Programas da PF permitem recuperar mensagens apagadas em celulares

A análise de celulares apreendidos em investigações policiais, como o do banqueiro Daniel Vorcaro, dono do Banco Master, pela Polícia Federal (PF), utiliza diversas ferramentas tecnológicas que viabilizam o acesso aos dados mesmo com aparelhos bloqueados por senha, desligados ou com informações deletadas.

O processo de extração e perícia digital é realizado por softwares e técnicas próprias da PF que garantem rastrear até mensagens que foram configuradas para visualização única e arquivos removidos.

Peritos forenses consultados explicam que a investigação adota uma abordagem complementar: softwares diferentes conseguem extrair conteúdos distintos, e o passo inicial é sempre desbloquear o aparelho para acessar seus dados.

Para isso, a PF usa ferramentas como Cellebrite e Graykey, que realizam uma cópia completa do dispositivo, inclusive recuperando fragmentos perdidos diretamente do banco de dados. Essa técnica, chamada de cópia “bit a bit”, permite espelhar muito conteúdo presente no aparelho.

Segundo o especialista em crimes digitais Wanderson Castilho, recuperar esses fragmentos possibilita rastrear o envio de arquivos apagados ou mensagens de visualização única, pois os registros e logs dessas ações permanecem armazenados no sistema.

Em roteiros de investigação, Vorcaro usava uma estratégia para tentar dificultar o acesso a suas mensagens: enviava capturas de tela de anotações feitas em seu bloco de notas no formato visualização única. Mesmo assim, é possível rastrear esses arquivos, incluindo horário e destinatário.

O WhatsApp limita a visualização única a imagens e vídeos. Como Vorcaro enviava capturas de tela, elas tinham que estar salvas no dispositivo previamente, mesmo que fossem apagadas depois.

“O software registra que houve uma mensagem naquela data, armazenando os logs. Talvez não revele o conteúdo diretamente, mas permite identificar o caminho do arquivo carregado na conversa”, afirma o perito.

Mesmo se as mensagens forem deletadas ou desaparecem rapidamente, os logs — dados sobre o envio, destinatário e horário — podem ser recuperados, revertendo o processo de exclusão dos conteúdos.

Peritos explicam que o momento da apreensão é crucial para a preservação das provas. No caso do banqueiro, as mensagens foram registradas no dispositivo na própria data da prisão, portanto ainda estavam salvas no aparelho.

As ferramentas Cellebrite e GrayKey são amplamente utilizadas globalmente para perícia forense digital, possibilitando desbloquear dispositivos, contornar senhas e extrair dados, inclusive mensagens e registros de chamadas. Cellebrite é uma empresa israelense, enquanto GrayKey é produzido pela americana Grayshift, focada em aparelhos da Apple.

Devido à grande capacidade de armazenamento dos celulares modernos, analisar toda a extração em detalhe seria impraticável. A PF então usa o IPED (Indexador e Processador de Evidências Digitais), programa próprio que organiza arquivos, transcreve áudios e facilita buscas por palavras-chave relevantes das investigações.

O IPED trabalha principalmente com backups em nuvem, como os arquivos entregues pela PF à CPI do INSS, que não continham o histórico completo do WhatsApp, à exceção de uma conversa salva pelo próprio banqueiro com sua namorada.

Essa metodologia foi usada pela defesa do ministro Alexandre de Moraes para negar que ele tenha sido destinatário das mensagens de Vorcaro na data da prisão, alegando que os arquivos estavam na mesma pasta que contatos diversos, sugerindo ausência de envio específico.

Especialistas e peritos esclarecem que a organização dos arquivos pelo IPED baseia-se em códigos hash, que agrupam arquivos em pastas conforme os dois primeiros caracteres da assinatura digital. Compartilhar pasta, portanto, é coincidência criptográfica e não prova de envio.

Para garantir a integridade das provas, o IPED gera um código hash para cada arquivo, permitindo identificar e agrupar os dados visualmente de forma segura e organizada, sem correlação direta com o conteúdo do envio.