Policiais podem recuperar conversas e arquivos apagados de celulares de investigados por meio de análises em serviços na nuvem e de programas que extraem informações de aparelhos.

A megaoperação de quarta-feira (15) que revelou um esquema suspeito de lavar R$ 1,6 bilhão começou com a análise de arquivos no iCloud. Ela permitiu cruzar informações como extratos, conversas e documentos financeiros, segundo a Polícia Federal.

Em outra investigação, a PF identificou mensagens do dono do Banco Master, Daniel Vorcaro, ao ex-presidente do BRB Paulo Henrique Costa, segundo o blog da Andréia Sadi. Costa foi preso pela PF na quinta-feira (16).

A análise de arquivos em serviços como iCloud e Google Drive pode acontecer diretamente no celular do investigado, caso o aparelho esteja desbloqueado, ou por meio de ordem judicial para plataformas compartilharem o material.

Autoridades fizeram 38.290 pedidos de informações de usuários do Google de janeiro a junho de 2025, segundo dados mais recentes divulgados pela empresa. Os dados foram fornecidos em 77% dos casos.

No mesmo período, a Apple recebeu 7.592 pedidos por dados em aparelhos e forneceu informações em 79% dos casos. Houve ainda 3.678 pedidos por dados na nuvem, com informações fornecidas em 81% dos casos.

Policiais com acesso aos celulares também podem usar programas como o israelense Cellebrite UFED e o americano Magnet Greykey, que têm uso restrito e são capazes de contornar mecanismos de bloqueio e extrair muitas informações do dispositivo.

Os programas conseguem acessar o histórico de mensagens em aplicativos como WhatsApp e Telegram. E, em alguns casos, recuperam dados apagados pelo dono do aparelho.

Isso porque as ferramentas não analisam apenas o que está visível para usuários. Elas se concentram, na verdade, em bancos de dados e outros registros presentes na memória do dispositivo.

Como o aparelho é desbloqueado

A primeira etapa é desbloquear o celular caso ele seja protegido por senha. Isso pode ser simples, se o dono do aparelho fornecer o código, ou exigir o uso de programas de perícia que buscam contornar o bloqueio para extrair os dados.

Caso o programa entre em ação, ele tentará explorar brechas de segurança específicas do modelo de celular. Essas falhas levam tempo para serem descobertas, o que dificulta o processo em aparelhos recentes, explicou Marcos Monteiro, presidente da Associação Nacional dos Peritos em Computação Forense (Apecof).

"Esse mecanismo de desbloqueio funciona literalmente como hackear o celular. Mas o Cellebrite ainda não tem uma forma automatizada de quebrar a senha de um iPhone 17, por exemplo", afirmou ao g1, em referência ao modelo lançado em 2025 pela Apple.

As ferramentas que contornam o bloqueio de celulares são limitadas a especialistas forenses e têm licenças que chegam a custar US$ 50 mil por ano (cerca de R$ 250 mil, na cotação de 16 de abril).

Como os dados são extraídos

Os programas de extração dos dados costumam rodar em dispositivos que se conectam ao celular por meio de uma conexão USB e identificam o melhor método para obter as informações.

As ferramentas atuam em um nível mais profundo no aparelho, explorando vulnerabilidades em sistemas, e não nos aplicativos.

"O tipo de extração vai permitir definir o nível de dados que pode ser organizado", disse Monteiro, da associação de peritos.

Segundo ele, o processo pode ser descrito em quatro níveis, do mais raso ao mais profundo:

extração lógica, que usa o nível do sistema operacional para obter dados como contatos, registros de chamadas e fotos visíveis, por exemplo;
extração lógica avançada, que usa privilégios do sistema para extrair ainda mais dados, incluindo bancos de dados de aplicativos e informações temporárias;
extração em sistema de arquivos, que alcança arquivos ocultos e registros em código – ela nem sempre pode ser feita porque exige contornar mecanismos de segurança;
extração física, que recupera uma quantidade maior de dados, inclusive os que permanecem na memória porque não foram substituídos por informações novas.

"O mesmo celular pode ser submetido a mais de uma extração, isso não é incomum. É importante", disse Monteiro. "Na hora da análise, pode ser que um tipo de extração não tenha trazido a informação que você quer, mas há outro tipo que trouxe".

O ideal é que a extração seja feita o quanto antes porque alguns registros são temporários, explicou ao g1 Wanderson Castilho, perito em segurança digital, em uma reportagem de janeiro de 2026.

"Com algumas ferramentas, é possível 'quebrar' essa senha de um jeito muito mais fácil. Se desligar e ligar, fica mais difícil de quebrar", afirmou.

Como os dados são analisados

Com o material bruto, investigadores podem recorrer a programas voltados à análise desse material. A ideia é exibir arquivos ilegíveis em um primeiro momento e organizar grandes volumes de informações.

Um dos mais conhecidos é o IPED (Indexador e Processador de Evidências Digitais), criado por peritos da PF em 2012. Ele permite buscar informações em registros de WhatsApp e Telegram, bem como em outros bancos de dados do aparelho.

O programa pode buscar padrões, como números de CPF e valores monetários, o que ajuda a agilizar investigações.