Un joven de 19 años, Peter Stokes, fue arrestado por el Departamento de Justicia de Estados Unidos tras ser vinculado a un ataque de ransomware contra un joyero. Según la documentación judicial, la evidencia que permitió su identificación provino del identificador global de dispositivo (GDID) de Windows, un sistema de telemetría integrado en el sistema operativo de Microsoft. El arresto, que se produjo en el aeropuerto cuando Stokes intentaba salir del país, se suma a la lista de casos donde los datos de telemetría han sido utilizados por las autoridades para rastrear a sospechosos.
El ataque al joyero y la identificación del sospechoso
Según el comunicado del Departamento de Justicia, Stokes está presuntamente vinculado al grupo de hackers Scattered Spider, responsable de más de 100 intrusiones en redes y de exigir más de 100 millones de dólares en rescates. El caso que llevó a su arresto se remonta a mayo de 2025, cuando el grupo llamó al servicio de asistencia técnica de un joyero haciéndose pasar por empleados, y logró convencerlos de que proporcionaran detalles para restablecer contraseñas. Esto les dio acceso a tres cuentas corporativas, desde las cuales solicitaron un rescate de 8 millones de dólares. Aunque el joyero no pagó, el ataque le costó aproximadamente 2 millones de dólares en daños y pérdidas operativas.
A pesar de que Stokes utilizó una red privada virtual (VPN) y un servicio de túnel para ocultar su tráfico, el GDID de Windows registró información sobre el dispositivo que utilizó para llevar a cabo el ataque. Una orden judicial obligó a Microsoft a entregar los datos de telemetría vinculados a ese equipo, lo que permitió a las autoridades establecer una conexión directa entre Stokes y el ataque. Además, la investigación se vio facilitada por las publicaciones en redes sociales del sospechoso, quien presuntamente había compartido fotografías de su estilo de vida en lujosos hoteles a través de Snapchat. En el momento de su detención, Stokes llevaba consigo dos discos duros que contenían pruebas adicionales que lo vinculaban con el crimen.
El debate sobre la privacidad y el uso de GDID
El uso del GDID en este caso ha reavivado el debate sobre la telemetría de Windows y su impacto en la privacidad de los usuarios. El GDID es un identificador único asignado a cada dispositivo que ejecuta Windows, y forma parte del sistema de telemetría que Microsoft utiliza para recopilar datos sobre el rendimiento del sistema y el comportamiento del usuario. Aunque la función es criticada por muchos usuarios y defensores de la privacidad, en este caso permitió a las autoridades identificar a un presunto ciberdelincuente.
La empresa de servicios de privacidad Proton, conocida por su correo electrónico cifrado y su VPN, ha expresado su preocupación por el uso de GDID. Proton ha argumentado que la función plantea interrogantes sobre el consentimiento del usuario y la propiedad del hardware. La compañía señala que la documentación de Microsoft sobre el GDID es escasa y que la mayoría de los usuarios no son conscientes de que sus dispositivos están siendo rastreados de esta manera. Proton recomienda a los usuarios que deseen evitar la telemetría de Windows considerar el cambio a sistemas operativos alternativos como Linux. El caso de Stokes demuestra que, aunque la telemetría puede ser una herramienta útil para las fuerzas del orden, también plantea preocupaciones legítimas sobre la vigilancia masiva y la falta de transparencia en la recopilación de datos.
Fuente: PC Gamer, 9 de julio de 2026
