reinstalaciones y hasta cambios de piezas. Cambiar de matrícula no te cambia el auto.
El expediente que lo destapó: la cacería de Scattered Spider
Todo salió a la luz por el caso de Peter Stokes, un joven de 19 años con doble ciudadanía estadounidense-estonia, presunto miembro de Scattered Spider — el grupo detrás de los ataques a MGM y Caesars en Las Vegas. Según el anuncio del Departamento de Justicia (reproducido íntegro por un medio local — justice.gov bloquea lectores automáticos), se lo acusa por el ataque de mayo de 2025 a una joyería de lujo: exigieron unos US$ 8 millones en cripto (la empresa no pagó y perdió al menos US$ 2 millones en limpieza e investigación).
La parte que cambió la conversación mundial está en el affidavit del agente del FBI Ali Sadiq: los investigadores obtuvieron por orden judicial los registros de una cuenta de ngrok creada detrás de un proxy VPN — y Microsoft aportó que un GDID específico estuvo activo en el minuto exacto en que se creó esa cuenta. Con ese número, la reconstrucción fue quirúrgica:
| Fecha | Qué pasó |
|---|---|
| Mayo 2025 | Ataque a la joyería: vishing al help desk, 3 cuentas comprometidas (2 admin), 77 GB exfiltrados — Cybersecurity News |
| 12-may-2025, 19:21 UTC | Se crea la cuenta de ngrok tras un proxy de Tzulo (hosteado en Illinois según Cybersecurity News — de ahí la jurisdicción). El GDID del equipo de Stokes visita la página de registro en ese minuto exacto — The Register |
| 2024-2025 | El mismo GDID aparece en IPs de Tallin, Nueva York y Tailandia, cruzado con logins de Snapchat, Facebook y Apple a minutos de distancia (iTnews) — viajes corroborados con registros del Departamento de Estado, según IT-Connect |
| Abril 2026 | Arresto en el aeropuerto de Helsinki cuando intentaba volar a Japón, con dos discos de 2 TB encima — IT-Connect |
| Junio-julio 2026 | Extradición a EE.UU., comparecencia en Chicago (30-jun) y expediente de 39 páginas hecho público — ahí el mundo conoció el GDID |
El error operacional del acusado, señalado por BornCity: usó el mismo equipo — el mismo GDID — para el delito y para sus cuentas personales. La VPN tapaba la IP; el identificador del sistema operativo viajaba igual.
El episodio del podcast que encendió la mecha
Antes que cualquier medio, el hallazgo lo contaron los investigadores del podcast Three Buddy Problem (entre ellos Costin Raiu, ex jefe de investigación de Kaspersky) — cobertura de terceros, en inglés:
¿Y en Apple o Android? La tabla que duele
La comparación con el resto de la industria es lo que vuelve incómodo al GDID. Los identificadores de publicidad de Apple y Android tienen reglas claras y control del usuario; el GDID, ninguna — ni siquiera es el mismo animal que el «ID de publicidad» de Windows (ese sí se apaga en Configuración):
| Identificador | ¿Pide permiso? | ¿Se resetea/borra? | Fuente |
|---|---|---|---|
| Apple IDFA (iOS 14.5+) | Sí, obligatorio (App Tracking Transparency); sin permiso, el ID devuelve solo ceros | Se desactiva por app o global | Apple (oficial) |
| Android Advertising ID | Configurable | Reseteable Y borrable; borrado devuelve ceros | Google (oficial) |
| Windows advertising ID | Se genera automáticamente, sin prompt de permiso | Se apaga en Configuración > Privacidad | Microsoft (oficial) |
| Windows GDID | No — sin aviso ni consentimiento | No — sin interruptor ni reset (reinstalar genera uno nuevo, religable a tu actividad al reingresar tu cuenta) | Microsoft Learn + expediente |
Qué dice la comunidad: del «te lo dijimos» al matiz del insider
La conversación técnica arrancó en Hacker News días antes de que los medios masivos la levantaran (el hilo del análisis técnico juntó 87 puntos). La reacción más citada es la del escepticismo sobre el propósito:
[…] Pudieron rastrear al hacker vía su GDID, un identificador estable que el uso de VPN no altera. Esta vigilancia seguramente va a expandirse con la verificación de edad. Personalmente, no le veo casi ningún uso legítimo a esta telemetría: solo parece útil para rastrear usuarios con fines policiales o de publicidad dirigida.stackghost en Hacker News — ver comentario (traducido)
El matiz más valioso lo dio un ex ingeniero del núcleo de Windows, hablando en primera persona:
[…] Conozco estos IDs globales porque trabajé con el sistema de telemetría en el núcleo de Windows, en Microsoft. Teníamos políticas estrictas sobre cómo y cuándo acceder a los datos de un dispositivo identificado por su ID global. Pero al final, esas políticas terminan teniendo una excepción por «orden judicial o gubernamental» en la práctica, aunque no en la teoría […]hyperrail, ex ingeniero de Microsoft, en Hacker News — ver comentario (traducido)
Y la sentencia más lapidaria vino de un investigador de seguridad conocido:
Microsoft Windows es software de vigilancia.Matthew Hickey, investigador de seguridad — vía PCMag (traducido)
Del lado del contexto: el mismo ex ingeniero recordó que el ID es visible desde hace años en el Feedback Hub de Windows, y Douglas Crawford (Proton) resumió el problema de fondo: «nunca se te pide aceptar el GDID, y no hay forma fácil de quitarlo». También hay quienes piden bajar la espuma: los datos solo llegan a un tribunal con orden judicial de por medio — como pasó, de hecho, en este caso.
¿Y esto qué significa para vos?
Primero, bajemos un cambio: el GDID no es un keylogger ni lee tus archivos — es una matrícula. El problema es que es una matrícula sin opción de baja que viaja con metadatos (qué visita tu equipo vía servicios de Microsoft, desde qué país, con qué ISP). Si valorás tu privacidad, lo que SÍ podés hacer hoy — pasos que recopiló Windows Latest — es reducir lo que viaja con él:
- Usá cuenta local en vez de cuenta Microsoft: reduce cuánto de tu identidad queda atado al identificador. Ojo con el matiz: el propio análisis técnico se corrigió y documenta que un GDID existe incluso sin cuenta Microsoft — la cuenta local limita el daño, no lo evita.
- Apagá los datos de diagnóstico opcionales: Configuración > Privacidad y seguridad > Diagnósticos y comentarios.
- Desactivá el ID de publicidad — ese sí tiene interruptor (en builds recientes: Privacidad y seguridad > Recomendaciones y ofertas; en anteriores: > General).
- Apagá la búsqueda en la nube (Privacidad y seguridad > Buscar) para que las búsquedas locales no viajen a Bing.
¿Y el techo de cada edición de Windows? La documentación oficial es clara — y conviene saberla antes de pelearse con la Configuración:
| Edición | Control de telemetría |
|---|---|
| Windows 11 Home | Solo lo que ofrece Configuración (apagar los datos opcionales); sin directivas de grupo |
| Windows 11 Pro | Lo mismo + directivas de grupo (gpedit): fijás los datos de diagnóstico en el mínimo por política y bloqueás que una app o un update lo vuelvan a subir |
| Enterprise / Education | Las únicas ediciones de escritorio (junto a Windows Server) donde existe «Diagnostic data off» (telemetría en cero) — doc oficial de Microsoft |
Honestidad total: ni siquiera Pro llega a telemetría cero — eso es territorio Enterprise. Pero si después de leer esta nota querés el máximo control que un usuario de escritorio puede tener, la diferencia la hace la edición: una licencia original de Windows 11 Pro suma las directivas de grupo para fijar la telemetría en el mínimo y bloquear que nada la vuelva a subir — el control que Home simplemente no tiene.
Preguntas frecuentes sobre el GDID
¿Qué es el GDID de Windows?
Es el «Global Device Identifier»: un número único por instalación de Windows, asignado por los servidores de Microsoft y reportado con la telemetría del sistema. Microsoft lo describe en su documentación como un identificador «usado internamente», y confirmó a The Register que existe desde Windows 10, en 2015.
¿Se puede desactivar el GDID?
No hay ningún interruptor para apagarlo. Reinstalar Windows genera un GDID nuevo, pero al iniciar sesión con la misma cuenta Microsoft puede religarse a tu actividad anterior — y la telemetría incluye además un hash del hardware que sobrevive reinstalaciones. Solo se puede limitar cuánta información viaja junto al identificador.
¿Una VPN me protege del GDID?
No. La VPN enmascara tu dirección IP, pero el GDID viaja dentro de la telemetría del propio sistema operativo hacia los servidores de Microsoft — por fuera de lo que el túnel VPN controla. Exactamente así reconstruyó el FBI la actividad del acusado en el caso Scattered Spider, pese a sus proxies.
¿El GDID significa que Microsoft espía todo lo que hago?
No es un keylogger: es un identificador estable que se cruza con metadatos de telemetría y servicios de Microsoft. El riesgo señalado por los investigadores es la correlación: un número fijo que une tu actividad a través de redes, países y años. El acceso policial a esos datos, eso sí, requiere orden judicial — como ocurrió en este caso.
🛒 Te puede servir
¿Paranoia justificada o tormenta en un vaso de telemetría? Debate abajo ⬇️
Tomá el control con Windows 11 Pro original →