La reciente extradición a Estados Unidos de Peter Stokes, un joven de 19 años sospechoso de pertenecer al grupo de hackers Scattered Spider, ha sacado a la luz que Microsoft puede rastrear un PC con Windows y parte de su actividad en línea mediante el llamado Global Device ID (GDID), un identificador persistente asociado al sistema operativo del que la compañía apenas ofrece información pública. Según la denuncia penal de 39 páginas, Stokes habría atacado en mayo de 2025 a un joyero de lujo no identificado utilizando la herramienta ngrok para sortear sus defensas. El FBI cruzó la dirección IP del sospechoso con registros de Microsoft y descubrió que el GDID de su equipo había accedido a páginas de ngrok y a servidores del proveedor de hosting Tzulo, lo que permitió vincularlo al ataque. Un representante de Microsoft explicó al tribunal que el GDID es un identificador único a nivel de dispositivo, persistente entre actualizaciones de Windows, pensado para reconocer instalaciones del sistema en servicios de la compañía. Aunque Windows permite generar un nuevo GDID reinstalando el sistema, un usuario de Microsoft puede acumular varios identificadores y la empresa podría reasociarlos con relativa facilidad mediante la cuenta o la IP, lo que ha encendido las alarmas entre expertos en ciberseguridad. Matthew Hickey, investigador de seguridad, llegó a afirmar que "Windows es software de vigilancia", mientras que el experto Costin Raiu ha planteado si Apple y otros fabricantes aplican prácticas equivalentes. La identificación apenas aparece documentada en una página de soporte de Azure Monitor, y Microsoft no ha realizado declaraciones públicas adicionales sobre su funcionamiento o su potencial para el rastreo.
