Como policiais recuperam conversas e arquivos do celular e da nuvem de investigados

A megaoperação de quarta-feira (15) que revelou um esquema suspeito de lavar R$ 1,6 bilhão começou com a análise de arquivos no iCloud. Ela permitiu cruzar informações como extratos, conversas e documentos financeiros, segundo a Polícia Federal. Como um backup no iCloud levou à prisão de MC Ryan SP e MC Poze do Rodo A análise de arquivos em serviços como iCloud e Google Drive pode acontecer diretamente no celular do investigado, caso o aparelho esteja desbloqueado, ou por meio de ordem judicial para plataformas compartilharem o material. Autoridades fizeram 38.290 pedidos de informações de usuários do Google de janeiro a junho de 2025, segundo dados mais recentes divulgados pela empresa. Os dados foram fornecidos em 77% dos casos. No mesmo período, a Apple recebeu 7.592 pedidos por dados em aparelhos e forneceu informações em 79% dos casos. Houve ainda 3.678 pedidos por dados na nuvem, com informações fornecidas em 81% dos casos. Policiais com acesso aos celulares também podem usar programas como o israelense Cellebrite UFED e o americano Magnet Greykey, que têm uso restrito e são capazes de contornar mecanismos de bloqueio e extrair muitas informações do dispositivo. Os programas conseguem acessar o histórico de mensagens em aplicativos como WhatsApp e Telegram. E, em alguns casos, recuperam dados apagados pelo dono do aparelho. Isso porque as ferramentas não analisam apenas o que está visível para usuários. Elas se concentram, na verdade, em bancos de dados e outros registros presentes na memória do dispositivo. Como o aparelho é desbloqueado A primeira etapa é desbloquear o celular caso ele seja protegido por senha. Isso pode ser simples, se o dono do aparelho fornecer o código, ou exigir o uso de programas de perícia que buscam contornar o bloqueio para extrair os dados. Caso o programa entre em ação, ele tentará explorar brechas de segurança específicas do modelo de celular. Essas falhas levam tempo para serem descobertas, o que dificulta o processo em aparelhos recentes, explicou Marcos Monteiro, presidente da Associação Nacional dos Peritos em Computação Forense (Apecof). “Esse mecanismo de desbloqueio funciona literalmente como hackear o celular. Mas o Cellebrite ainda não tem uma forma automatizada de quebrar a senha de um iPhone 17, por exemplo”, afirmou ao g1, em referência ao modelo lançado em 2025 pela Apple. As ferramentas que contornam o bloqueio de celulares são limitadas a especialistas forenses e têm licenças que chegam a custar US$ 50 mil por ano (cerca de R$ 250 mil, na cotação de 16 de abril). Como os dados são extraídos Os programas de extração dos dados costumam rodar em dispositivos que se conectam ao celular por meio de uma conexão USB e identificam o melhor método para obter as informações. As ferramentas atuam em um nível mais profundo no aparelho, explorando vulnerabilidades em sistemas, e não nos aplicativos. Cellebrite UFED é o dispositivo que se conecta ao celular para extrair informações como arquivos e mensagens — Foto: Divulgação/Cellebrite “O tipo de extração vai permitir definir o nível de dados que pode ser organizado”, disse Monteiro, da associação de peritos. Segundo ele, o processo pode ser descrito em quatro níveis, do mais raso ao mais profundo: extração lógica, que usa o nível do sistema operacional para obter dados como contatos, registros de chamadas e fotos visíveis, por exemplo; extração lógica avançada, que usa privilégios do sistema para extrair ainda mais dados, incluindo bancos de dados de aplicativos e informações temporárias; extração em sistema de arquivos, que alcança arquivos ocultos e registros em código – ela nem sempre pode ser feita porque exige contornar mecanismos de segurança; extração física, que recupera uma quantidade maior de dados, inclusive os que permanecem na memória porque não foram substituídos por informações novas. “O mesmo celular pode ser submetido a mais de uma extração, isso não é incomum. É importante”, disse Monteiro. “Na hora da análise, pode ser que um tipo de extração não tenha trazido a informação que você quer, mas há outro tipo que trouxe”. O ideal é que a extração seja feita o quanto antes porque alguns registros são temporários, explicou ao g1 Wanderson Castilho, perito em segurança digital, em uma reportagem de janeiro de 2026. “Com algumas ferramentas, é possível ‘quebrar’ essa senha de um jeito muito mais fácil. Se desligar e ligar, fica mais difícil de quebrar”, afirmou. Como os dados são analisados Com o material bruto, investigadores podem recorrer a programas voltados à análise desse material. A ideia é exibir arquivos ilegíveis em um primeiro momento e organizar grandes volumes de informações. Um dos mais conhecidos é o IPED (Indexador e Processador de Evidências Digitais), criado por peritos da PF em 2012. Ele permite buscar informações em registros de WhatsApp e Telegram, bem como em outros bancos de dados do aparelho. Fantástico mostra como funciona ferramenta que faz varredura em celulares apreendidos pela PF O programa pode buscar padrões, como números de CPF e valores monetários, o que ajuda a agilizar investigações. “O IPED não ignora nada que está no aparelho celular. Ele organiza algumas coisas e, nas que não são organizadas, permite fazer uma consulta um pouco mais avançada”, explicou Monteiro. Ainda segundo o perito, há programas que recuperam mensagens de visualização única. “Para isso, é preciso ler o banco de dados do WhatsApp ou do Telegram, e não acessar o aplicativo no aparelho de celular”. Foto de visualização única no WhatsApp — Foto: Divulgação/WhatsApp Como é a proteção em aplicativos de mensagens As conversas no WhatsApp têm criptografia de ponta a ponta desde 2016 para impedir interceptações durante o envio de mensagens. “Antes de uma mensagem sair do seu dispositivo, ela é protegida com um cadeado de criptografia e apenas o destinatário da conversa tem as chaves para abri-lo”, explica o aplicativo, em seu site. O Telegram também oferece essa proteção, mas, por padrão, armazena as conversas em seu servidor. O serviço afirmou ao g1 que, embora faça o melhor para proteger usuários, é impossível garantir a segurança em um dispositivo comprometido. “Uma vez que a segurança do sistema operacional subjacente é contornada, o invasor essencialmente obtém o mesmo acesso que o proprietário do aparelho”, disse o Telegram. Montagem com os aplicativos de mensagem concorrentes WhatsApp e Telegram — Foto: Divulgação e Carlos Henrique Dias/g1