¿Tu PC te delata? El identificador oculto de Windows que derribó a un hacker de Scattered Spider
Muchos usuarios y ciberdelincuentes operan bajo la premisa de que una VPN es un escudo impenetrable de anonimato. Se cree que, al ocultar la dirección IP, la identidad queda resguardada tras un túnel cifrado. Sin embargo, el reciente arresto de Peter Stokes, un joven de 19 años conocido en el submundo del hacking como "Bouquet", "Spencer" o "Jordan", ha echado por tierra este mito de la invisibilidad digital. Stokes, vinculado al temido grupo Scattered Spider (también rastreado como Octo Tempest o UNC3944), fue capturado en Finlandia el 10 de abril de 2026 mientras intentaba abordar un vuelo hacia Japón. Al momento de su detención, cargaba con dos discos duros de dos terabytes cada uno, un botín técnico que no pudo protegerlo. La clave de su caída no estuvo en un error de su red, sino en un identificador persistente de Microsoft que envió telemetría silenciosa desde su propia computadora.
El "GDID": La huella digital que no sabías que tenías
En el corazón de este caso se encuentra el Global Device ID (GDID), un identificador persistente que actúa como una huella digital única para cada instalación de Windows. A diferencia de una dirección IP, que puede cambiar con cada conexión, o una cookie, que puede ser eliminada, el GDID está diseñado para identificar de forma unívoca el dispositivo a nivel de hardware o entorno virtual.
La denuncia federal que llevó al arresto define este componente de la siguiente manera:
"Según un representante de Microsoft, un ID Global de Dispositivo en el ecosistema de Windows es un identificador persistente a nivel de dispositivo, diseñado para identificar de forma única una instalación del sistema operativo Windows en un dispositivo, ya sea físico (por ejemplo, un teléfono móvil o un portátil) o virtual, en determinados servicios y escenarios de Microsoft".
Desde una perspectiva analítica, este identificador es sustancialmente más peligroso para la privacidad que las herramientas de rastreo convencionales. El GDID se mantiene constante incluso tras las actualizaciones del sistema operativo. De hecho, existe una ironía técnica en su propósito original: Microsoft lo utiliza para la verificación de licencias y el diagnóstico del sistema. Es precisamente este ID el que provoca que, al cambiar componentes críticos de hardware, Windows pierda su activación. Lo que nació como una herramienta de gestión de activos se ha transformado en un faro de rastreo ineludible que incrusta la identidad del dispositivo en cada paquete de telemetría enviado al fabricante.
La VPN no es suficiente: El error táctico de Stokes
En mayo de 2025, Stokes presuntamente atacó a una joyería de lujo, logrando exfiltrar al menos 77 GB de datos mediante herramientas como https://t.co/Emta4Dbdmi y Amazon S3. El ataque incluyó una demanda de extorsión de 8 millones de dólares y causó pérdidas de al menos 2 millones de dólares a la empresa por interrupción de negocio. Para blindar su seguridad operativa (OPSEC), el atacante utilizó un proxy VPN de la empresa Tzulo.
Sin embargo, la capa de red no pudo ocultar la huella digital del sistema operativo. El FBI obtuvo registros de Microsoft que revelaron una coincidencia fatal: el 12 de mayo de 2025, exactamente a las 19:21 UTC, la computadora de Stokes —identificada por su GDID— accedió a la página de registro de la herramienta ngrok (https://t.co/EF2gj0IZJd) para crear una cuenta. Al mismo tiempo, los registros mostraban que ese mismo GDID navegaba por el sitio web de la joyería víctima utilizando la IP 68.235.46.168, el proxy de Tzulo.
Este caso evidencia una falla crítica en la OPSEC de alto nivel: la falsa sensación de seguridad que ofrecen las capas de red (VPN/Proxies) se desvanece cuando el sistema operativo subyacente continúa enviando datos identificables directamente a los servidores de la infraestructura central.
El puente entre lo criminal y lo cotidiano
La verdadera potencia del GDID para las fuerzas de la ley radica en su capacidad para unificar una identidad digital supuestamente fragmentada. El FBI no se limitó a vincular el ID con el ataque; utilizó el historial de direcciones IP asociadas a ese GDID para conectar la actividad criminal con la vida personal del sospechoso, tendiendo un puente entre sus alias y su identidad real.
A través de este identificador, los investigadores correlacionaron la PC de Stokes con sus cuentas personales en Apple, Snapchat, Facebook e incluso un inicio de sesión en el juego Ubisoft/Growtopia. La precisión fue quirúrgica: el mismo identificador que se encontraba en la escena del crimen digital aparecía geolocalizado en Tallín (Estonia), Nueva York y Tailandia. El FBI cruzó estos datos con los registros de viaje del Departamento de Estado y las publicaciones de Stokes en redes sociales desde hoteles de lujo, confirmando que el dispositivo y el sospechoso se movían siempre en tándem. Es la ironía definitiva de la era moderna: el mismo ID que valida tu copia de Windows es el que entrega tu ubicación exacta a las autoridades.
El dilema de la privacidad: Sin botón de "apagado"
Para el usuario consciente de su privacidad, el GDID representa un muro difícil de escalar. Actualmente, no existe una opción oficial o un "mecanismo de exclusión" (opt-out) en los ajustes de configuración de Windows para desactivar este identificador. Según los documentos judiciales, la persistencia del GDID es tal que solo una reinstalación completa del sistema operativo genera un nuevo ID único.
Microsoft no ofrece transparencia específica sobre cuándo o bajo qué criterios comparte estos datos de GDID con las fuerzas del orden, ni incluye estas divulgaciones en sus informes de transparencia habituales. Ante este vacío, la comunidad técnica ha recurrido a herramientas de terceros para intentar mitigar la telemetría y el rastreo silencioso. Algunas de las más utilizadas por entusiastas de la privacidad incluyen:
Win11Debloat / WinDebloat
O&O ShutUp10++
WPD
Privatezilla
DoNotSpy
MajorPrivacy
WinTenPrivacy
BlackBird
Estas utilidades permiten bloquear servicios de diagnóstico y conexiones automáticas, pero incluso con ellas, la erradicación total de identificadores a nivel de kernel sigue siendo un desafío para cualquier experto en seguridad.
Conclusión: Hacia una nueva definición de vigilancia
El caso de Peter Stokes marca un precedente sobre cómo los identificadores de software están redefiniendo la vigilancia digital. Lo que para el usuario promedio es una función invisible de mantenimiento de licencia, para las agencias de inteligencia se ha convertido en el rastro definitivo para localizar objetivos que, de otro modo, serían invisibles tras capas de cifrado y proxies.
Este escenario nos obliga a cuestionar el equilibrio entre la seguridad pública —fundamental para desmantelar grupos que exfiltran terabytes de información sensible— y el derecho a la privacidad individual frente a un sistema que rastrea cada movimiento sin ofrecer un interruptor de "pausa" claro.
¿Es el sistema operativo que usas cada día tu herramienta de trabajo o el testigo silencioso de cada uno de tus movimientos?
🟥 Vodafone y 🟦 Telefónica resucitan las 📶 SIM prepago "anónimas" casi 20 años después de su prohibición por el 11M, gracias a un truco legal
👇
https://t.co/3d1LMw5NBc
Mobile Forensics - ALEAPP for Android Investigations
Mobile forensics is a deeply powerful tool when investigating crimes. A single smartphone can hold evidence that helps reconstruct what happened. Tools like ALEAPP can parse all of that data into meaningful and structured reports.
In this article we performed a logical extraction, processed artifacts with ALEAPP and correlated recent activity to reconstruct a timeline that identifies persons of interest and next steps for investigators
https://t.co/ps9veA9Huo
@three_cube@_aircorridor
🇪🇸 Alleged Sale of Access to Spain's DGT IoT Infrastructure Advertised on Cybercrime Forum
A threat actor is advertising alleged access to IoT information panels associated with Spain's Dirección General de Tráfico (DGT), claiming the primary affected location is Barcelona.
* The actor claims to offer RCE/root access, administrative panel access, and full source code.
* The post alleges access to 38 IoT devices using DGT+, DGT, and NTCIP protocols.
* According to the advertisement, connected infrastructure includes traffic information panels, routers, traffic cameras, and SMS/message sign systems.
* The actor is requesting $7,000 for the alleged access.
* At the time of writing, these claims have not been independently verified.
Analyst Note: Access to intelligent transportation systems could enable unauthorized manipulation of roadside message signs and operational infrastructure. Organizations responsible for critical transportation networks should treat such claims seriously and investigate for potential compromise while awaiting official confirmation.
#DDW #DarkWeb #Intelligence #Spain
🌐 "Ciberseguridad e IA", Historia y evolución de la IA - Charla 205 - Aprendiendo Ciberseguridad paso a paso: https://t.co/2qfWCihih2
🔐 Bienvenido a una nueva entrega de Aprendiendo Ciberseguridad paso a paso dentro de la serie Ciberseguridad e IA.
Ubiquiti revela 25 vulnerabilidades de seguridad en el ecosistema UniFi
Ubiquiti ha revelado 25 vulnerabilidades de seguridad que afectan a su ecosistema UniFi en el Boletín de Aviso de Seguridad 066
https://t.co/sNoZ1SawpI
Ya disponible distro hacking ético Parrot 7.3 con paquetes optimizados y herramientas actualizadas
Parrot Security ha lanzado Parrot OS 7.3 , una actualización centrada en optimizaciones a nivel de sistema, herramientas de seguridad
https://t.co/9R5BqcbMYq
El ransomware The Gentlemen usa 21 técnicas de ejecución remota para cifrar redes enteras
Ha surgido una nueva cepa de ransomware llamada The Gentlemen , considerada una de las amenazas más agresivas de este año
https://t.co/dTgMOVlvsC
All listed SOC certifications are free:🚨
1. Coursera - Security Operations Center (SOC) Fundamentals
https://t.co/Cu2xTTe5L8
2. Cisco SOC Analyst (CCST)
https://t.co/TpP1F5VbhE
3. TryHackMe SOC Level 1
https://t.co/4wN5iTMnvA
4. LetsDefend SOC Analyst Path
https://t.co/7Ahg2Inw9S
5. Splunk Fundamentals 1 (SOC focus)
https://t.co/FZylUvOzPW
Each program provides free training and an official certificate or badge at no cost.
🔴 Metasploit Framework — The Ultimate Penetration Testing Platform
Metasploit is one of the most widely used frameworks for security validation, helping professionals identify, verify, and understand vulnerabilities in authorized environments. It's an essential tool for penetration testers, security researchers, and Red Team professionals.
💬 Comment "MSF" if you want the complete Metasploit guide! 🚀
#Metasploit #CyberSecurity #EthicalHacking #InfoSec #PenTesting #KaliLinux
🚨 ¡BOMBAZO QUE ESTÁ ROMPIENDO INTERNET!
Microsoft entregó al FBI la “huella digital imposible de borrar” de Windows y cazaron a Peter Stokes “Bouquet” de Scattered Spider 😱
Documentos judiciales recién filtrados confirman que el gigante de Redmond ayudó al FBI a identificar al hacker usando el GDID (Identificador Global de Dispositivo de Windows).
Este código único se genera con cada instalación de Windows y no se puede cambiar aunque uses VPN, borres todo o cambies de cuenta. Es como un tatuaje digital permanente en tu PC.
Con ese GDID el FBI accedió a:
• Todo tu historial de IPs
• Cada página que visitaste
• Los juegos que jugabas y cuánto tiempo
• Las cuentas sociales abiertas (Snapchat, Facebook, Apple…)
El error fatal del hacker: creó la cuenta ngrok que usó para el ataque a Tiffany & Co. en mayo 2025 con VPN… pero desde el mismo Windows con el mismo GDID.
Aunque la IP terminaba en .168 (VPN), los registros de Microsoft mostraron que el GDID 6755467234350028 entró exactamente en el momento de crear la cuenta. ¡Fin del anonimato!
Ni VPN, ni Tor, ni nada: si usas Windows normal, tu dispositivo tiene una etiqueta que las grandes tecnológicas pueden entregar cuando las autoridades lo piden.
¿Sigues pensando que estás “seguro” solo con VPN? Comenta “NO” si te dejó helado 👇
Like si quieres más leaks y actualizaciones de ciberseguridad 🔥 Sígueme para no perderte la próxima.
Digital Forensics - Finding Insider Threats with NTUSER.DAT
NTUSER.DAT is one of the most valuable forensic artifacts on Windows systems, capturing a detailed history of a user's activity.
In our article, we show what valuable information you can extract from it to reconstruct a user's actions on their computer. It's an incredibly useful artifact for digital forensics and insider threat investigations
https://t.co/a1ioFuMR7F
@three_cube@_aircorridor
ALGUIEN CREO UNA APP QUE TE MUESTRA TODAS LAS CONEXIONES OCULTAS QUE TU PC ESTA HACIENDO EN TIEMPO REAL
tu computadora se la pasa hablando con internet a tus espaldas todo el dia
aplicaciones y rastreadores envian y reciben datos que jamas vas a notar
este programa convierte todo ese trafico invisible en un mapa visual en vivo
renderiza tu red como una ciudad en tres dimensiones donde cada conexion es un auto cruzando una autopista virtual
puedes ver exactamente que aplicacion esta consumiendo tu internet y rastrear la direccion exacta a la que se comunica
si encuentras un proceso extraño robando datos puedes bloquearlo con un solo clic a nivel del nucleo del sistema
el proyecto se llama cybershield y es una alternativa de codigo abierto que mantiene todo local y gratis
la verdadera privacidad empieza cuando por fin puedes ver hacia donde se escapa tu informacion.
Desactivan Defender, Sysmon y WAF antes de robar credenciales con Mimikatz
Un actor de amenazas ha implementado una técnica alarmante para cegar a los equipos de seguridad antes de robar contraseñas
https://t.co/AVFqoPQy7J