Windows: El GDID Expuesto

CiberSeguridad 12 de jul. de 2026

Aunque el blog se centra en GNU/Linux y sobre todo en Debian, algunas veces tratamos cosas relacionadas con Windows, para que los lectores entiendan el porqué no es un sistema operativo de nuestro agrado, sepan todo lo que sucede por debajo de su windows.
De esa manera son usuarios informados y pueden escoger con conocimiento que sistema operativo usar.

Microsoft ha confirmado la existencia de un identificador oculto en Windows


La noticia ha sido que esta información ha salido a la luz hace nada en julio de 2026 a raíz de un documento judicial de la fiscalía estadounidense y el FBI en un caso contra un presunto miembro del grupo de ciberdelincuencia Scattered Spider.

La revelación del Global Device Identifier (GDID) ha generado bastante revuelo en la comunidad de ciberseguridad y privacidad por varias razones clave:

  • Rastreo persistente: Al ser un identificador a nivel de sistema operativo que sobrevive a las actualizaciones, el FBI pudo vincular la actividad del sospechoso a pesar de que este cambiaba constantemente de dirección IP utilizando distintas VPN y servidores proxy. La IP cambiaba, pero el GDID enviado a los servicios de Microsoft seguía siendo el mismo.
  • Sin opción de apagado: A diferencia de otros identificadores (como los de publicidad en Android o iOS, que se pueden restablecer o desactivar), el GDID no cuenta con un interruptor en los ajustes de privacidad para el usuario común, ya que está profundamente ligado a funciones estructurales como Windows Update, la activación de la licencia y la Microsoft Store.
  • Cuándo cambia: Según la documentación técnica, este identificador específico (g:identificador_numérico) solo se genera de nuevo si se realiza una reinstalación limpia desde cero del sistema operativo.

Esta dependencia de la telemetría y los identificadores cerrados es precisamente uno de los motivos por los cuales muchos usuarios que priorizan el control total de su privacidad y el anonimato prefieren mantenerse alejados de sistemas operativos comerciales y optan por alternativas de código abierto.

¿Es posible modificarlo, borrarlo o restaurarlo?

Seguramente la pregunta que se haga un usuario de windows sea:

¿En que parte de Windows se instala?
¿Es posible modificarlo temporalmente, o borrarlo y luego restaurarlo?

El GDID (Global Device Identifier) no es un "programa" que se instale en una carpeta visible, sino una cadena de caracteres alfanuméricos (un token o identificador) que el propio Windows genera durante la instalación.

Según los análisis técnicos y forenses derivados del caso judicial, este identificador se almacena en el Registro de Windows, principalmente bajo la clave:

HKEY_CURRENT_USER\Software\Microsoft\IdentityCRL\ExtendedProperties (bajo la etiqueta LID) o en rutas asociadas a servicios de telemetría y publicidad como IrisService (etiquetado explícitamente como GLOBALDEVICEID con el prefijo g:).

El componente encargado de gestionar y transmitir este identificador a los servidores de Microsoft es el servicio DiagTrack (Servicio de respuestas y experiencias del usuario conectado), que es la columna vertebral de la telemetría en Windows.

Aquí es donde radica la polémica que ha alarmado a los expertos en privacidad: no de forma sencilla ni garantizada.

  • Si lo borras o modificas en el Registro: Al ser un identificador estructural vinculado a componentes críticos (como Windows Update, la verificación de la licencia del sistema y la Microsoft Store), si alteras o eliminas la clave del registro manualmente, el sistema operativo o los servicios de Microsoft lo regenerarán automáticamente la próxima vez que se conecten a internet.
  • No hay un "conmutador" de apagado: A diferencia de la ID de publicidad, no existe un botón en la configuración de privacidad de Windows para desactivar el GDID.
  • El riesgo de la "huella digital": Aunque lograras congelar o modificar el valor de forma local mediante scripts avanzados o modificando permisos del registro (SYSTEM), el verdadero problema es que Microsoft ya tiene registrado tu GDID anterior en sus servidores junto con el historial de IPs desde las que te has conectado. Cambiarlo localmente "en caliente" podría provocar que los servidores de Microsoft lo detecten como una anomalía, afectando potencialmente a la validación de tu licencia de Windows.

La única forma real de cambiarlo

Tal como detalló Microsoft ante el tribunal, la única manera oficial en que el GDID cambia es realizando una reinstalación limpia (desde cero) de Windows.
Al formatear el disco e instalar el sistema operativo de nuevo, se genera un GDID completamente nuevo.

Sin embargo, los investigadores de privacidad recalcan que esto solo "resetea" el identificador de cara al futuro; los registros de tu GDID antiguo permanecen almacenados en las bases de datos de la compañía.

Que opciones tiene un usuario para ser anónimo al usar Windows

Las opciones que se pueden usar pasan por técnicas avanzadas de compartimentación y evasión de telemetría.
Como el GDID está ligado al sistema operativo instalado, la clave para evitar el rastreo persistente a largo plazo es evitar la persistencia del propio sistema.

Algunas opciones viables para mitigar este rastreo podrían ser:

1. Máquinas Virtuales (VMs) de un solo uso (VirtualBox, VMware, QEMU/KVM)

Efectividad: Muy alta.

Esta es una de las estrategias más sólidas. Si configuras una máquina virtual con Windows, el sistema generará un GDID único para esa instalación.

  • La estrategia correcta: En lugar de crear la VM desde cero cada vez (lo cual es lento), se puede instalar Windows una vez en la VM, no conectarla a internet, y crear una Instantánea (Snapshot) o plantilla "limpia".
  • El flujo de trabajo: Cada vez que necesites usar Windows, inicias la VM desde ese estado limpio, realizas la tarea y, al terminar, reviertes la máquina al snapshot inicial o eliminas el disco virtual. Al hacer esto, cualquier GDID que se haya asociado a tus tareas o IPs durante esa sesión desaparece por completo en la siguiente sesión, ya que vuelves al estado original donde el identificador aún no se había vinculado a tu actividad en red.

2. Contenedores de Windows de un solo uso

Efectividad: Media-Alta (pero con limitaciones severas).

Usar contenedores de Windows (a través de Docker en entornos Windows Server o mediante proyectos comunitarios que corren sobre Linux usando KVM de fondo) es excelente para la volatilidad: el contenedor se destruye y el GDID muere con él.

Puedes ver como hacerlo ya que lo explicamos en uno de nuestros artículos de SoloConLinux, en el artículo te describo un método para automatizar el despliegue de Windows.
El proyecto que utiliza por debajo (la imagen dockurr/windows)

Windows 11 en Docker
Como disponer de Windows 11 en Docker Sólo necesitas tener en tu Linux instalador docker y docker compose Sal a la terminal y crea el directorio carpeta-windows Luego crea el fichero docker-compose.yaml y simplemente copia en él lo siguiente: services: windows: image: dockurr/windows container_name: windows
  • El problema: Si usamos esta opción unicamente para ejecutar Windows virtualizado dentro de Docker en Linux, hay que tener cuidado de no hacer lo mismo que en el punto 1 (QEMU/KVM camuflado en un contenedor).

Bajo el capó, este contenedor no utiliza "contenedores nativos de Windows". Lo que hace es aprovechar que estás en Debian para lanzar una máquina virtual QEMU/KVM optimizada que corre dentro del aislamiento de un contenedor Docker. Al mapear /dev/kvm, el rendimiento de la CPU es prácticamente nativo. El acceso mediante RDP (usando clientes como Remmina) o a través del puerto 8006 en el navegador web (mediante un visor VNC/noVNC integrado) te da el escritorio completo con fluidez.

Volviendo al problema del GDID y el rastreo, usar este contenedor de esta manera específica te ofrece un ecosistema perfecto para la privacidad de un solo uso, pero tienes que configurarlo con cuidado para no arruinar el anonimato.

Si sigues el tutorial tal cual te dejo en el artículo, la primera vez que ejecutas docker-compose up, el contenedor descarga la ISO oficial de Microsoft, arranca e instala Windows de forma desatendida en el volumen persistente asignado (/home/<tu-usuario>/carpeta-windows:/data). En ese momento exacto se genera un GDID.

Si quieres usar este método como un sistema "antirrastreo de un solo uso", debemos ajustar el flujo de trabajo para romper la persistencia de ese identificador:

Cómo usar este Docker de forma volátil (antirrastreo total)

Si dejas que el contenedor guarde los cambios en la carpeta /data, el GDID se quedará grabado en el disco duro virtual dentro de tu directorio Home. Cada vez que inicies el contenedor, se enviará el mismo identificador. Para evitarlo y lograr que sea de un solo uso, tienes dos opciones:

Opción A: El método de la plantilla (Recomendado si necesitas velocidad)

Instalar Windows desde cero cada vez tarda unos minutos. Para evitar la espera pero mantener el anonimato:

  1. Levanta el contenedor por primera vez y dejar que se instale Windows por completo.
  2. Configura el sistema a tu gusto (instala los programas que necesites, etc.) sin conectarte a tus cuentas personales ni a internet.
  3. Detén el contenedor con docker-compose down.
  4. Vete a tu directorio /home/<tu-usuario>/carpeta-windows y haz una copia de seguridad de esa carpeta (por ejemplo, llámala carpeta-windows-limpia). Este será tu molde original.
  5. Cada vez que vayas a usar Windows para una tarea delicada o anónima, borra la carpeta de trabajo activa y restaura una copia fresca de tu molde limpio. Al arrancar, el Windows tendrá un GDID base que nunca ha salido a internet asociado a ninguna IP real. Haces tus tareas, y al apagar el contenedor, vuelves a borrar la carpeta.

Opción B: Forzar la reinstalación desatendida automática

Si no te importa esperar los 5-10 minutos que tarda en instalarse de fondo Windows en cada arranque, puedes simplemente borrar por completo el contenido de la carpeta /data antes de ejecutar el contenedor. Al no detectar un disco virtual previo, el script de Dockurr volverá a hacer una instalación limpia desde la ISO. Cada arranque generará un GDID completamente nuevo de forma matemática.

Una ventaja oculta del archivo docker-compose.yaml

Si te fijas en nuestro artículo de SoloConLinux, tienes variantes como 11l o 11e (Windows 11 LTSC y Windows 11 Enterprise).

Si en la sección environment: de tu archivo cambias VERSION: "11" por VERSION: "11l", se instalará la versión LTSC (Long Term Servicing Channel).
Esta edición corporativa de Windows es la más limpia que existe: viene sin bloatware (sin juegos, sin Cortana, sin Copilot invasivo) y te permite capar al máximo las conexiones de telemetría de Microsoft por directivas de grupo, lo que reduce drásticamente las posibilidades de que el GDID se filtre a internet mientras realizas tus tareas.

Otras opciones y contramedidas

Si necesitas o decides usar Windows, existen métodos adicionales para romper o capar el rastreo del GDID:

A. Bloqueo radical de la Telemetría a nivel de Red (Pi-hole / Firewall)

Dado que el GDID necesita ser enviado a los servidores de Microsoft para que el rastreo sea efectivo, puedes cortar la comunicación.

  • Cómo funciona: Utilizar un servidor DNS local como Pi-hole, AdGuard Home, o un firewall perimetral (como pfSense) configurado con listas negras estrictas de telemetría de Microsoft (bloqueando dominios como v10.events.data.microsoft.com, settings-win.data.microsoft.com, etc.).
  • Limitación: Microsoft cambia constantemente sus endpoints de telemetría y a menudo utiliza la misma infraestructura para las actualizaciones de seguridad que para la recolección de datos, por lo que existe el riesgo de romper Windows Update.

B. Modificaciones profundas del Sistema (Ediciones Enterprise / LTSC)

Las versiones domésticas de Windows (Home y Pro) no permiten desactivar por completo la telemetría. Sin embargo:

  • Windows 10/11 Enterprise o LTSC (Long Term Servicing Channel): Estas versiones están diseñadas para entornos corporativos o críticos. Mediante las directivas de grupo locales (gpedit.msc), permiten establecer el nivel de telemetría en "Desactivado" / "Seguridad", lo que reduce al mínimo absoluto el envío de identificadores del dispositivo a Microsoft.

C. Herramientas de "Debloat" y Privacidad (Bajo tu propio criterio y riesgo)

Existen herramientas de código abierto como ShutUp10++ o Chris Titus Tech's Windows Utility que automatizan la desactivación de servicios como DiagTrack (el servicio que envía el GDID), eliminan tareas programadas de telemetría y bloquean rutas en el archivo hosts.

  • Limitación: Una actualización mayor de Windows suele restaurar estos servicios a su estado original de forma silenciosa.

La alternativa definitiva: El aislamiento total

Para escenarios donde el anonimato y la privacidad deben ser matemáticamente garantizados frente a corporaciones o agencias, la comunidad de ciberseguridad no confía en Windows modificado. La opción estándar es utilizar un sistema operativo anfitrión enfocado en la privacidad (como Debian, Qubes OS o Tails) y, si Windows es estrictamente necesario para una tarea específica, ejecutarlo encapsulado dentro de una máquina virtual efímera (de un solo uso) sin datos personales vinculados.

Para lograr un aislamiento total y contrarrestar identificadores persistentes a nivel de hardware o sistema operativo (como el GDID de Windows), la estrategia consiste en utilizar un sistema anfitrión (Host) ultra seguro y de código abierto que controle estrictamente qué información se genera, qué se guarda y qué sale a la red.

A continuación, tres enfoques de la comunidad de ciberseguridad, adaptados a las filosofías de Debian, Qubes OS y Tails, para ejecutar un entorno Windows efímero y anónimo.

1. El enfoque Debian: "Aislamiento por Volatilidad y KVM"

Como usuario de Debian, tienes una base excepcionalmente estable y libre de telemetría corporativa. Para este escenario, la estrategia ideal no es usar VirtualBox (que corre en espacio de usuario con peor rendimiento), sino KVM (Kernel-based Virtual Machine) junto con QEMU, gestionado a través de scripts o directamente con Docker (dockurr/windows), aprovechando las capacidades nativas del kernel Linux.

Implementación táctica:

  • El Almacenamiento Efímero: En lugar de guardar el disco duro virtual (.qcow2 o la carpeta de Docker) en tu SSD de forma permanente, puedes utilizar tmpfs (un sistema de archivos que reside exclusivamente en la memoria RAM de Debian).
  • El Flujo: Configuras un script en Bash que monte un directorio temporal en la RAM, copie allí una imagen base "limpia y congelada" de Windows (instalada previamente sin conexión a internet) y lance la máquina virtual desde esa ruta.
  • El Aislamiento de Red: Debian actúa como un firewall estricto. Puedes configurar reglas de nftables o iptables para que la interfaz de red virtual de esa máquina de Windows solo pueda comunicarse a través de un contenedor local de Tor, una VPN de confianza con Kill-Switch, o un proxy anónimo.
  • Destrucción: Al apagar la máquina virtual o reiniciar Debian, todo lo que ocurrió en Windows (logs, telemetría acumulada, cookies, el GDID activo en esa sesión) se evapora físicamente de la memoria RAM sin dejar rastro forense en los discos magnéticos o de estado sólido.

2. El enfoque Qubes OS: "Aislamiento por Compartimentación Estricta"

Qubes OS es el sistema operativo recomendado por expertos como Edward Snowden.
Su lema es "seguridad a través de la compartimentación".
No utiliza un kernel Linux común para todo, sino el hipervisor Xen, ejecutando múltiples máquinas virtuales aisladas llamadas "AppVMs" o "qubes".

Implementación táctica:

  • Creación de una "Disposable Windows Template": Instalas una versión limpia de Windows en una HVM (Hardware-assisted Virtual Machine) dentro de Qubes. Esta será tu plantilla raíz.
  • Uso de "Disposable Qubes" (DispVM): En tu uso diario, nunca abres la plantilla de Windows. En su lugar, abres un Qube Desechable de Windows. Qubes OS crea una instancia clonada instantáneamente basada en tu plantilla.
  • Aislamiento de Red Multinivel: En Qubes, puedes encadenar la red de forma visual y estricta. Configuras tu DispVM de Windows para que su tráfico de red pase obligatoriamente a través de un Qube intermedio de red llamado sys-whonix (que enruta todo a través de la red Tor) o un sys-vpn. Windows jamás conocerá tu IP real ni los identificadores de tu hardware real, ya que Xen le emula componentes genéricos.
  • Destrucción: En el momento en que cierras la ventana de Windows, Qubes OS destruye el contenedor Xen por completo, eliminando cualquier modificación en el registro, malware que se haya ejecutado o persistencia del GDID generado durante esa sesión de red. La próxima vez que abras Windows, será un clon idéntico al molde original.

3. El enfoque Tails: "Aislamiento por Amnesia Absoluta"

Tails (The Amnesic Incognito Live System) es un sistema operativo diseñado para arrancar desde una memoria USB o DVD, pensado para el anonimato absoluto.
Todo el tráfico saliente se fuerza a través de la red Tor y el sistema es amnésico por defecto: nada de lo que hagas se guarda en el equipo anfitrión.

Implementación táctica:

Ejecutar Windows dentro de Tails es un reto debido a las limitaciones de memoria y espacio, pero es el nivel más alto de paranoia y seguridad móvil.

  • KVM en Tails: Dado que Tails está basado en Debian, permite la instalación de herramientas de virtualización a través de su terminal si se configura una contraseña de administración al arrancar.
  • El Flujo: Al iniciar Tails, descargas o montas desde un almacenamiento externo cifrado (como un disco con VeraCrypt) una imagen comprimida y optimizada de Windows (preferiblemente Windows XP, 7 o un Windows 10/11 ultra-reducido/Tiny para no saturar la RAM).
  • Enrutamiento Forzado: Tails bloquea por defecto cualquier conexión que no pase por Tor. Al ejecutar la VM de Windows dentro de Tails a través de QEMU, la interfaz virtual de Windows se ve obligada a salir a internet camuflada completamente detrás de los nodos de Tor. Para los servidores de Microsoft, ese GDID efímero nacerá y morirá operando desde una IP de un nodo de salida de Tor en cualquier parte del mundo.
  • Destrucción: Apagas el ordenador o desenchufas el USB de Tails (Emergency Shutdown). El ordenador se apaga instantáneamente, la memoria RAM se sobrescribe con ceros y no existe fuerza humana ni forense capaz de recuperar el identificador, la sesión o las actividades que realizaste en ese Windows. El aislamiento es, literalmente, matemático.

Etiquetas

Luis GuLo

🐧 SysAdmin GNU/Linux - 🐳 Docker - 🖥️ Bash Scripting - 🐪 Perl - 🐬 MySQL - 👥 Formador de TI - 👥 Formador de SysAdmin's - 💢 Ansible - ☁️ Cloud Computing - ❤️ Debian GNU/Linux