Operacion Vicentius: Guardia Civil desmantela red mulas bancarias y criptoestafa

442.650 euros. Eso perdio una mujer en La Rioja tras instalar AnyDesk en su ordenador a peticion de un supuesto asesor financiero. Lo que comenzo como una “oportunidad de inversion en criptomonedas” termino con sus cuentas personales y empresariales vaciadas, prestamos contratados a su nombre y 42 transferencias internacionales rastreadas hasta Dinamarca, Lituania, Reino Unido y China.

La Guardia Civil ha bautizado la investigacion como Operacion Vicentius y ha identificado a 12 personas (8 hombres y 4 mujeres, de entre 20 y 75 anos) que actuaron como mulas bancarias para una organizacion criminal internacional. Dos ciudadanos chinos residentes en Espana estan senalados como presuntos miembros de la estructura organizativa.

Como perito informatico forense, analizo en este articulo el modus operandi de la estafa, las tecnicas de analisis forense aplicables para rastrear criptoestafas, la evidencia digital que deja un acceso remoto no autorizado como AnyDesk, y las acciones inmediatas que debe tomar cualquier victima.

Resumen ejecutivo

En 60 segundos:

Que: Operacion Vicentius - 12 investigados como mulas bancarias de organizacion criminal internacional
Victima: Mujer en La Rioja que perdio 442.650 euros (432.000 euros en crypto + 10.450 euros en prestamos a su nombre)
Modus operandi: Falsos asesores financieros, plataforma trading manipulada, instalacion AnyDesk, vaciado de cuentas
Alcance: 42 transferencias internacionales (Dinamarca, Lituania, Reino Unido, China)
Investigados: 12 personas (8 hombres, 4 mujeres, 20-75 anos) + 2 ciudadanos chinos como presuntos miembros de la organizacion
Delitos: Estafa agravada (Art. 248-249 CP), blanqueo de capitales (Art. 301 CP), acceso ilicito a sistemas informaticos (Art. 197 CP)
Estado: Investigacion abierta para rastrear destino final de los fondos

Consulta pericial para casos de criptoestafa

Los hechos: cronologia de la Operacion Vicentius

La investigacion comienza cuando la victima, una mujer residente en La Rioja, detecta movimientos bancarios no autorizados en sus cuentas. Presenta denuncia ante la Guardia Civil y el Equipo de Investigacion Tecnologica (EDITE) de la Comandancia de La Rioja asume el caso, segun informo el Ministerio del Interior.

Contacto inicial: La victima es contactada por supuestos “asesores financieros” que le presentan una oportunidad de inversion en criptomonedas con rendimientos extraordinarios
Plataforma falsa: Los estafadores le dan acceso a una plataforma de trading online completamente manipulada, donde graficos artificiales muestran beneficios ficticios crecientes para generar confianza
Instalacion de AnyDesk: Con la excusa de “asistencia tecnica para operar”, convencen a la victima de instalar AnyDesk, una herramienta de acceso remoto, otorgandoles control total sobre su ordenador y telefono movil
Vaciado de cuentas: Con acceso remoto al ordenador y movil de la victima, los atacantes vacian sus cuentas personales y empresariales. Extraen 432.000 euros en operaciones con criptomonedas
Prestamos fraudulentos: Ademas, contratan prestamos a nombre de la victima por un total de 10.450 euros, elevando la perdida total a 442.650 euros
Blanqueo mediante mulas: Los fondos son fragmentados y redistribuidos a traves de una red de 12 mulas bancarias, que realizan 42 transferencias internacionales hacia Dinamarca, Lituania, Reino Unido y China
Investigacion policial: La Guardia Civil identifica a las 12 mulas (8 hombres, 4 mujeres, de 20 a 75 anos) y senala a 2 ciudadanos chinos residentes en Espana como presuntos miembros de la organizacion criminal
Estado actual: La investigacion continua abierta para rastrear el destino final de los fondos y la estructura completa de la organizacion internacional

Fuentes: Guardia Civil, IT User, La Gaceta de Salamanca.

La Operacion Vicentius ilustra un patron de estafa que combina tres vectores de ataque que vemos repetirse sistematicamente en los casos de fraude con criptomonedas: ingenieria social sofisticada, herramientas de acceso remoto legitimas usadas con fines delictivos, y la opacidad relativa de las transacciones blockchain.

El primer contacto es el componente critico. Los estafadores se presentan como asesores financieros o brokers de criptomonedas, frecuentemente a traves de redes sociales, llamadas telefonicas o anuncios en plataformas digitales. Segun datos de Europol, el 78% de las estafas de inversion online en Europa utilizan identidades falsas respaldadas por perfiles de LinkedIn fabricados, sitios web corporativos clonados y numeros de telefono con prefijos locales.

En el caso de la Operacion Vicentius, los atacantes construyeron una relacion de confianza con la victima antes de solicitar cualquier accion tecnica. Este patron, conocido como social engineering pretext, sigue una estructura documentada:

Fase de seduccion: Presentacion de oportunidad con rendimientos atractivos
Fase de prueba: Pequenas inversiones que generan “beneficios” visibles en la plataforma manipulada
Fase de escalada: Presion para invertir cantidades mayores basandose en los “beneficios” ya obtenidos
Fase de captura: Instalacion del software de acceso remoto bajo pretexto de asistencia tecnica

Fase 2: La plataforma de trading manipulada

Las plataformas falsas de trading son un componente estandar de este tipo de estafa. Segun el informe de INCIBE sobre fraude de inversiones 2025, estas plataformas presentan las siguientes caracteristicas:

Caracteristica	Plataforma legitima	Plataforma fraudulenta
Regulacion	Registrada en CNMV/CySEC	Sin registro regulatorio
Graficos	Datos de mercado reales	Datos fabricados para mostrar beneficios
Retiros	Procesados en 1-3 dias habiles	Excusas constantes, comisiones inventadas
Soporte	Multicanal, trazable	Whatsapp o Telegram, sin rastro
Dominio	Historico y verificable	Registrado recientemente, hosting offshore

La victima de la Operacion Vicentius observaba beneficios crecientes en su pantalla, lo que reforzaba su confianza en los “asesores”. En realidad, los graficos eran simulaciones preprogramadas sin conexion alguna con mercados reales.

Fase 3: AnyDesk como vector de acceso total

AnyDesk es una herramienta de escritorio remoto completamente legitima, utilizada por millones de empresas para soporte tecnico. Sin embargo, cuando un atacante convence a la victima de instalarla y compartir el codigo de acceso, obtiene:

Control total del escritorio: puede operar banca online, email, wallets crypto
Acceso al portapapeles: puede copiar contrasenas, codigos OTP, datos sensibles
Transferencia de archivos: puede exfiltrar documentos, certificados digitales, claves privadas
Grabacion de sesion: puede registrar todo lo que la victima hace en su equipo
Acceso persistente: si configura acceso desatendido, puede volver incluso despues de que la victima apague AnyDesk

En la Operacion Vicentius, los atacantes utilizaron este acceso para operar directamente desde el ordenador de la victima, vaciando cuentas personales y empresariales y contratando prestamos a su nombre. Al operar desde el equipo de la victima, las sesiones bancarias aparentaban ser legitimas desde la perspectiva del banco, dificultando la deteccion del fraude en tiempo real.

AnyDesk no es el problema: el problema es la ingenieria social

AnyDesk, TeamViewer, Chrome Remote Desktop y otras herramientas de acceso remoto son software legitimo con usos profesionales validos. El vector de ataque real es la manipulacion psicologica que convence a la victima de instalar la herramienta y compartir el acceso. Ningun asesor financiero legitimo necesita acceso remoto a tu ordenador para gestionar inversiones.

Las mulas bancarias: el eslabon imprescindible

Un aspecto central de la Operacion Vicentius es la red de 12 mulas bancarias utilizadas para blanquear los fondos robados. Segun las fuentes policiales citadas por The Leader y Andalucia Informacion, estas personas (8 hombres y 4 mujeres, de entre 20 y 75 anos) recibieron fondos en sus cuentas y los reenviaron mediante 42 transferencias internacionales.

Que es una mula bancaria

Una mula bancaria es una persona que, a sabiendas o por desconocimiento, permite que su cuenta bancaria se use para recibir y transferir fondos de origen ilicito. Segun la Policia Nacional y datos de Europol, existen varios perfiles:

Mulas conscientes: saben que participan en blanqueo de capitales. Cobran una comision (tipicamente 5-10% de la cantidad movida)
Mulas reclutadas: personas en situacion economica vulnerable captadas con ofertas de “trabajo facil desde casa” que implican recibir y reenviar transferencias
Mulas inconscientes: victimas de ingenieria social que no comprenden la naturaleza delictiva de sus acciones

El rango de edad en este caso (20-75 anos) sugiere que la organizacion recluto perfiles heterogeneos, algo consistente con las tacticas documentadas por Europol en su campana #DontBeAMule.

El patron de fragmentacion y redistribucion

La tecnica utilizada en la Operacion Vicentius sigue un patron clasico de blanqueo conocido como layering (estratificacion):

Fase	Descripcion	Ejemplo Operacion Vicentius
Colocacion	Fondos ilicitos entran en el sistema financiero	432.000 euros extraidos de cuentas de la victima via crypto
Estratificacion	Transferencias multiples para dificultar rastreo	42 transferencias a Dinamarca, Lituania, UK, China
Integracion	Fondos reintroducidos en economia legal	Investigacion en curso: destino final por determinar

Los 42 transferencias a 4 paises diferentes revelan una estructura internacional sofisticada. La identificacion de 2 ciudadanos chinos como presuntos miembros de la organizacion apunta a una red transnacional con nodos operativos en Europa y Asia, segun informaron Pamplona Actual y Teleprensa.

Analisis forense: como se rastrea una criptoestafa

Desde la perspectiva del peritaje informatico forense, un caso como la Operacion Vicentius requiere multiples lineas de investigacion tecnica convergentes. El analisis forense de blockchain es una de las disciplinas clave, pero no la unica.

Trazabilidad blockchain

A diferencia de la creencia popular, las transacciones en blockchain no son anonimas: son pseudonimas. Cada transaccion queda registrada de forma permanente e inmutable en el libro contable distribuido. Las herramientas de analisis forense blockchain permiten:

Cluster analysis: Identificar wallets que pertenecen a la misma entidad analizando patrones de transacciones, direcciones de cambio y comportamiento temporal
Flow tracing: Seguir el flujo de fondos desde la wallet de origen hasta exchanges, mezcladores (mixers) o direcciones de destino final
Exchange identification: Determinar cuando los fondos llegan a exchanges regulados donde existe obligacion KYC (Know Your Customer) y, por tanto, posibilidad de identificacion del titular
Cross-chain tracking: Rastrear fondos que se mueven entre diferentes blockchains (Bitcoin a Ethereum, por ejemplo) mediante bridges o exchanges descentralizados

Herramientas como Chainalysis Reactor, Elliptic y CipherTrace son utilizadas tanto por las fuerzas de seguridad como por peritos forenses para este tipo de investigaciones. Segun el Informe Chainalysis 2025, las fuerzas de seguridad lograron recuperar o congelar el 22% de los fondos trazados en casos de fraude crypto durante 2024.

Analisis de la infraestructura de la plataforma falsa

El peritaje tecnico de la plataforma de trading fraudulenta aporta evidencias criticas:

Registros WHOIS: Fecha de registro del dominio, registrador utilizado, datos de contacto (reales o falsos)
Hosting y CDN: Identificacion del proveedor de alojamiento, geolocalizacion de servidores, contenido cacheado
Wayback Machine: Capturas historicas de la web que demuestran su caracter fraudulento
Certificados SSL: Entidad emisora, fecha de emision, dominio asociado
Codigo fuente: Analisis del frontend para identificar indicadores de manipulacion en los graficos de trading

Analisis de comunicaciones

El rastreo de las comunicaciones entre estafadores y victima proporciona evidencia sobre la cadena de mando:

Metadatos de llamadas y SMS: Numeros utilizados, duracion, frecuencia, celdas de telefonia
Mensajeria instantanea: Conversaciones de WhatsApp, Telegram, email con contenido manipulador
Direcciones IP: Geolocalizacion de los puntos de acceso utilizados por los estafadores

El vector AnyDesk: que evidencia digital deja

Desde la perspectiva del analisis forense digital, la instalacion y uso de AnyDesk deja un rastro sustancial de evidencias en el sistema de la victima. Estas evidencias son fundamentales tanto para la investigacion policial como para el informe pericial que respalde una denuncia judicial.

Registros y artefactos forenses de AnyDesk

Artefacto	Ubicacion tipica (Windows)	Valor probatorio
Logs de conexion	`%ProgramData%\AnyDesk\connection_trace.txt`	Fecha, hora, IP remota, duracion de cada sesion
Historial de sesiones	`%ProgramData%\AnyDesk\ad_svc.trace`	Registro detallado de actividad del servicio
ID de AnyDesk remoto	Logs de sesion	Identificacion del equipo del atacante
Capturas de transferencia	`%ProgramData%\AnyDesk\`	Archivos transferidos al o desde el equipo
Registro de Windows	`HKLM\SOFTWARE\AnyDesk`	Fecha de instalacion, configuracion, acceso desatendido
Prefetch files	`C:\Windows\Prefetch\ANYDESK.EXE-*.pf`	Fecha de primera y ultima ejecucion, frecuencia de uso
Event logs	Visor de eventos Windows	Instalacion de servicio, conexiones de red, actividad de usuario

Evidencia de red

Ademas de los artefactos locales, las conexiones AnyDesk generan trafico de red que puede ser rastreado:

Conexiones a servidores relay de AnyDesk (*.net.anydesk.com): Las IPs de los servidores intermediarios pueden consultarse con orden judicial
Trafico cifrado TLS: Aunque el contenido esta cifrado, los metadatos (timestamps, volumen, duracion) son valiosos
Resoluciones DNS: Los registros del router o ISP muestran cuando el equipo contacto con infraestructura de AnyDesk

Evidencia de actividad bancaria desde el equipo

Cuando el atacante utiliza AnyDesk para operar banca online desde el equipo de la victima, se generan:

Historial de navegador: URLs de banca online visitadas durante la sesion remota
Cookies y tokens de sesion: Evidencia de autenticacion bancaria
Cache del navegador: Paginas renderizadas, formularios rellenados
Capturas de pantalla automaticas: Si el sistema tiene habilitada la funcion de logging visual

Consejo forense: preservacion de evidencia

Si sospechas que tu equipo ha sido comprometido via AnyDesk u otra herramienta de acceso remoto, no formatees ni reinstales el sistema operativo. La evidencia digital es fragil y cualquier accion sobre el disco puede destruir pruebas criticas. Lo mas importante es:

Desconectar el equipo de internet (cable y wifi)
No apagar el equipo si es posible (la RAM contiene evidencias volatiles)
Contactar con un perito informatico forense para realizar una adquisicion forense del disco
Presentar denuncia en comisaria o Guardia Civil con el equipo preservado

Que hacer si eres victima: pasos inmediatos

Si te encuentras en una situacion similar a la victima de la Operacion Vicentius, es decir, has instalado un software de acceso remoto a peticion de un supuesto asesor y sospechas que tus cuentas han sido comprometidas, estas son las acciones urgentes:

Desconectar inmediatamente de internet: Desactiva wifi y desconecta el cable de red del ordenador comprometido. Si el atacante tiene acceso remoto activo, esta es la unica forma de cortarlo al instante
Desinstalar AnyDesk desde otro dispositivo: Si tienes acceso desatendido configurado, el atacante puede reconectarse. Desde otro ordenador o movil, cambia inmediatamente las credenciales de AnyDesk o desinstala la aplicacion
Contactar con tu banco: Llama al numero de emergencias de tu entidad bancaria y solicita el bloqueo inmediato de todas las cuentas y tarjetas. Informa de que has sido victima de un acceso remoto no autorizado. Pide la anulacion de cualquier prestamo o producto contratado recientemente
Cambiar todas las contrasenas: Desde un dispositivo limpio (no el comprometido), cambia las contrasenas de banca online, email, redes sociales y cualquier servicio al que se accediera desde el equipo. Activa la autenticacion en dos pasos (2FA) en todos los servicios que lo permitan
Presentar denuncia policial: Acude a la Guardia Civil o Policia Nacional con toda la informacion: capturas de pantalla, numeros de telefono de los estafadores, emails, historial de transferencias, datos de la plataforma falsa. Solicita expresamente que la denuncia incluya referencia a delitos informaticos
Preservar toda la evidencia digital: No formatees ni modifiques el equipo comprometido. No borres conversaciones de WhatsApp, emails ni SMS con los estafadores. Todo es evidencia potencial
Contactar con un perito informatico forense: Un informe pericial profesional documenta tecnicamente el ataque, traza las transacciones, identifica los artefactos de acceso remoto y produce un informe valido como prueba judicial

Tiempo critico: las primeras 48 horas

En casos de fraude bancario con acceso remoto, las primeras 48 horas son decisivas. Los bancos tienen obligacion de investigar reclamaciones por operaciones no autorizadas segun la Directiva PSD2 (Directiva (UE) 2015/2366). El bloqueo temprano de cuentas y la denuncia policial inmediata aumentan significativamente las posibilidades de rastrear y, en algunos casos, recuperar fondos.

Marco legal: delitos y penas aplicables

La Operacion Vicentius implica la comision de varios delitos tipificados en el Codigo Penal espanol. Segun la informacion policial, los hechos investigados son estafa, blanqueo de capitales y acceso ilicito a sistemas informaticos.

Estafa agravada (Art. 248-249 CP)

La estafa se define como el engano bastante para producir error en otro, induciendole a realizar un acto de disposicion en perjuicio propio o ajeno. En este caso:

Tipo basico (Art. 248 CP): Pena de prision de 6 meses a 3 anos
Tipo agravado (Art. 250 CP): Cuando la cuantia excede de 50.000 euros, la pena asciende a prision de 1 a 6 anos y multa de 6 a 12 meses
Aplicacion: Con 442.650 euros de perjuicio, se aplica necesariamente el tipo agravado. Ademas, podria concurrir la agravante de “abuso de relaciones personales” si se demuestra la construccion premeditada de una relacion de confianza

Blanqueo de capitales (Art. 301 CP)

El blanqueo de capitales tipifica la adquisicion, posesion, utilizacion, conversion o transmision de bienes sabiendo que tienen su origen en una actividad delictiva:

Pena: Prision de 6 meses a 6 anos y multa del tanto al triplo del valor de los bienes
Agravante por organizacion (Art. 302 CP): Cuando los hechos se realizan por organizacion criminal, la pena se eleva a su mitad superior
Aplicacion a las mulas: Las 12 personas investigadas como mulas bancarias se enfrentan a este tipo penal. El grado de conocimiento de la ilicitud de su actividad determinara si se les imputa como autores o cooperadores

Acceso ilicito a sistemas informaticos (Art. 197 bis CP)

El acceso no autorizado a sistemas informaticos esta tipificado desde la reforma del Codigo Penal por la LO 1/2015:

Pena: Prision de 6 meses a 2 anos
Aplicacion: La instalacion y uso de AnyDesk para acceder al equipo de la victima, si bien fue consentida inicialmente por engano, puede configurar este tipo penal cuando el acceso excede el consentimiento obtenido (viciado por el engano)

Concurso de delitos

En la practica judicial, estos tres tipos penales suelen aplicarse en concurso medial o concurso real, lo que puede elevar significativamente las penas. La jurisprudencia del Tribunal Supremo ha establecido que cuando el acceso informatico es medio necesario para la comision de la estafa, se aplica la regla del concurso medial (Art. 77 CP), castigandose con la pena correspondiente a la infraccion mas grave en su mitad superior.

Nota sobre la presuncion de inocencia

Las 12 personas identificadas en la Operacion Vicentius tienen la condicion de investigadas, no de detenidas ni acusadas. La investigacion continua abierta y la determinacion de su responsabilidad penal corresponde exclusivamente a los tribunales de justicia. En el sistema penal espanol, toda persona es inocente hasta que se demuestre su culpabilidad mediante sentencia firme.

Contexto: oleada de criptoestafas en Espana, febrero 2026

La Operacion Vicentius no es un caso aislado. En la misma semana de febrero de 2026 se han conocido otras operaciones policiales contra criptoestafas de gran envergadura en Espana, lo que evidencia la dimension del problema:

Caso 4 millones de euros: estafa masiva con criptomonedas

El mismo 9 de febrero de 2026, Infobae informo de la detencion de dos personas por una estafa masiva de mas de 4 millones de euros en inversiones de criptomonedas. El modus operandi es similar: captacion online, plataforma de inversion falsa y blanqueo mediante multiples cuentas.

Caso 19 millones de euros: estafa con inteligencia artificial

El Ministerio del Interior informo de la detencion de 6 personas por estafar mas de 19 millones de euros utilizando inteligencia artificial para generar contenido publicitario falso y suplantar identidades de personajes publicos. Esta operacion demuestra como la IA generativa esta potenciando las estafas a escala industrial, un fenomeno que ya analizamos en profundidad en nuestro articulo sobre estafas cripto con IA en 2025.

El patron comun

Las tres operaciones comparten elementos estructurales:

Elemento	Op. Vicentius (442K euros)	Caso 4M euros	Caso 19M euros (IA)
Captacion	Falsos asesores financieros	Plataforma inversion online	Publicidad con deepfakes de famosos
Plataforma	Trading manipulado	Inversion crypto falsa	Inversion crypto + IA
Acceso remoto	AnyDesk	Por confirmar	Por confirmar
Blanqueo	12 mulas, 42 transferencias	Multiples cuentas	Red internacional
Alcance	Dinamarca, Lituania, UK, China	Por confirmar	Internacional

Segun datos de INCIBE, Espana registro mas de 3.200 denuncias por estafas con criptomonedas en 2025, con un crecimiento del 240% respecto a 2023. Las perdidas acumuladas superaron los 180 millones de euros solo en casos denunciados, una cifra que segun las estimaciones de Europol podria representar apenas el 15-20% del volumen real de fraude, ya que muchas victimas no denuncian.

Como ayuda un perito informatico forense en estos casos

En un caso como la Operacion Vicentius, el papel del perito informatico forense es transversal y abarca varias lineas de trabajo:

Informe pericial para el juzgado

El informe pericial es el documento tecnico que traduce la evidencia digital a un lenguaje comprensible para jueces, fiscales y abogados. En un caso de criptoestafa incluye:

Analisis del equipo comprometido: Extraccion forense del disco duro, analisis de artefactos de AnyDesk, reconstruccion de la timeline de eventos
Trazabilidad de transacciones: Documentacion del flujo de fondos desde las cuentas de la victima hasta las wallets de destino, con identificacion de exchanges intermediarios
Analisis de la plataforma falsa: Captura y preservacion de la web fraudulenta, analisis de codigo fuente, identificacion de infraestructura
Analisis de comunicaciones: Verificacion de autenticidad de conversaciones con los estafadores, extraccion de metadatos

Ratificacion pericial en juicio

El perito puede ratificar y defender su informe en la vista oral, respondiendo a las preguntas de las partes y del tribunal. Su testimonio tecnico es especialmente relevante cuando la defensa cuestiona la trazabilidad de los fondos o la autenticidad de las evidencias digitales.

Apoyo a la acusacion particular

Si la victima se persona como acusacion particular, el informe pericial privado complementa la investigacion policial y puede aportar elementos tecnicos adicionales que refuercen la posicion acusatoria.

Victima de criptoestafa o fraude con acceso remoto?

Ofrecemos servicios de analisis forense digital para rastrear transacciones blockchain, preservar evidencia de acceso remoto y elaborar informes periciales validos en procedimientos judiciales.

Solicitar consulta

Conclusiones: lecciones de la Operacion Vicentius

La Operacion Vicentius pone de manifiesto la sofisticacion creciente de las redes criminales que operan en el ambito de las criptoestafas. Los puntos clave que podemos extraer:

Para ciudadanos y empresas:

Ningun asesor financiero legitimo necesita instalar software de acceso remoto en tu equipo. Esta es la senal de alarma mas clara y definitiva
Las plataformas de trading que muestran beneficios constantes sin volatilidad son, casi con total certeza, fraudulentas
Verifica siempre que cualquier plataforma de inversion este registrada en la CNMV antes de realizar cualquier aportacion

Para profesionales del derecho:

La evidencia digital de acceso remoto (logs AnyDesk, artefactos forenses, trafico de red) es robusta y admisible judicialmente cuando se preserva y analiza correctamente
El analisis forense de blockchain permite rastrear transacciones incluso cuando se utilizan multiples wallets intermediarias
La cooperacion judicial internacional (via Eurojust y canales policiales bilaterales) es imprescindible cuando los fondos cruzan fronteras

Para las fuerzas de seguridad:

La identificacion temprana de las mulas bancarias es critica para cortar la cadena de blanqueo
La colaboracion con exchanges regulados (que tienen obligacion KYC/AML) es la via mas directa para identificar a los beneficiarios finales

Este articulo analiza informacion publica sobre la Operacion Vicentius publicada por la Guardia Civil y medios de comunicacion. Las personas mencionadas son investigadas, no condenadas, y gozan de la presuncion de inocencia. Los datos sobre modus operandi y analisis forense se proporcionan con fines informativos y de prevencion. Las referencias a casos y cifras provienen de fuentes oficiales citadas en el texto.

Fuentes principales: Guardia Civil, Ministerio del Interior, IT User, The Leader, La Gaceta de Salamanca, Andalucia Informacion, Teleprensa, Pamplona Actual, La Brujula Calahorra, La Nocion, Infobae, Ministerio del Interior (caso 19M).