Publicado: julio 15, 2026, 5:24 am
La detención de un joven hacker de 19 años ha sacado a la luz una función de Windows que muy pocos usuarios conocían. Durante la investigación, el FBI recibió una información de Microsoft que permitió establecer relación directa entre un ordenador y la actividad que había realizado en internet, a pesar de que su propietario utilizó una VPN para ocultar su dirección IP.
La noticia, más allá del supuesto caso, ha puesto el foco sobre el funcionamiento de este sistema y hasta dónde puede llegar el seguimiento que realiza Microsoft.
Así descubrió el FBI a un hacker gracias a una función oculta de Windows
Peter Stokes, de nacionalidad estadounidense y estonia, fue arrestado en Helsinki durante el pasado mes de abril cuando intentaba subir un vuelo con destino a Japón. Según explican desde PCmag, Estados Unidos lo acusa de conspiración, intrusión informática y fraude por una presunta participación en el ataque a una joyería de lujo del país americano en mayo de 2025.
Tal y como refleja la acusación, habría conseguido acceder a la red de la empresa para saltarse sus medidas de seguridad y preparar el robo de información utilizando herramientas de acceso remoto.
Cuentan que Stokes utilizó una VPN durante el ataque para modificar y ocultar su dirección IP, pero los investigadores lograron seguir su rastro gracias a un identificador global de dispositivo, más conocido como GDID, cuyos registros fueron utilizados por Microsoft.
Explican que el identificador permitió relacionar su instalación de Windows con visitas a páginas concretas de ngrok, una plataforma que permite crear conexiones seguras para acceder a equipos de forma remota.
¿Qué es el GDID de Microsoft y por qué es clave en el caso?
El tema es que el GDID es un identificador único que Microsoft asigna de forma automática a cada instalación de Windows. La documentación judicial del caso asegura que se mantiene igual aunque el sistema operativo se actualice y sirve para identificar una instalación concreta de Windows en determinados servicios y escenarios de Microsoft, tanto en ordenadores físicos como en máquinas virtuales.
Sin embargo, lo que más ha llamado la atención es que los documentos indican que el GDID parece servir para algo más que solo para identificar un ordenador dentro de los propios servicios de Microsoft.
Esto quiere decir que la compañía puede asociar a una instalación concreta de Windows con el acceso a determinados sitios web o servicios, incluso si el usuario está utilizando una VPN. Aplicándolo a este caso en concreto, significa que la compañía pudo relacionar este identificador con la actividad que Peter tuvo en servicios de otras empresas como ngrok.
Gracias a estos registros, los investigadores pudieron demostrar que el mismo ordenador había accedido a determinadas páginas web en momentos concretos, lo que permitió reconstruir la actividad que el hacker había tenido a pesar de utilizar una VPN para ocultar su dirección IP.
El equilibrio entre la privacidad e investigación de delitos
La documentación también recoge que el identificador no puede desactivarse con una opción dentro de Windows y que sigue siendo el mismo a pesar de que el sistema se actualice. El único caso en que cambia es al reinstalar Windows desde cero, ya que la nueva instalación genera un GDID diferente.
Eso sí, Microsoft apenas menciona este identificador en su documentación pública y no explica cómo funciona fuera de este caso. Lo que está claro es que la investigación plantea la duda de hasta qué punto la compañía es capaz de seguir la actividad de un ordenador con Windows y cuál es el equilibrio entre utilizar estas herramientas para investigar delitos y la privacidad de los usuarios.
