A investigação dos dados contidos em celulares confiscados durante operações policiais, como a do banqueiro Daniel Vorcaro, proprietário do Banco Master, realizada pela Polícia Federal (PF), envolve uma variedade de tecnologias que possibilitam o acesso às informações, mesmo em casos de aparelhos bloqueados por senhas, desligados ou com dados deletados. O procedimento de extração e análise dos dados é realizado por meio de softwares e técnicas da PF, que asseguram, entre outras coisas, a rastreabilidade de mensagens de visualização única e arquivos que foram removidos. Recentemente, o GLOBO conversou com especialistas forenses para esclarecer como essas ferramentas são utilizadas na investigação para acessar e examinar dados de arquivos eletrônicos.
Especialistas da Polícia Federal, que falaram de maneira confidencial devido à sua situação ativa, afirmam que a busca por provas geralmente é complementar; ou seja, enquanto um software pode não conseguir extrair certas informações, outro pode. Independentemente do método de análise utilizado, eles esclarecem que o primeiro passo após a confiscagem de dispositivos eletrônicos é “desbloquear a senha” para acessar os dados contidos neles.
A Polícia Federal emprega recursos como o Cellebrite e o Graykey para realizar uma “extração completa”, que captura tudo que existe no dispositivo, até mesmo dados fragmentados do banco de dados. Os especialistas se referem a isso como uma cópia “bit a bit”, que essencialmente reflete todo e qualquer dado encontrado em computadores ou smartphones.
De acordo com o especialista em fraudes digitais Wanderson Castilho, a recuperação desses dados é o que possibilita a localização do envio de arquivos que foram deletados ou, no caso da apuração relacionada ao celular de Vorcaro, de mensagens que se autodestroem.
— Ao excluir uma mensagem ou enviá-la em modo de visualização única, os dados que comprovam o envio, os registros dessa ação, permanecem salvos.
Exibição singular
Conforme apurações, Vorcaro recorria a um método para dificultar o acesso às conversas: ele enviava imagens de notas manuscritas de seu bloco de notas para os destinatários, utilizando um formato de visualização única. Como destacou a colunista Malu Gaspar, do GLOBO, essa foi a maneira que ele encontrou para se comunicar com o ministro Alexandre de Moraes, do Supremo Tribunal Federal (STF), no dia em que foi preso pela primeira vez, em novembro de 2025.
Contudo, conforme expõe Castilho, mesmo quando a informação é transmitida dessa maneira, é viável acompanhar a trilha dos documentos enviados por Vorcaro, incluindo dados sobre o horário e o destinatário. O especialista ressaltou que o aplicativo adotado por Vorcaro, o WhatsApp, permite o envio apenas de mensagens de visualização única para fotos e vídeos. Dado que Vorcaro encaminhava capturas de tela, ele, obrigatoriamente, utilizava imagens que, em algum ponto, tinham sido armazenadas em seu aparelho, mesmo que as tivesse removido após isso.
— O programa armazena informações que indicam a presença de uma mensagem durante aquele dia. Ele registra os dados, os logs. Embora não revele o conteúdo da imagem de forma direta, é viável traçar o local do arquivo e confirmar que ele foi acessado naquela interação — explica o especialista em análise digital.
Apesar de mensagens serem eliminadas ou programadas para desaparecer em pouco tempo, o especialista ressalta que os registros — dados sobre o momento de envio e o destinatário — das interações podem ser arquivados e acessados posteriormente. Com essas informações, o sistema é capaz de, por exemplo, traçar a trilha do arquivo, identificar seu destinatário, a data de envio e o formato do documento, anulando o efeito do desaparecimento do conteúdo.
Especialistas da PF consultados pelo GLOBO enfatizaram que múltiplos elementos influenciam essa situação, sendo um deles o instante da captura. No caso do banqueiro, as comunicações realizadas por Vorcaro foram enviadas na tarde do dia em que foi detido pela PF. Em resumo, embora as mensagens tenham sido enviadas com a opção de visualização única, a duplicação dos conteúdos de seu aparelho revelou que as fotos ainda permaneciam no celular, ou seja, nem mesmo haviam sido removidas.
Recurso de Israel
O Cellebrite e o GrayKey, empregados pela Polícia Federal, são as duas ferramentas mais relevantes de investigação forense digital e estão entre as mais adotadas por agências de segurança e inteligência globalmente. Ambos os softwares possibilitam o acesso a smartphones, a superação de senhas e a extração de informações. A Cellebrite, uma companhia israelense, oferece soluções que garantem a recuperação de mensagens deletadas, históricos de chamadas e informações de aplicativos de terceiros, como o WhatsApp.
O GrayKey, criado pela companhia norte-americana Grayshift, tem como principal objetivo o desbloqueio de dispositivos da Apple, que são reconhecidos por sua robusta criptografia. Uma vez que a senha é descoberta, a ferramenta realiza o download integral do sistema de arquivos do aparelho, possibilitando a análise forense de mensagens, imagens e informações de aplicativos.
Dado que os smartphones atuais possuem uma capacidade de armazenamento na casa dos terabytes, a análise apenas da extração crua torna-se impraticável. Nesse contexto, a Polícia Federal recorre ao IPED (Indexador e Processador de Evidências Digitais), um software desenvolvido internamente que auxilia na organização de documentos, na transcrição de gravações e na otimização da busca por termos específicos, como a palavra “golpe“, bastante recorrente nas investigações relacionadas ao 8 de Janeiro.
O IPED, por sua vez, concentra-se principalmente na realização de backups. Os documentos que a Polícia Federal enviou à Comissão Parlamentar de Inquérito (CPI) do INSS, no Congresso, resultaram da duplicação de arquivos armazenados na nuvem e processados pelo IPED, o que fez com que o histórico total de mensagens do WhatsApp não estivesse disponível (exceto por um único backup realizado pelo próprio banqueiro de uma conversa com sua namorada).
A dinâmica desse sistema fundamentou a argumentação de Moraes na sexta-feira passada, quando ele refutou ser o destinatário das mensagens de Vorcaro no dia da sua detenção. O juiz afirmou que os prints obtidos do celular do banqueiro estavam organizados na mesma pasta que arquivos de outros contatos, insinuando que as mensagens não foram direcionadas a ele. Especialistas e peritos explicam que a organização nas pastas do IPED não se relaciona de forma alguma com quem recebe a mensagem.
Para assegurar a autenticidade das evidências, o IPED cria uma “assinatura digital” única para cada documento, o que é conhecido como código hash (uma combinação alfanumérica). Quando o software organiza os dados em pastas de forma visual, ele agrupa automaticamente os arquivos com base nos dois primeiros caracteres desse código. Assim, se uma imagem de tela e um contato pessoal ficam na mesma pasta, isso é apenas uma coincidência relacionada à criptografia, não evidenciando uma prova de envio. (Foto: O Globo)
Por Opinião em Pauta com informações de O Globo
