A prova digital é um elemento central em inúmeras controvérsias contemporâneas, como relações comerciais, conflitos familiares e investigações criminais. Nessas e em outras situações, celulares, computadores, aplicativos de mensagens e serviços em nuvem podem conter informações juridicamente relevantes. Diante disso, ferramentas de perícia digital são essenciais para atestar a confiabilidade das provas apresentadas em processos. Nesta coluna, vamos falar sobre uma das mais conhecidas do mundo: o Cellebrite UFED.
O Cellebrite UFED é uma solução desenvolvida por uma empresa israelense em 1999 para auxiliar na extração, preservação e análise de dados contidos em dispositivos eletrônicos, especialmente telefones celulares. Seu uso é comum em órgãos de investigação, laboratórios de perícia, empresas especializadas, departamentos de segurança corporativa e instituições que lidam com incidentes digitais. A sigla UFED (Universal Forensic Extraction Device) significa Dispositivo Universal de Extração Forense. Refere-se, portanto, a uma ferramenta que extrai informações de aparelhos digitais de maneira documentada, controlada e, quando corretamente utilizada, compatível com as exigências de integridade da prova nos tribunais.
Esta ferramenta não deve ser compreendida como um simples programa de “copiar arquivos”. Sua função é muito mais delicada e complexa. Ela atua em ambiente pericial, com o objetivo de preservar evidências digitais, registrar as etapas da coleta e permitir que os dados obtidos possam ser posteriormente analisados, confrontados e apresentados em processo judicial ou investigação.
Não existe no Brasil uma estatística oficial sobre a admissibilidade ou não das provas digitais, embora o tema venha se tornando cada vez mais relevante nos tribunais. O STJ já decidiu que provas digitais sem registro documental dos procedimentos adotados para preservar integridade, autenticidade e confiabilidade podem ser inadmissíveis. Em 2023, a corte destacou um caso em que não havia documentação sobre o modo de coleta e preservação dos equipamentos, nem sobre quem teve contato com eles, quando ocorreram os acessos e qual foi o trajeto interno dos aparelhos apreendidos (leia mais aqui).
Em 2024, o mesmo tribunal decidiu que prints de WhatsApp obtidos de celular, sem metodologia adequada e sem documentação que garantisse a integridade dos dados, não poderiam ser aceitos como prova no processo penal (leia mais). Os ministros afirmaram que provas digitais podem ser facilmente alteradas, inclusive de modo imperceptível, razão pela qual exigem mais cuidado na custódia e no tratamento.
Em 2026, a Sexta Turma também afirmou que, havendo dúvida razoável sobre a integridade e autenticidade de provas digitais, é necessária perícia para assegurar a confiabilidade do material e o contraditório. No caso, tratava-se de prints de WhatsApp usados como prova (clique aqui para mais). Em 3 de junho deste ano, o STJ divulgou na edição de sua ferramenta “Jurisprudência em Teses”, sobre Direito Penal e Processual Penal em Ambiente Digital, uma tese na qual afirma: Uma prova mal coletada pode colocar centenas de horas de trabalho árduo a perder (íntegra da Jurisprudência em Teses).
A utilização da ferramenta, contudo, exige atenção. A tecnologia, por si só, não torna uma prova lícita. Uma extração de dados feita sem autorização, sem consentimento válido, sem ordem judicial quando necessária, sem respeito à intimidade, à privacidade, ao sigilo das comunicações e à cadeia de custódia pode comprometer gravemente a validade do material. Portanto, o UFED deve ser visto como instrumento técnico a serviço do Direito, e não como autorização autônoma para devassar aparelhos eletrônicos.
Em termos simples, a tecnologia busca acessar o conteúdo de um dispositivo e produzir uma cópia técnica das informações disponíveis, sempre que isso for possível de acordo com o modelo do aparelho, o sistema operacional, o estado de bloqueio, o nível de criptografia, a versão do software e as permissões legais existentes.
A extração pode alcançar diferentes tipos de dados, como contatos, mensagens, registros de chamadas, fotografias, vídeos, documentos, dados de localização, histórico de navegação, conversas de aplicativos, arquivos armazenados no aparelho e determinadas informações técnicas do sistema. A amplitude da coleta varia muito. Em alguns casos, é possível obter apenas dados básicos. Em outros, poderá haver acesso mais amplo ao sistema de arquivos. Em situações mais complexas, a extração dependerá de recursos especializados, atualização da ferramenta, estado do aparelho e autorização legal adequada.
O UFED costuma trabalhar em conjunto com outras soluções da própria Cellebrite, como o Physical Analyzer, que serve para organizar e interpretar os dados extraídos. Pode-se imaginar o UFED como o instrumento de coleta e o Physical Analyzer como a ferramenta que ajuda a compreender o conteúdo coletado. O primeiro retira e preserva a informação; o segundo auxilia na leitura, filtragem, busca, classificação e apresentação do material.
Para compreender o funcionamento do UFED, é útil fazer uma comparação com a perícia em documentos físicos. Quando um perito recebe uma pasta com contratos, recibos e anotações, ele não deve simplesmente manusear tudo de forma descuidada. Deve identificar o material, registrar sua origem, preservar sua integridade, organizar os documentos, verificar sua autenticidade e produzir um laudo compreensível.
Com um celular ou outro aparelho eletrônico acontece de forma semelhante, mas com maior complexidade. O aparelho pode conter milhares de arquivos, conversas, registros ocultos ao usuário comum, dados apagados, informações fragmentadas e elementos técnicos que não aparecem na tela. Além disso, há risco de alteração automática de conteúdo: recebimento de novas mensagens, sincronização em nuvem, atualizações de aplicativos, apagamento remoto ou mudança de metadados. Por isso, a coleta deve ser feita com método.
O UFED conduz a extração por meio de procedimentos previamente programados. O operador identifica o modelo do aparelho, escolhe o tipo de extração juridicamente permitida e tecnicamente possível, conecta o dispositivo ao equipamento ou ao computador autorizado e segue as etapas indicadas pela ferramenta. Ao final, o sistema gera arquivos de extração e relatórios técnicos que poderão ser analisados e documentados.
Essa extração não é realizada sempre da mesma forma. Existem diferentes níveis de coleta. A chamada extração lógica é, em regra, mais limitada. Ela se aproxima daquilo que o próprio sistema operacional permite exportar: contatos, mensagens, arquivos visíveis, registros básicos e determinados dados de aplicativos. Já a extração de sistema de arquivos pode ser mais ampla, porque seu objetivo é buscar e copiar estruturas internas do aparelho, alcançando informações que não necessariamente aparecem ao usuário de modo ordinário. A extração física, por sua vez, quando possível, procura realizar uma cópia ainda mais profunda da memória do dispositivo. Em aparelhos modernos, porém, a criptografia e os mecanismos de segurança tornam esse procedimento mais difícil e, em muitas hipóteses, inviável sem condições específicas.
O UFED, embora poderoso, não faz mágica, nem é capaz de abrir qualquer aparelho ou recuperar qualquer informação. Seu resultado depende do dispositivo, da versão do sistema, do estado de bloqueio, da existência de senha, da criptografia, da compatibilidade com a ferramenta e da autorização legal. Em matéria jurídica, essa limitação deve constar claramente do relatório ou laudo, para que não se atribua à prova mais alcance do que ela efetivamente possui e, posteriormente, ser considerada inadmissível no processo.
A verdade é que a principal preocupação não é apenas obter a informação, mas demonstrar que ela é íntegra, confiável e relacionada ao objeto do processo. É aqui que a cadeia de custódia assume especial relevância. Em apertada síntese, ela é o conjunto de procedimentos destinados a documentar o histórico da prova: onde ela foi encontrada, quem a recolheu, quando foi recebida, como foi preservada, quem teve acesso a ela, quais exames foram realizados, onde foi armazenada e em que condições foi apresentada ao processo. Em outras palavras, é a linha de continuidade que permite afirmar que o vestígio analisado é o mesmo que foi originalmente apreendido, entregue ou preservado.
Em prova digital, essa preocupação é ainda maior. Se um documento físico pode ser adulterado, um arquivo digital pode ser alterado com ainda mais facilidade, às vezes sem deixar sinais evidentes ao observador comum. Por isso, a coleta por ferramenta forense deve produzir registros de integridade, como códigos matemáticos de conferência, conhecidos como “hashes”. Já explicamos o que é o hash em abordagens anteriores — ele funciona como uma espécie de impressão digital do arquivo. Se um arquivo for alterado, o código hash resultante será diferente.
Assim, quando o UFED é utilizado adequadamente, ele contribui para preservar a prova, registrar a extração e gerar elementos de conferência. Todavia, a ferramenta não substitui os cuidados jurídicos formais. É indispensável documentar quem entregou o aparelho, em que circunstâncias, se havia autorização judicial, se houve consentimento, se o aparelho foi preservado contra acesso externo, se foi mantido em embalagem adequada, quem operou a ferramenta e quais arquivos foram gerados.
Para não nos estendermos demais, na nossa próxima coluna vamos conversar sobre as diferenças entre coleta técnica e prova juridicamente válida. Até lá!
Allan Julianelli é gerente de TI da Associação do Ministério Público do Estado do Rio de Janeiro desde 1998 e policial civil do Estado do Rio de Janeiro desde 2002. Contato: allan.julianelli@amperj.org