A análise do conteúdo de celulares apreendidos em operações policiais, como o do banqueiro Daniel Vorcaro, dono do Banco Master, pela Polícia Federal (PF) envolve uma série de ferramentas tecnológicas que permitem acessar os dados mesmo quando os aparelhos estão bloqueados por senhas ou desligados ou as informações foram excluídas do dispositivo.



O processo de extração e perícia dos dados de celulares é feito por meio de programas e metodologias da PF que garantem, inclusive, a rastreabilidade de mensagens de visualização única e de arquivos apagados.

O Globo conversou nos últimos dias com peritos forenses para explicar como a investigação utiliza esses recursos para extrair e examinar as informações a partir de arquivos eletrônicos.





Peritos da PF ouvidos de forma reservada, já que alguns deles ainda estão na ativa, afirmam que a abordagem em busca de evidências costuma ser complementar, isto é, o que algum programa pode ser incapaz de extrair, outro conseguirá. Independentemente da forma de análise, explicam, o primeiro passo após a apreensão de aparelhos eletrônicos é “quebrar a senha” e acessar o conteúdo.



Para isso, a PF utiliza ferramentas como o Cellebrite e o Graykey, que realizam uma “extração bruta” copiando absolutamente tudo o que está no aparelho, incluindo até mesmo fragmentos perdidos diretamente do banco de dados. É o que os peritos chamam de cópia “bit por bit”, que significa basicamente espelhar todo e qualquer conteúdo presente em notebooks ou celulares.



Segundo o perito em crimes digitais Wanderson Castilho, é a recuperação desses fragmentos que permite rastrear o envio de arquivos que foram apagados ou, no caso da investigação envolvendo o celular de Vorcaro, de mensagens de visualização única:



"Quando você apaga ou manda uma informação, ou manda uma informação em visualização única, os registros de que você mandou uma mensagem, os logs disso, ficam armazenados".



Visualização única

De acordo com as investigações, Vorcaro utilizava uma técnica para tentar evitar que a troca de mensagens em si ficasse facilmente acessível: enviava capturas de tela (prints) de anotações feitas no seu bloco de notas aos remetentes no formato de visualização única. Como revelou a colunista Malu Gaspar, do GLOBO, foi dessa forma que ele se comunicou com o ministro Alexandre de Moraes, do Supremo Tribunal Federal (STF), no dia de sua primeira prisão, em novembro de 2025.



Entretanto, como detalha Castilho, mesmo quando a mensagem é enviada dessa forma é possível realizar a rastreabilidade dos arquivos enviados por Vorcaro, inclusive com informações sobre horário e destinatário. O perito destacou que o aplicativo utilizado por Vorcaro, o WhatsApp, permite apenas que sejam enviadas mensagens de visualização única com imagens e vídeos. Como Vorcaro remetia capturas de tela, ele necessariamente usava imagens que, em algum momento, haviam sido salvas no seu dispositivo, mesmo que ele viesse a apagá-las posteriormente.



"O software mantém registros de que houve uma mensagem naquela data. Ele fixou os registros, os logs. Talvez ele não dê diretamente o conteúdo da imagem, mas é possível recuperar o caminho do arquivo e identificar que ele foi puxado naquela conversa", diz o especialista em perícia digital.



Mesmo que mensagens sejam apagadas ou enviadas para sumir logo em seguida, o perito destaca que os logs — informações de quando foram enviadas e para quem — das conversas podem ser armazenados e recuperados. Com esses registros, o software consegue, por exemplo, identificar o caminho do arquivo, para quem ele foi enviado, a data e o tipo de documento, revertendo a lógica do apagamento do conteúdo.



Peritos da PF ouvidos pelo GLOBO destacaram que diversos fatores contribuem para isso, e um deles é exatamente o momento da apreensão. No caso específico do banqueiro, as mensagens trocadas por Vorcaro foram escritas por ele na tarde do dia em que foi preso pela PF. Em outras palavras, mesmo enviando as mensagens por visualização única, o espelhamento dos arquivos do seu dispositivo mostrou que as imagens continuavam salvas no seu celular, ou seja, ainda não tinham sequer sido apagadas.

Recurso israelense

O Cellebrite e o GrayKey, usados pela PF, são as duas principais ferramentas de perícia forense digital e duas das mais utilizadas por órgãos de segurança e inteligência ao redor do mundo. Os dois programas permitem desbloquear smartphones, contornar senhas e extrair dados. A Cellebrite é uma empresa israelense e vende soluções que prometem recuperar até mesmo mensagens apagadas, registros de chamadas e dados de aplicativos de terceiros, como o WhatsApp.



Já o GrayKey é desenvolvido pela empresa americana Grayshift. Seu foco de atuação é principalmente no desbloqueio de aparelhos da Apple, conhecidos pela sua forte criptografia. Após a descoberta da senha, a ferramenta também faz o download do sistema de arquivos completo do dispositivo, permitindo a análise forense das mensagens, fotos e dados de aplicativos.



Como celulares modernos possuem terabytes de memória, analisar apenas a extração bruta seria inviável. É nesse momento que a PF utiliza o IPED (Indexador e Processador de Evidências Digitais), um programa próprio utilizado para organizar arquivos, transcrever áudios e facilitar a busca por palavras-chave (como o termo “golpe”, muito buscado nas investigações do 8 de Janeiro).



O IPED, no entanto, foca principalmente em backups. Os arquivos entregues pela PF à Comissão Parlamentar de Inquérito (CPI) do INSS, do Congresso, eram fruto de um espelhamento de arquivos salvos em nuvem processados pelo IPED, e por isso não continham o histórico completo de conversas do WhatsApp (com exceção de um único backup salvo pelo próprio banqueiro de uma conversa com a namorada).

Foi a mecânica desse sistema que embasou a defesa de Moraes na última sexta-feira para negar ter sido o destinatário das mensagens de Vorcaro no dia de sua prisão. O magistrado argumentou que os prints extraídos do celular do banqueiro estavam na mesma pasta que arquivos de outros contatos, sugerindo que as mensagens não teriam sido enviadas a ele. Especialistas e peritos esclarecem que a divisão nas pastas do IPED não tem qualquer relação com o destinatário da mensagem.

Para garantir a integridade das provas, o IPED gera para cada arquivo uma “assinatura digital” chamada de código hash (uma sequência matemática de letras e números). Ao cria pastas para exibir os dados visualmente, o software agrupa os arquivos usando automaticamente os dois primeiros caracteres desse código. Portanto, se uma captura de tela e o contato de uma pessoa terminam na mesma pasta, trata-se apenas de uma coincidência criptográfica, e não de uma prova de envio.

