En la informática forense, especialmente en la forense de Windows, identificar rutas de archivos anómalas es crucial al tratar con datos a gran escala. Los métodos de incrustación estática tradicionales, que agregan representaciones a nivel de token, descartan las relaciones jerárquicas y secuenciales en las rutas de archivos, lo que lleva a una clasificación errónea de las anomalías. Este estudio introduce un enfoque de modelado de secuencias basado en Transformer para clasificar rutas de archivos anómalas, abordando estas limitaciones al preservar las relaciones posicionales y contextuales. Las rutas de archivos de la Tabla Maestra de Archivos NTFS (MFT) fueron incrustadas utilizando FastText para capturar dependencias estructurales y contextuales. A diferencia de las incrustaciones estáticas, el método propuesto procesa las rutas de archivos como secuencias estructuradas para mejorar la precisión de la detección de anomalías. Experimentos extensos mostraron que los modelos Transformer generalmente superaron a los métodos tradicionales en la detección de anomalías estructuradas. El modelo Transformer con incrustaciones de FastText (32 dimensiones) logró una precisión de 0.9781 y un F1-score de 0.9782, mientras que Random Forest con incrustaciones de FastText (64 dimensiones) logró una precisión de 0.9729 y un F1-score de 0.9729. Estos hallazgos sugieren que un marco de detección de anomalías híbrido que combine modelos basados en Transformer con técnicas tradicionales podría mejorar la robustez en las investigaciones forenses. La investigación futura debería explorar la combinación de ambos métodos para mejorar la adaptabilidad en diversos escenarios forenses.