A recuperação de dados de celulares de investigados é realizada por policiais através de programas especializados, como Cellebrite UFED e Magnet Greykey, que extraem informações tanto de dispositivos quanto de serviços na nuvem. Uma megaoperação, iniciada na quarta-feira (15), revelou um esquema de lavagem de R$ 1,6 bilhão, com a análise de arquivos no iCloud ajudando a cruzar informações relevantes, conforme relatado pela Polícia Federal.
Na investigação, a PF conseguiu identificar mensagens trocadas entre Daniel Vorcaro, dono do Banco Master, e o ex-presidente do BRB, Paulo Henrique Costa, que foi preso na quinta-feira (16). Além disso, a análise de dados em serviços como iCloud e Google Drive pode ser feita diretamente no aparelho do investigado, caso esteja desbloqueado, ou mediante ordem judicial para que as plataformas disponibilizem as informações.
Entre janeiro e junho de 2025, as autoridades solicitaram 38.290 informações de usuários do Google, sendo que 77% dos pedidos resultaram em dados fornecidos. A Apple recebeu 7.592 solicitações, fornecendo informações em 79% dos casos, e houve ainda 3.678 pedidos por dados na nuvem, com informações fornecidas em 81% das ocorrências.
Os programas utilizados conseguem acessar históricos de mensagens em aplicativos como WhatsApp e Telegram, além de recuperar dados que foram apagados pelo usuário. Isso ocorre porque essas ferramentas não se limitam ao que é visível, mas analisam bancos de dados e registros presentes na memória do dispositivo.
O desbloqueio do celular é a primeira etapa do processo, podendo ser realizado de forma simples, dependendo da senha utilizada pelo proprietário. Alguns programas têm a capacidade de recuperar mensagens que foram enviadas com visualização única, o que exige acesso ao banco de dados do aplicativo, não apenas sua interface.
As conversas no WhatsApp são protegidas por criptografia de ponta a ponta desde 2016, garantindo que somente o destinatário tenha acesso ao conteúdo. O Telegram adota uma abordagem semelhante, mas, por padrão, armazena as conversas em seus servidores, e garante que a segurança não pode ser totalmente assegurada em dispositivos comprometidos.
