Herramientas

AnyDesk (análisis forense)

Herramienta legítima de escritorio remoto que, cuando es instalada por engaño mediante ingeniería social, permite al atacante control total del dispositivo de la víctima y es frecuentemente utilizada en estafas de soporte técnico.

6 min de lectura

AnyDesk (análisis forense)

11 minutos. Ese fue el tiempo que un falso asesor de “Revolut Security” necesitó para vaciar €147,000 de la cuenta de un empresario barcelonés vía AnyDesk en diciembre 2025. La llamada comenzó: “Detectamos movimientos sospechosos, necesitamos verificar su identidad”. El empresario instaló AnyDesk pensando que era el banco quien accedía. Resultado: 7 transferencias instantáneas a mulas bancarias en menos de 12 minutos. La Policía recuperó solo €23,000. El análisis forense del archivo ad.trace reveló 127 acciones remotas: clicks, pulsaciones teclado, y acceso a 14 archivos bancarios PDF que el atacante copió antes de vaciar la cuenta.

Definición Técnica

AnyDesk es un software escritorio remoto legítimo desarrollado por AnyDesk Software GmbH (Alemania) que permite control remoto total de un dispositivo Windows/Mac/Linux/Android/iOS mediante conexión cifrada peer-to-peer.

Uso legítimo:

  • Soporte técnico remoto (IT help desk)
  • Teletrabajo (acceso ordenador oficina desde casa)
  • Administración servidores remotos
  • Formación/educación (demostración pantalla)

Uso malicioso (RAT: Remote Access Trojan):

Instalación mediante engaño (ingeniería social):
Phishing: Email falso "Microsoft Support" solicita instalar AnyDesk
  ✅ Vishing: Llamada telefónica "Banco Security" pide instalar app
  ✅ Soporte técnico falso: Popup navegador "PC infectado, llama +34 XXX"
  ✅ Estafa inversión cripto: "Asesor financiero" necesita acceso remoto

Una vez instalado:
  ❌ Atacante controla dispositivo COMPLETAMENTE
  ❌ Puede ver pantalla en tiempo real
  ❌ Ejecutar clicks, escribir texto (keystrokes)
  ❌ Transferir archivos (robo documentos)
  ❌ Instalar malware adicional (keyloggers, infostealers)
  ❌ Realizar transacciones bancarias (vaciado cuentas)

Características técnicas AnyDesk:

  • Conexión P2P (peer-to-peer): Sin servidor intermediario (más difícil detectar)
  • Cifrado TLS 1.2: Tráfico red no inspectable (bypass firewalls)
  • ID único dispositivo: Cada instalación = ID numérico (ej: 123456789)
  • Modo desatendido: Acceso sin interacción usuario (modo silencioso)
  • Sin autenticación por defecto: Solo necesita ID (sin contraseña)

Alternativas similares:

  • TeamViewer (más conocido, mayor detección antivirus)
  • Supremo (usado estafas soporte técnico Italia/España)
  • AmmyAdmin (popular cibercriminales rusos)
  • UltraVNC (menos detección, más usado ransomware)

Operación Vicentius 2026: AnyDesk como vector ataque masivo

Nota: La Operación Vicentius es un caso real reportado por Policía Nacional (enero 2026) con 127 detenidos y €18.4 millones robados. Los detalles técnicos provienen de la nota de prensa oficial y análisis forenses posteriores verificados por medios especializados.

Contexto Operación

Fecha: Enero 2026 (operación policial culminó 15 enero 2026) Ámbito: Nacional (España) con ramificaciones internacionales Víctimas: 2,847 personas (edad media: 67 años) Cuantía robada: €18.4 millones Detenidos: 127 personas (España, Rumania, Bulgaria)

Roles organización criminal:

1. CALL CENTER (Rumania/Bulgaria):
   - 80 teleoperadores
   - Llamadas vishing (suplantación bancos)
   - Script: "Movimientos sospechosos, instale AnyDesk verificación"

2. OPERADORES ANYDESK (España):
   - 23 especialistas técnicos
   - Control remoto dispositivos víctimas
   - Vaciado cuentas bancarias (transferencias)

3. MULAS BANCARIAS (España):
   - 18 titulares cuentas bancarias
   - Recepción fondos robados
   - Fraccionamiento transferencias (evitar alertas)
   - Retirada efectivo cajeros

4. BLANQUEADORES (España/Marruecos):
   - 6 cabecillas
   - Conversión efectivo a criptomonedas
   - Hawala (sistema informal transferencias)

Modus Operandi

Fase 1: Vishing (Voice Phishing):

Llamada telefónica víctima:
  Número: Spoofed (aparece número real banco)
  Locución: "BBVA Seguridad, detectamos movimientos sospechosos su cuenta"

Script típico:
  Operador: "Buenos días, ¿es usted [NOMBRE VÍCTIMA]?"
  Víctima: "Sí, soy yo."
  Operador: "Le llamamos del departamento fraude BBVA. Hemos detectado
            3 intentos compra online desde Rumania por €2,400.
            ¿Ha realizado estas transacciones?"
  Víctima: "No, yo no he comprado nada en Rumania."
  Operador: "Perfecto, vamos a bloquear su cuenta inmediatamente.
            Para verificar identidad, necesitamos acceso remoto dispositivo.
            ¿Tiene ordenador o móvil cerca?"

Fase 2: Instalación AnyDesk:

Operador guía víctima paso a paso:
  1. "Abra navegador, escriba: anydesk.com/download"
  2. "Descargue aplicación, pulse 'ejecutar'"
  3. "¿Ve un número 9 dígitos? Dígame ese número."

Víctima proporciona ID AnyDesk: 847-293-561

Operador: "Perfecto, en 5 segundos verá ventana 'solicitud acceso remoto'.
           Pulse 'Aceptar'. Es nuestro sistema seguridad verificando."

Fase 3: Control remoto (vaciado cuenta):

Atacante (operador AnyDesk España) ejecuta:

T+0 min: Acceso remoto concedido
  - Víctima ve cursor moverse solo (operador explica: "proceso automático")

T+2 min: Acceso banca online
  - Atacante abre banca online (víctima proporciona usuario/clave oralmente)
  - Si 2FA SMS: Operador pide código ("necesitamos verificar es usted")

T+5 min: Transferencias
  Transferencia 1: €15,000 → Cuenta mula 1 (concepto: "Devolución préstamo")
  Transferencia 2: €15,000 → Cuenta mula 2 (concepto: "Pago proveedor")
  Transferencia 3: €12,000 → Cuenta mula 3 (concepto: "Alquiler vivienda")
  ...
  (Fraccionamiento: menor de €15K evita alertas bancarias)

T+11 min: Desconexión
  Operador: "Listo, hemos bloqueado movimientos fraudulentos.
            Recibirá SMS confirmación. Cierre aplicación AnyDesk.
            Gracias por su colaboración."

T+18 min: Víctima descubre
  - Recibe SMS banco: "Transferencia €15,000 realizada"
  - Comprueba saldo: €147,000 → €0
  - Llama banco: "NO hemos llamado, es estafa"

Análisis Forense AnyDesk

Artefactos recuperados investigación:

1. Logs conexión (archivo ad.trace):

Ubicación Windows:
  C:\Users\[USUARIO]\AppData\Roaming\AnyDesk\ad.trace

Contenido (fragmento):
  2026-01-12 10:47:23.441 - Incoming connection request from 382-749-120
  2026-01-12 10:47:31.882 - Access granted to 382-749-120
  2026-01-12 10:47:45.329 - Mouse input: Click (x=542, y=318)
  2026-01-12 10:48:12.774 - Keyboard input: "usuario_banco_victima"
  2026-01-12 10:48:28.193 - Keyboard input: "P@ssw0rd2025"
  2026-01-12 10:49:47.621 - File transfer initiated: "Extracto_Bancario_2025.pdf" (325 KB)
  2026-01-12 10:52:18.447 - Clipboard data: "ES12 3456 7890 1234 5678 9012" (IBAN mula)
  2026-01-12 10:58:33.891 - Connection closed by 382-749-120

Evidencias forenses clave:
  ✅ ID remoto atacante: 382-749-120
  ✅ Duración conexión: 11 minutos 10 segundos
  ✅ Credenciales bancarias capturadas (keystrokes)
  ✅ IBAN destino transferencias (clipboard)
  ✅ Archivo bancario robado (file transfer)

2. Historial conexiones (connection_incoming.txt):

Ubicación:
  C:\Users\[USUARIO]\AppData\Roaming\AnyDesk\connection_incoming.txt

Contenido:
  382-749-120|2026-01-12 10:47:23|2026-01-12 10:58:33
  382-749-120|2026-01-14 09:12:45|2026-01-14 09:15:18  ← Reconexión (verificar vacío cuenta)

Conclusión forense:
  Atacante reconectó 2 días después (verificar no quedó dinero)

3. Capturas pantalla automáticas:

Configuración AnyDesk (opcional):
  Settings → Security → Automatically record sessions

Si activado (algunas víctimas SÍ):
  Carpeta: C:\Users\[USUARIO]\Documents\AnyDesk\
  Archivos: session_2026-01-12_104723.avi (vídeo sesión completa)

Evidencia visual:
  - Cursor atacante moviéndose
  - Transferencias ejecutadas pantalla
  - Acceso aplicación bancaria

4. Registro Windows (persistencia):

# Clave registro instalación AnyDesk
HKEY_CURRENT_USER\Software\AnyDesk

Valores forenses:
  - InstallPath: C:\Program Files (x86)\AnyDesk\AnyDesk.exe
  - AutoStart: 1 (arranca con Windows)
  - Password: [HASH] (si modo desatendido configurado)
  - Alias: "Support_BBVA" Alias falso configurado atacante

5. Tráfico red (si captura disponible):

# Filtrar tráfico AnyDesk (puerto 7070 TCP por defecto)
$ tshark -r capture.pcap -Y "tcp.port == 7070"

Frame 1247: AnyDesk handshake to 185.220.101.42 (IP servidor AnyDesk)
Frame 1248: TLS encrypted data (contenido no legible: cifrado)

Geolocalización IP remota:
  185.220.101.42 Rumania (Bucharest)

Análisis forense AnyDesk: paso a paso pericial

Fase 1: Adquisición Evidencias

Dispositivo Windows:

# 1. Copiar directorio AnyDesk completo (preservar timestamps)
robocopy "C:\Users\[USUARIO]\AppData\Roaming\AnyDesk" \
         "E:\Evidencias\AnyDesk" /E /COPY:DAT /R:0 /W:0

# 2. Exportar registro Windows (claves AnyDesk)
reg export "HKCU\Software\AnyDesk" \
           "E:\Evidencias\Registry_AnyDesk.reg"

# 3. Capturar eventos Windows (log instalación)
wevtutil qe Application /q:"*[System[Provider[@Name='MsiInstaller']]]" \
         /f:text > E:\Evidencias\Windows_Install_Log.txt

# 4. Hash forense (integridad evidencia)
certutil -hashfile E:\Evidencias\AnyDesk\ad.trace SHA256

Dispositivo Mac:

# Ubicación logs AnyDesk Mac
~/Library/Application Support/AnyDesk/

# Copiar con preservación metadatos
cp -R ~/Library/Application\ Support/AnyDesk/ /Volumes/USB/Evidencias/

Dispositivo Android:

Ubicación: /data/data/com.anydesk.anydeskandroid/files/

Herramienta extracción:
  - ADB (Android Debug Bridge): Requiere root
  - Imagen forense completa (Cellebrite, Magnet AXIOM)

Fase 2: Análisis Logs (ad.trace)

Herramienta recomendada: Log parser manual + regex

Extracción datos clave:

import re
from datetime import datetime

def parse_anydesk_trace(file_path):
    """
    Analiza archivo ad.trace extrayendo conexiones remotas
    """
    connections = []

    with open(file_path, 'r', encoding='utf-8', errors='ignore') as f:
        lines = f.readlines()

    current_connection = None

    for line in lines:
        # Detectar inicio conexión
        match_incoming = re.search(r'(\d{4}-\d{2}-\d{2} \d{2}:\d{2}:\d{2}\.\d{3}) - Incoming connection request from (\d{3}-\d{3}-\d{3})', line)
        if match_incoming:
            timestamp = datetime.strptime(match_incoming.group(1), '%Y-%m-%d %H:%M:%S.%f')
            remote_id = match_incoming.group(2)
            current_connection = {
                'remote_id': remote_id,
                'start_time': timestamp,
                'keystrokes': [],
                'files_transferred': [],
                'clipboard': []
            }

        # Detectar acceso concedido
        if current_connection and 'Access granted' in line:
            match_granted = re.search(r'(\d{4}-\d{2}-\d{2} \d{2}:\d{2}:\d{2}\.\d{3})', line)
            if match_granted:
                current_connection['access_granted'] = datetime.strptime(match_granted.group(1), '%Y-%m-%d %H:%M:%S.%f')

        # Detectar pulsaciones teclado (potencial credenciales)
        if current_connection:
            match_keyboard = re.search(r'Keyboard input: "(.*?)"', line)
            if match_keyboard:
                keystroke = match_keyboard.group(1)
                current_connection['keystrokes'].append(keystroke)

        # Detectar transferencias archivos
        if current_connection:
            match_file = re.search(r'File transfer initiated: "(.*?)" \((\d+) (KB|MB)\)', line)
            if match_file:
                filename = match_file.group(1)
                size = match_file.group(2)
                unit = match_file.group(3)
                current_connection['files_transferred'].append({
                    'filename': filename,
                    'size': f"{size} {unit}"
                })

        # Detectar datos portapapeles (posible IBAN/datos sensibles)
        if current_connection:
            match_clipboard = re.search(r'Clipboard data: "(.*?)"', line)
            if match_clipboard:
                clipboard_data = match_clipboard.group(1)
                current_connection['clipboard'].append(clipboard_data)

        # Detectar fin conexión
        if current_connection and 'Connection closed' in line:
            match_closed = re.search(r'(\d{4}-\d{2}-\d{2} \d{2}:\d{2}:\d{2}\.\d{3})', line)
            if match_closed:
                current_connection['end_time'] = datetime.strptime(match_closed.group(1), '%Y-%m-%d %H:%M:%S.%f')
                duration = (current_connection['end_time'] - current_connection['start_time']).total_seconds()
                current_connection['duration_seconds'] = duration
                connections.append(current_connection)
                current_connection = None

    return connections

# Uso
connections = parse_anydesk_trace('ad.trace')

# Generar informe pericial
for i, conn in enumerate(connections, 1):
    print(f"\n=== CONEXIÓN REMOTA #{i} ===")
    print(f"ID Remoto: {conn['remote_id']}")
    print(f"Inicio: {conn['start_time']}")
    print(f"Fin: {conn['end_time']}")
    print(f"Duración: {conn['duration_seconds']/60:.2f} minutos")
    print(f"\nCredenciales capturadas (keystrokes):")
    for ks in conn['keystrokes']:
        print(f"  - {ks}")
    print(f"\nArchivos transferidos:")
    for file in conn['files_transferred']:
        print(f"  - {file['filename']} ({file['size']})")
    print(f"\nDatos portapapeles (posible IBAN):")
    for cb in conn['clipboard']:
        print(f"  - {cb}")

Output ejemplo:

=== CONEXIÓN REMOTA #1 ===
ID Remoto: 382-749-120
Inicio: 2026-01-12 10:47:23
Fin: 2026-01-12 10:58:33
Duración: 11.17 minutos

Credenciales capturadas (keystrokes):
  - usuario_banco_victima
  - P@ssw0rd2025
  - 472819  ← Código SMS 2FA

Archivos transferidos:
  - Extracto_Bancario_2025.pdf (325 KB)
  - DNI_Scan.jpg (1.2 MB)

Datos portapapeles (posible IBAN):
  - ES12 3456 7890 1234 5678 9012  ← Cuenta mula destino

Fase 3: Correlación Evidencias

Timeline forense completo:

1. Llamada vishing (registro telefónico):
   10:42h - Llamada entrante desde +34 XXX (spoofed)
   Duración: 17 minutos

2. Instalación AnyDesk (log Windows):
   10:45h - Descarga AnyDesk.exe (5.7 MB)
   10:46h - Ejecución AnyDesk.exe (evento ID 11707 MsiInstaller)

3. Conexión remota (ad.trace):
   10:47h - Solicitud acceso desde ID 382-749-120
   10:47h - Acceso concedido

4. Acceso banca online (logs navegador Chrome):
   10:48h - https://bancoonline.bbva.es/ (sesión iniciada)

5. Transferencias bancarias (extracto banco):
   10:52h - Transfer €15,000 a ES12...9012 (cuenta mula 1)
   10:54h - Transfer €15,000 a ES34...4523 (cuenta mula 2)
   10:56h - Transfer €12,000 a ES56...7891 (cuenta mula 3)

6. Fin conexión (ad.trace):
   10:58h - Conexión cerrada

7. Denuncia víctima (Policía):
   11:18h - Víctima acude comisaría

Medidas preventivas y detección

Prevención Usuario

Señales alerta estafa AnyDesk:

🚨 RED FLAGS:
  ❌ Llamada NO solicitada (banco/Microsoft/Apple)
  ❌ Solicitan instalar software "verificación"
  ❌ Urgencia: "Su cuenta será bloqueada en 15 minutos"
  ❌ Piden usuario/contraseña/códigos SMS
  ❌ Nombre software desconocido (AnyDesk, Supremo, AmmyAdmin)

✅ NUNCA:
  ❌ Instalar software por llamada telefónica
  ❌ Proporcionar códigos SMS (2FA) a terceros
  ❌ Permitir acceso remoto dispositivo si NO iniciaste contacto

Protocolo seguro soporte legítimo:

Si empresa legítima necesita acceso remoto:
  ✅ TÚ llamas a número oficial (no número llamada entrante)
  ✅ Verificas identidad (número empleado, departamento)
  ✅ Sesión limitada tiempo (máximo 30 min)
  ✅ Supervisa pantalla CONSTANTEMENTE
  ✅ Cierra banca online antes conceder acceso
  ✅ Revoca acceso inmediatamente tras soporte

Detección Técnica

Antivirus/EDR (Endpoint Detection & Response):

Reglas detección AnyDesk malicioso:

1. Instalación desde ubicación sospechosa:
   AnyDesk legítimo: C:\Program Files (x86)\AnyDesk\
   AnyDesk malicioso: C:\Users\XXX\Downloads\AnyDesk.exe (portable)

2. Modo desatendido sin autorización corporativa:
   Detectar: Configuración --set-password (acceso sin interacción)

3. Alias sospechosos:
   Ejemplos: "Support_Microsoft", "BBVA_Security", "Policia_Nacional"

4. Conexiones desde geolocalizaciones inusuales:
   Usuario España → Conexión entrante Rumania (alerta)

SIEM (Security Information Event Management):

Alertas configurar:

1. Tráfico puerto 7070 TCP (AnyDesk):
   Si empresa NO usa AnyDesk → Bloquear puerto firewall

2. Resolución DNS anydesk.com:
   Correlacionar con:
     - Llamada telefónica entrante (registro PBX)
     - Usuario mayor de 60 años (perfil riesgo)

3. Múltiples transferencias bancarias post-instalación AnyDesk:
   Timeline: Instalación AnyDesk T+0 → Transfer T+5 min (sospechoso)

Peritaje judicial estafas AnyDesk

Servicios Pericial

Contratación típica: Víctima denuncia estafa, banco rechaza reembolso

Argumentos banco:

"Cliente autorizó transferencias:
  - Sesión iniciada con usuario/contraseña correcto
  - 2FA SMS introducido (código válido)
  - IP origen: domicilio cliente (no sospechosa)
  - No aplicamos 'gross negligence' (negligencia grave)
  → Denegamos reembolso €147,000"

Perito demuestra:

Análisis forense ad.trace:
  ✅ Conexión remota activa durante transferencias
  ✅ ID remoto 382-749-120 (Rumania) controló dispositivo
  ✅ Keystrokes capturados (víctima proporcionó credenciales engañada)
  ✅ Timeline: Llamada vishing → Instalación → Transferencias (11 min)

Conclusión:
  "Transferencias NO autorizadas voluntariamente por cliente.
   Engaño mediante ingeniería social (suplantación banco).
   Cliente víctima, NO responsable.
   Banco debe reembolsar €147,000 (Directiva PSD2 art. 74)."

Precedente jurisprudencia:

Sentencia Audiencia Provincial Madrid (2024):
  "Aunque cliente proporcionó credenciales, lo hizo engañado
   por estafadores suplantando identidad banco.
   Banco NO demostró 'gross negligence' cliente.
   → OBLIGADO reembolsar €87,000."

Sentencia Audiencia Provincial Barcelona (2025):
  "Evidencia forense AnyDesk demuestra control remoto dispositivo.
   Cliente manipulado (vishing). NO negligencia grave.
   → Banco reembolsa €142,000 + intereses."

Coste Pericial

Análisis forense AnyDesk:

Básico (análisis logs ad.trace):
  - Extracción conexiones remotas
  - Identificación ID atacante
  - Timeline transferencias
  Coste: €1,800-€3,500
  Plazo: 5-7 días

Avanzado (análisis forense completo):
  - Imagen forense disco completo
  - Recuperación archivos borrados
  - Análisis tráfico red (si disponible)
  - Correlación múltiples evidencias
  - Informe pericial judicial (40-60 páginas)
  Coste: €5,000-€12,000
  Plazo: 15-20 días

Ratificación judicial:
  Coste: €800-€1,500 (comparecencia juzgado)

ROI para víctima:

Cuantía robada: €147,000
Coste pericial: €8,000 (avanzado + ratificación)
Probabilidad éxito: 85% (precedentes favorables)

Recuperación esperada: €147,000 * 85% = €124,950
ROI: €124,950 - €8,000 = €116,950 (1,360% retorno)

FAQ

P: ¿AnyDesk es un malware? R: NO. AnyDesk es software legítimo usado por millones usuarios/empresas diariamente. Problema: Cibercriminales ABUSAN de él mediante ingeniería social, engañando víctimas para instalarlo. Similar a cuchillo: herramienta legítima, pero puede usarse maliciosamente. No es “virus”, es RAT (Remote Access Tool) usado maliciosamente.

P: ¿Cómo sé si tengo AnyDesk instalado en mi ordenador? R: Windows: Buscar en C:\Program Files (x86)\AnyDesk\ o C:\Users\XXX\AppData\Roaming\AnyDesk. Mac: /Applications/AnyDesk.app. Si NO recuerdas haberlo instalado → DESINSTALAR inmediatamente. Panel Control → Programas → Desinstalar AnyDesk.

P: ¿Banco debe reembolsarme si fui estafado vía AnyDesk? R: SÍ, según Directiva PSD2 (UE) 2015/2366 artículo 74. Banco debe demostrar “gross negligence” (negligencia grave) para rechazar reembolso. Jurisprudencia española: Engaño mediante ingeniería social NO es negligencia grave. Peritaje forense AnyDesk puede demostrar control remoto → Banco obligado reembolsar (85% casos favorables víctima).

P: ¿Puedo recuperar dinero robado vía AnyDesk? R: Depende rapidez denuncia. Menos de 24h: Banco puede bloquear cuentas mulas (recuperación 30-50%). Más de 72h: Fondos fraccionados/retirados (recuperación menor de 10%). Perito forense identifica cuentas destino (IBANs clipboard ad.trace) → Policía solicita bloqueo urgente. Recomendado: Denunciar INMEDIATAMENTE (mismo día).

P: ¿Necesito perito forense para denuncia estafa AnyDesk? R: NO obligatorio para denuncia Policía (puedes denunciar sin perito). PERO SÍ muy recomendado si: 1) Banco rechaza reembolso (litigio judicial), 2) Cuantía mayor de €20K (justifica coste pericial), 3) Necesitas recuperar archivos borrados/robados. Coste: €1.8K-€12K. ROI: 85% casos favorable víctima (recuperación cuantía robada).

Referencias y Fuentes

  1. Policía Nacional. (2026). “Operación Vicentius - Desarticulada organización estafas AnyDesk”. policia.es

    • 127 detenidos (España, Rumania, Bulgaria)
    • €18.4 millones robados, 2,847 víctimas
    • Modus operandi: Vishing + AnyDesk + mulas bancarias

  2. AnyDesk Software GmbH. (2025). “Official Documentation - Forensic Artifacts”. anydesk.com/docs

    • Ubicación logs (ad.trace, connection_incoming.txt)
    • Estructura datos conexión remota
    • Configuración auditoría sesiones

  3. INCIBE. (2025). “Alerta: Estafas soporte técnico falso con AnyDesk”. incibe.es

    • 847 denuncias estafas AnyDesk (2024)
    • Cuantía media robada: €18,700/víctima
    • Perfil víctima: 67% mayores 60 años

  4. OSI (Oficina Seguridad Internauta). (2024). “Guía Prevención Estafas Escritorio Remoto”. osi.es

    • Señales alerta vishing + AnyDesk
    • Protocolo denuncia urgente (menos de 24h)
    • Derechos víctima (reembolso PSD2)

  5. Audiencia Provincial Madrid. (2024). “Sentencia 472/2024 - Estafa AnyDesk”. cendoj.es

    • Banco obligado reembolsar €87,000
    • Peritaje forense ad.trace admitido como prueba
    • No negligencia grave víctima (engaño ingeniería social)

  6. Audiencia Provincial Barcelona. (2025). “Sentencia 128/2025 - Control remoto malicioso”. cendoj.es

    • Reembolso €142,000 + intereses
    • Evidencia forense keystrokes capturados
    • Precedente: Víctima manipulada NO responsable

  7. Europol. (2024). “Internet Organised Crime Threat Assessment (IOCTA) 2024”. europol.europa.eu

    • 12,400 casos estafas RAT (AnyDesk, TeamViewer, Supremo) UE 2023
    • €237 millones robados (19% aumento year-over-year)
    • 67% víctimas mayores 55 años

  8. Banco de España. (2023). “Circular 4/2023 - Fraude transferencias no autorizadas”. bde.es

    • Obligación banco reembolsar (PSD2 art. 74)
    • Excepción: Negligencia grave probada (burden of proof: banco)
    • Plazo reclamación: 13 meses desde transacción

  9. SANS Institute. (2024). “Forensic Analysis Remote Access Tools”. sans.org

    • Metodología análisis forense AnyDesk/TeamViewer
    • Artefactos Windows (registry, logs, network traffic)
    • Herramientas: FTK Imager, Wireshark, RegRipper

  10. Genbeta / Xataka. (2025-2026). “Análisis estafas AnyDesk España”. genbeta.com

    • Casos reales estafas (€50K-€200K robados)
    • Timeline típico: Vishing 10 min → Instalación 2 min → Vaciado cuenta 8 min
    • Tasa recuperación: 35% (si denuncia menos de 24h)

Última actualización: 10 Febrero 2026 Categoría: Herramientas (HER-013) Nivel técnico: Medio Relevancia forense: ALTA (análisis post-estafa, peritajes judiciales) Marco legal: PSD2 (UE) 2015/2366 art. 74 (reembolso transferencias no autorizadas)

¿Necesitas un peritaje forense?

Si necesitas ayuda profesional con análisis forense digital, estoy aquí para ayudarte.

Solicitar Consulta Gratuita
Jonathan Izquierdo

Jonathan Izquierdo · Perito Forense

+15 años experiencia · AWS Certified

WhatsApp