Microsoft puede rastrear a los usuarios mediante un ID de dispositivo de Windows

Alcance del rastreo de Microsoft y GDID

  • Quienes comentan deducen que Microsoft puede correlacionar un “GDID” de Windows con la IP, marcas de tiempo y al menos dominios, y posiblemente también con las URL completas visitadas.
  • Se cita una denuncia penal (enlazada en el hilo) como prueba de que Microsoft registra URL, IP y GDID como “telemetría”.
  • Algunos participantes subrayan que esto destruye de facto la privacidad de los usuarios de Windows, ya que la actividad puede vincularse retroactivamente a un dispositivo específico.

Cómo se recopilan los datos (mecanismo poco claro)

  • Múltiples teorías:
    • Edge + Microsoft Defender SmartScreen enviando las URL/dominios visitados para comprobaciones de phishing/malware, vinculadas al GDID y posiblemente a cuentas de Microsoft.
    • Telemetría de Windows que agrupa títulos de página, transiciones de navegación y enlaces pulsados en eventos de diagnóstico (se mencionan diapositivas de una charla de seguridad).
    • Registros relacionados con licencias u otros servicios de Windows (Update, Defender, MAPS).
  • Otros argumentan que es poco probable que Microsoft registre todas las solicitudes web a nivel de sistema operativo, o que esto habría pasado desapercibido.
  • La ruta técnica exacta desde la acción de navegación hasta la correlación con el GDID se describe repetidamente como poco clara y ausente en el artículo.

Papel del navegador y de las aplicaciones

  • Varios comentaristas creen que esto implica principalmente a Edge con la configuración predeterminada de privacidad/telemetría.
  • Algunos señalan que Chrome y otros navegadores también tienen opciones para enviar URL a sus proveedores (por ejemplo, para “safe browsing”), pero en este hilo no hay pruebas firmes de que navegadores que no son de Microsoft alimenten un rastreo basado en GDID.

Comparaciones con otras plataformas e identificadores

  • Muchos señalan que existen IDs persistentes de dispositivo en Linux (machine-id de systemd, UUIDs de D-Bus), BSDs (hw.uuid, hostid), Android, etc.
  • La distinción clave que se plantea: IDs locales de máquina frente a una infraestructura operada por el proveedor que correlaciona esos IDs con la actividad de red.
  • Se mencionan mitigaciones: rotar o aleatorizar machine-id, usar sandboxing (por ejemplo, bubblewrap, firejail), evitar ciertos navegadores.

Reacciones legales, de privacidad y de política

  • Debate sobre el RGPD: algunos dicen que un ID aleatorio no es dato personal; otros responden que, si puede individualizar a un usuario o vincularse a una cuenta, sí lo es.
  • Muchos ven esto como una confirmación de que las grandes tecnológicas no respetan de forma significativa la privacidad y de que la cooperación con las fuerzas del orden sobre esta telemetría es algo rutinario.
  • Fuerte defensa de abandonar Windows (en favor de Linux, BSD, Apple y herramientas centradas en la privacidad) y escepticismo sobre el marketing de las VPN dado que existen capacidades de rastreo que no dependen de la IP.