Caso Master: é possível a perícia recuperar mensagens apagadas no celular de Vorcaro?
Perícia da Polícia Federal analisa celular do banqueiro para tentar recuperar mensagens apagadas após sua prisão
A perícia da Polícia Federal analisa o celular do banqueiro Daniel Vorcaro, dono do Banco Master, para tentar recuperar mensagens apagadas, entre elas supostas conversas com Alexandre de Moraes, ministro do Supremo Tribunal Federal (STF). Segundo especialistas ouvidos pelo Terra, a análise utiliza diversas ferramentas tecnológicas capazes de acessar dados mesmo quando os aparelhos estão bloqueados por senha, desligados ou quando as informações foram excluídas. Esses recursos permitem extrair e examinar os arquivos eletrônicos contidos nos dispositivos, auxiliando a investigação.
Receba as principais notícias direto no WhatsApp! Inscreva-se no canal do Terra
De acordo com o professor Marcelo Crespo, coordenador do curso de Direito da ESPM e especialista em Direito Digital, em muitos casos é possível recuperar mensagens apagadas de um celular. O especialista explica que, quando o usuário apaga uma mensagem, ela nem sempre desaparece imediatamente do armazenamento do aparelho. O que normalmente ocorre é que o sistema apenas marca aquele espaço de memória como disponível para ser sobrescrito.
"Em perícias digitais, especialistas utilizam ferramentas de extração forense que analisam o banco de dados interno dos aplicativos, arquivos temporários e fragmentos de memória do dispositivo. Com isso, é possível reconstruir parte do histórico de mensagens, dependendo das condições do aparelho", explica Crespo.
Antes mesmo da análise técnica começar, no entanto, os aparelhos apreendidos passam por um procedimento formal conhecido como cadeia de custódia. Para o perito forense Sérgio Hernandez Saldias, essa etapa é fundamental para garantir a validade das provas digitais.
"Ninguém pode mexer neles, ligar ou desligar, ou acessar arquivos sem permissão legal. Apenas peritos oficiais têm autorização para manipular os aparelhos e realizar a análise", explica.
Em muitos casos, conforme acrescenta Crespo, mesmo após serem excluídos pelo usuário, os dados podem permanecer no dispositivo até que o espaço de armazenamento seja sobrescrito por novas informações. O tempo de recuperação depende de diversos fatores, como o uso do aparelho após a exclusão, o tipo de sistema operacional e o funcionamento do aplicativo específico.
Segundo Saldias, não existe um prazo definido para a recuperação desses dados. "Não existe uma janela de tempo para a recuperação de arquivos. A extração dependerá da possibilidade de quebrar a senha e a criptografia do aparelho e também de as informações terem sido ou não sobreescritas."
Se o celular continua sendo utilizado intensamente após a exclusão, por exemplo, aumenta a chance de os dados antigos serem substituídos por novas informações, o que pode tornar a recuperação mais difícil.
Mensagens de visualização única podem ser recuperadas?
De acordo com Crespo, mensagens de visualização única são projetadas justamente para desaparecer após a visualização, o que reduz significativamente a possibilidade de recuperação do conteúdo. No entanto, ainda podem existir registros indiretos, como metadados que indicam que a mensagem foi enviada ou recebida, além de possíveis fragmentos temporários armazenados no sistema.
"Em algumas situações, também podem existir cópias em cache, backups ou registros nos dispositivos envolvidos. Justamente em razão da criptografia, o conteúdo não deve ser acessível, a menos que o destinatário ou remetente tenham salvo cópias de alguma forma", destaca o especialista.
Ou seja, na prática pericial ainda existem alguns cenários em que esse tipo de conteúdo pode ser identificado. Saldias reforça que em determinadas circunstâncias as ferramentas forenses conseguem localizar registros ou fragmentos relacionados às mensagens. "É possível em alguns cenários", ressalta.
É possível rastrear a origem ou o caminho de uma mensagem?
Devido à criptografia de ponta a ponta, o conteúdo da mensagem não pode ser rastreado nos servidores do aplicativo. Porém, a perícia pode identificar elementos como o número de telefone associado à conta, o horário de envio, o dispositivo utilizado e o histórico da conversa armazenado no aparelho, conforme Crespo. Esses metadados ajudam a reconstruir a comunicação entre as contas envolvidas.
Ferramentas de perícia digital são utilizadas principalmente por órgãos de investigação e perícia oficial, como a Polícia Federal, polícias civis estaduais, institutos de criminalística e unidades de perícia técnica. O uso desses recursos normalmente ocorre no contexto de investigações formais e depende de autorização judicial quando envolve acesso a dados protegidos por sigilo.
Esses softwares de perícia digital, segundo o professor, realizam extrações do dispositivo -- ou seja, copiam e analisam os dados armazenados no aparelho de forma controlada, preservando a integridade das provas e indícios. Eles conseguem acessar bancos de dados de aplicativos, registros do sistema, arquivos apagados e metadados. Em seguida, organizam essas informações para permitir que os peritos reconstruam atividades realizadas no dispositivo.
De acordo com o perito Sérgio Saldias, o funcionamento dessas ferramentas segue um processo técnico relativamente padronizado. "Eles, de forma primária, tentam quebrar a senha do aparelho quando ela não é fornecida para posteriormente fazer uma varredura no aparelho procurando arquivos presentes e apagados, incluindo conversas."
Como ocorre o acesso a dados de um celular protegido por senha?
De acordo com o coordenador do curso de Direito da ESPM, dependendo do modelo do aparelho e da versão do sistema operacional, ferramentas forenses podem explorar mecanismos técnicos que permitem acessar os dados armazenados. Em alguns casos, também é possível utilizar backups, dados sincronizados em nuvem ou registros internos do sistema. Muitas vezes, a cooperação do usuário ou decisões judiciais podem determinar a forma de acesso ao dispositivo.
O acesso a dados em celulares protegidos por senha ou biometria envolve procedimentos de perícia digital bastante específicos, que variam conforme o modelo do aparelho, o sistema operacional e a versão de segurança instalada. Em linhas gerais, os especialistas trabalham com três tipos principais de extração forense: extração lógica, extração do sistema de arquivos e extração física.
- Extração lógica: É a forma mais simples, já que esse método o software forense acessa dados que o próprio sistema operacional permite consultar, como histórico de chamadas, contatos, mensagens armazenadas em aplicativos, fotos e alguns bancos de dados internos. Esse método pode funcionar mesmo quando o aparelho está bloqueado em certos casos, especialmente se houver autorização judicial para acessar backups associados à conta do usuário, como backups do iCloud ou do Google. Porém, ele tende a recuperar apenas os dados ainda ativos no sistema.
- Extração do sistema de arquivos: Permite acessar uma camada mais profunda do dispositivo. Nesse procedimento, as ferramentas forenses conseguem copiar a estrutura interna de arquivos do sistema operacional, incluindo bancos de dados de aplicativos, registros do sistema e arquivos temporários. É nesse tipo de extração que muitas vezes se encontram bancos de dados de aplicativos de mensagens, como o WhatsApp ou o Telegram. Esses bancos de dados normalmente estão armazenados em formato SQLite e contêm registros estruturais das conversas, como participantes do chat, horários das mensagens e identificadores de cada mensagem.
- Extração física: É o nível mais profundo de extração de dados, em que os peritos tentam obter uma cópia completa da memória do dispositivo, setor por setor. Esse método permite analisar inclusive fragmentos de dados que foram apagados, mas que ainda não foram sobrescritos pelo sistema. É nesse nível que, em alguns casos, é possível reconstruir mensagens apagadas ou identificar artefatos de aplicativos que já não aparecem mais na interface do telefone. Contudo, esse tipo de extração depende muito do modelo do aparelho e das proteções de segurança implementadas pelo fabricante.
"Para realizar esses procedimentos, as equipes de perícia utilizam ferramentas profissionais amplamente adotadas em investigações digitais, como Cellebrite, Oxygen Forensics e Magnet AXIOM", explica Crespo. "Esses sistemas conseguem identificar vulnerabilidades específicas de determinados modelos de celular ou versões do sistema operacional para acessar o armazenamento interno", acrescenta.
Em aparelhos que utilizam o sistema Android, isso pode envolver a exploração de interfaces de depuração ou de boot do sistema. Já em dispositivos com iOS, muitas vezes a análise depende do acesso a backups do dispositivo ou de técnicas específicas para contornar certas camadas de proteção.
Quando o aparelho está protegido por senha ou biometria, a situação se torna mais complexa. A biometria, como impressão digital ou reconhecimento facial, normalmente apenas desbloqueia a senha armazenada no sistema. Em termos técnicos, portanto, o verdadeiro mecanismo de proteção continua sendo o código de acesso do aparelho.
Em alguns casos, ferramentas forenses conseguem acessar dados do dispositivo sem conhecer essa senha, explorando falhas específicas do hardware ou do sistema operacional. Em outros, a perícia depende de métodos indiretos, como a análise de backups automáticos armazenados em serviços de nuvem ou de dados sincronizados com computadores que já tenham sido autorizados anteriormente pelo aparelho.
Mesmo assim, existem limites importantes. "Sistemas modernos de smartphones utilizam criptografia completa do armazenamento, o que significa que os dados ficam matematicamente protegidos pela chave derivada da senha do usuário. Se o aparelho estiver desligado, bloqueado e utilizando uma versão recente do sistema com criptografia forte, pode ser extremamente difícil acessar o conteúdo sem a senha", diz o professor.
Por isso, em muitas investigações, a possibilidade de extração depende de fatores como se o aparelho estava desbloqueado no momento da apreensão, se já estava pareado com algum computador, se existem backups disponíveis ou se o modelo do dispositivo possui vulnerabilidades conhecidas que permitam o acesso forense, explica Crespo.
Limites técnicos da recuperação de dados
Se os dados foram sobrescritos por novas informações, se o armazenamento foi totalmente apagado ou se o dispositivo utiliza mecanismos avançados de criptografia e limpeza segura, a recuperação pode se tornar impossível. Atualizações do sistema, redefinições de fábrica ou uso contínuo do aparelho após a exclusão também podem reduzir bastante as chances de recuperação.
O modelo do celular ou o sistema operacional, Android ou iOS, influencia bastante na possibilidade de recuperação dos dados. Cada sistema possui mecanismos diferentes de armazenamento e segurança. Em geral, versões mais recentes desses sistemas contam com criptografia e proteção de dados mais robustas, o que pode dificultar a recuperação de informações apagadas. O modelo do aparelho também pode determinar quais técnicas forenses são viáveis.
Além disso, a criptografia de ponta a ponta impede que terceiros acessem o conteúdo das mensagens nos servidores do aplicativo. No entanto, quando a perícia analisa diretamente o aparelho do usuário, o conteúdo pode estar armazenado já descriptografado no dispositivo ou em bancos de dados internos do aplicativo. Por isso, a criptografia dificulta o acesso externo, mas não impede necessariamente a análise forense do aparelho onde as mensagens foram armazenadas.
