A análise de celulares apreendidos em operações da Polícia Federal (PF) permite acessar dados mesmo quando os aparelhos estão bloqueados, desligados ou com informações apagadas. A informação foi publicada pelo O Globo na segunda-feira (9).
No caso do banqueiro Daniel Vorcaro, dono do Banco Master, a perícia digital extraiu mensagens de visualização única e arquivos excluídos, o que garantiu a rastreabilidade completa dos dados.
Peritos da PF ouvidos reservadamente pelo jornal explicaram que a abordagem é complementar: se um programa não consegue acessar determinado conteúdo, outro consegue.
O primeiro passo é "quebrar a senha" e realizar a extração "bit por bit", replicando todo o conteúdo do dispositivo, inclusive fragmentos de arquivos perdidos.
Segundo o perito em crimes digitais Wanderson Castilho, é justamente a recuperação desses fragmentos que possibilita rastrear mensagens enviadas, mesmo que tenham sido apagadas ou configuradas para visualização única.
Visualização única
Vorcaro utilizava capturas de tela enviadas em formato de visualização única para se comunicar com o ministro do Supremo Tribunal Federal (STF). Ainda assim, os registros permanecem nos dispositivos.
"O software mantém registros de que houve uma mensagem naquela data. Ele fixou os registros, os logs. Talvez ele não dê diretamente o conteúdo da imagem, mas é possível recuperar o caminho do arquivo e identificar que ele foi puxado naquela conversa", detalha Castilho.
Com base nesses dados, a perícia consegue determinar destinatário, horário e tipo de arquivo, revertendo a lógica do apagamento.
Cellebrite e o GrayKey
As ferramentas usadas pela PF incluem o Cellebrite e o GrayKey, líderes globais em perícia digital, capazes de desbloquear aparelhos, contornar senhas e extrair dados de aplicativos como WhatsApp.
Para organizar e analisar o volume de informações, a PF utiliza o programa IPED (Indexador e Processador de Evidências Digitais), que transcreve áudios, facilita buscas por palavras-chave e processa backups, tornando a investigação mais rápida e eficiente.
O IPED também gera uma "assinatura digital" chamada código hash (uma sequência matemática de letras e números) para cada arquivo, garantindo a integridade das provas.
Arquivos agrupados em pastas pelo software podem coincidir apenas por essa lógica matemática, e não indicam necessariamente destinatários específicos.
A combinação de ferramentas e metodologias permite analisar mensagens apagadas, visualizações únicas e outros conteúdos digitais com precisão.