Como a polícia recupera dados apagados de celulares em investigações criminais
Polícia recupera dados apagados de celulares em investigações

Como a polícia recupera dados apagados de celulares em investigações criminais

Policiais têm a capacidade de recuperar conversas e arquivos apagados de celulares de investigados através de análises em serviços na nuvem e programas especializados que extraem informações diretamente dos aparelhos. A megaoperação realizada na quarta-feira, 15 de abril, que revelou um esquema suspeito de lavagem de R$ 1,6 bilhão, teve início justamente com a análise de arquivos no iCloud. Essa abordagem permitiu cruzar informações cruciais como extratos bancários, conversas privadas e documentos financeiros, conforme detalhado pela Polícia Federal.

O papel crucial dos serviços na nuvem

Em outra investigação de grande repercussão, a PF identificou mensagens trocadas entre Daniel Vorcaro, dono do Banco Master, e Paulo Henrique Costa, ex-presidente do BRB, segundo informações divulgadas no blog da jornalista Andréia Sadi. Costa foi preso pela PF na quinta-feira, 16 de abril. A análise de arquivos em serviços como iCloud e Google Drive pode ocorrer diretamente no celular do investigado, caso o aparelho esteja desbloqueado, ou mediante ordem judicial para que as plataformas compartilhem o material solicitado.

Dados recentes revelam a magnitude desses pedidos: autoridades brasileiras fizeram 38.290 solicitações de informações de usuários do Google apenas no primeiro semestre de 2025, segundo os números mais atualizados divulgados pela empresa. Os dados foram fornecidos em impressionantes 77% dos casos. No mesmo período, a Apple recebeu 7.592 pedidos por dados em aparelhos e atendeu 79% das solicitações. Adicionalmente, houve 3.678 pedidos específicos por dados armazenados na nuvem, com informações sendo disponibilizadas em 81% das instâncias.

Banner largo do Pickt — app de listas de compras colaborativas para Telegram

Ferramentas especializadas em extração de dados

Quando os policiais têm acesso físico aos celulares, podem empregar programas sofisticados como o israelense Cellebrite UFED e o americano Magnet Greykey. Estas ferramentas possuem uso restrito a especialistas e são capazes de contornar mecanismos de bloqueio, extraindo uma vasta gama de informações do dispositivo. Os programas conseguem acessar o histórico completo de mensagens em aplicativos populares como WhatsApp e Telegram. Em certos cenários, até mesmo dados deliberadamente apagados pelo proprietário do aparelho podem ser recuperados.

Isso ocorre porque as ferramentas não se limitam a analisar o conteúdo visível para os usuários comuns. Elas atuam em um nível mais profundo, focando em bancos de dados e outros registros técnicos presentes na memória interna do dispositivo. A primeira etapa crítica é desbloquear o celular, caso ele esteja protegido por senha. Este processo pode ser simples se o dono do aparelho cooperar fornecendo o código, ou pode exigir o uso de programas de perícia que buscam explorar vulnerabilidades para contornar o bloqueio e extrair os dados.

Os diferentes níveis de extração forense

Marcos Monteiro, presidente da Associação Nacional dos Peritos em Computação Forense (Apecof), explica que quando um programa de desbloqueio entra em ação, ele tenta explorar brechas de segurança específicas do modelo de celular. "Esse mecanismo de desbloqueio funciona literalmente como hackear o celular. Mas o Cellebrite ainda não tem uma forma automatizada de quebrar a senha de um iPhone 17, por exemplo", afirmou ao g1, referindo-se ao modelo lançado em 2025 pela Apple. As ferramentas que contornam o bloqueio são limitadas a especialistas forenses e possuem licenças que podem custar até US$ 50 mil por ano, aproximadamente R$ 250 mil na cotação de abril.

Os programas de extração de dados geralmente operam em dispositivos que se conectam ao celular via USB, identificando o método mais eficaz para obter as informações. Monteiro detalha que o processo pode ser descrito em quatro níveis distintos, do mais superficial ao mais profundo:

Banner pós-artigo do Pickt — app de listas de compras colaborativas com ilustração familiar
  1. Extração lógica: utiliza o nível do sistema operacional para obter dados como contatos, registros de chamadas e fotos visíveis.
  2. Extração lógica avançada: emprega privilégios do sistema para extrair mais dados, incluindo bancos de dados de aplicativos e informações temporárias.
  3. Extração em sistema de arquivos: alcança arquivos ocultos e registros em código – nem sempre é viável por exigir contornar mecanismos de segurança robustos.
  4. Extração física: recupera uma quantidade maior de dados, inclusive aqueles que permanecem na memória porque não foram substituídos por novas informações.

"O mesmo celular pode ser submetido a mais de uma extração, isso não é incomum. É importante", destacou Monteiro. "Na hora da análise, pode ser que um tipo de extração não tenha trazido a informação desejada, mas há outro tipo que trouxe". Wanderson Castilho, perito em segurança digital, enfatizou em uma reportagem de janeiro de 2026 que o ideal é realizar a extração o quanto antes, pois alguns registros são temporários. "Com algumas ferramentas, é possível 'quebrar' essa senha de um jeito muito mais fácil. Se desligar e ligar, fica mais difícil de quebrar", afirmou.

Análise e organização das evidências digitais

Com o material bruto extraído, os investigadores recorrem a programas especializados na análise desse conteúdo. A função principal é transformar arquivos inicialmente ilegíveis em informações compreensíveis e organizar grandes volumes de dados. Um dos softwares mais conhecidos é o IPED (Indexador e Processador de Evidências Digitais), criado por peritos da Polícia Federal em 2012. Ele permite buscar informações em registros de WhatsApp e Telegram, além de outros bancos de dados do aparelho.

O programa pode identificar padrões específicos, como números de CPF e valores monetários, agilizando significativamente as investigações. "O IPED não ignora nada que está no aparelho celular. Ele organiza algumas coisas e, nas que não são organizadas, permite fazer uma consulta um pouco mais avançada", explicou Monteiro. O perito acrescentou que existem programas capazes de recuperar até mesmo mensagens de visualização única. "Para isso, é preciso ler o banco de dados do WhatsApp ou do Telegram, e não acessar o aplicativo no aparelho de celular".

Limites da proteção em aplicativos de mensagens

As conversas no WhatsApp possuem criptografia de ponta a ponta desde 2016, projetada para impedir interceptações durante o envio das mensagens. "Antes de uma mensagem sair do seu dispositivo, ela é protegida com um cadeado de criptografia e apenas o destinatário da conversa tem as chaves para abri-lo", explica o aplicativo em seu site oficial. O Telegram também oferece essa proteção, mas, por padrão, armazena as conversas em seus próprios servidores.

O serviço afirmou ao g1 que, embora faça o máximo para proteger os usuários, é impossível garantir a segurança total em um dispositivo que já foi comprometido. "Uma vez que a segurança do sistema operacional subjacente é contornada, o invasor essencialmente obtém o mesmo acesso que o proprietário do aparelho", declarou o Telegram. Esta realidade sublinha a importância das medidas de segurança física dos dispositivos, complementando as proteções digitais oferecidas pelos aplicativos.