Artigo no Conjur

No mundo conectado de hoje, mensagens em aplicativos (como WhatsApp, Signal etc.) tornaram-se parte do cotidiano. Profissionais do direito deparam com múltiplos casos em que surge a dúvida: será que mensagens apagadas podem ser recuperadas? Para responder, é preciso entender como os dispositivos armazenam dados e os fatores técnicos do processo de recuperação forma acessível.

Como funcionam os smartphones

Diferentemente de computadores tradicionais com discos rígidos mecânicos (HDD), os smartphones usam memória flash, sem partes móveis (como SSDs; pendrives). Considere uma estante de livros onde cada livro é composto por páginas que podem ser preenchidas ou liberadas. Na memória flash, os dados são distribuídos em blocos e páginas.

Quando apagamos um arquivo (p.ex. mensagem), o sistema não exclui imediatamente o conteúdo: apenas marca aquele espaço como livre para ser usado. É como riscar algo numa lousa de giz: mesmo depois de apagar, sobra um leve traço até que se limpe totalmente (rastro temporário).

Além disso, a memória flash faz algo especial para prolongar sua vida útil: ela “gira” onde grava os dados para evitar desgaste excessivo em uma só região, mecanismo wear leveling que funciona de modo análogo a alguém reorganizando livros numa estante para que todos sejam usados de modo igual. Por fim, usam recursos como o Trim: quando dizemos que apagamos algo, o celular avisa o controlador da memória quais páginas ficaram vazias, fazendo que ao longo do tempo, o próprio hardware possa apagar de fato os blocos, como se dissesse ‘guarde tudo e deixe em branco para o próximo uso’.

Por essas razões, apagar um arquivo em um celular não é tão simples quanto em um PC antigo: o processo de limpeza do armazenamento pode ocorrer de forma automática e bastante ativa, muitas vezes eliminando vestígios dos dados apagados sem aviso. A crença de que “se apaguei, dá para recuperar” é frequentemente um mito, já que o funcionamento interno do dispositivo e seus mecanismos de segurança tornam a recuperação muito desafiadora.

Criptografia: o cofre digital das mensagens

Um grande obstáculo à recuperação de mensagens apagadas é a criptografia. Em termos simples, criptografar é como guardar informações num cofre trancado: mesmo tendo o cofre (o arquivo ou o banco de dados), sem a chave correta o conteúdo é indecifrável. Smartphones modernos possuem mecanismos de criptografia robustos tanto para o sistema quanto para aplicativos de mensagens.

Criptografia do dispositivo: iOS e Android protegem todo o armazenamento por padrão. É como se o próprio celular fosse um armário trancado que só abre com a senha do usuário. No iPhone, por exemplo, existe um chip especial chamado Secure Enclave que guarda a chave de criptografia do disco. No Android moderno, há o Titan M ou mecanismos equivalentes. Em ambos, ainda que se consiga uma cópia completa do armazenamento interno (algo muito difícil), sem a chave, a perícia só terá números incompreensíveis.

Criptografia de aplicativos de mensagens: aplicativos como WhatsApp e Signal usam criptografia de ponta a ponta. Significa que cada conversa é criptografada de forma que, até mesmo se alguém entrasse no arquivo de mensagens, não conseguiria ler nada sem a senha correta. Em síntese, se a conversa estiver criptografada e ninguém der a chave, as ferramentas forenses podem até extrair milhões de bytes, mas tudo o que verão serão dados embaralhados. Para especialistas, significa que a criptografia é a “muralha” mais alta e rompê-la geralmente é impossível sem a colaboração do usuário ou uma falha de segurança grave, salvo se o hash for mais simples do que os padrões recomendados.

Bancos de dados (SQLite) de aplicativos de mensagens

Os aplicativos de mensagens armazenam as conversas localmente em arquivos especializados. A maioria deles (WhatsApp, Signal, Telegram etc.) usa o SQLite, um motor de banco de dados leve embutido que funciona como um caderno de anotações (registra em tabelas .db).

Quando uma mensagem é deletada no app, o SQLite não apaga imediatamente a página do caderno, mas apenas marca aquela “linha” ou “página” como livre (“esta página está em branco agora”), sendo que o texto antigo ainda pode permanecer até ser sobrescrito. Em teoria, seria possível tentar recuperar a mensagem apagada procurando por vestígios no arquivo, técnica semelhante a “rasgar pedaços de papel de diário” (file carving) ou analisar “espaço não alocado”.

No entanto, há outros arquivos envolvidos. Desde a versão 3.7.0, o SQLite usa um arquivo de log chamado WAL (Write-Ahead Log) que funciona como um bloco de notas extra que registra as mudanças antes de irem para o caderno principal. Periodicamente, essas notas (WAL) são integradas ao caderno principal em uma operação de “checkpoint”. O WAL pode conter rastros de mensagens recentes antes de serem consolidadas ou apagadas do arquivo principal. Por fim, existe um terceiro arquivo, o SHM (Shared Memory), usado como um índice temporário de acesso compartilhado. É como um marcador que ajuda na organização, mas não guarda mensagens em si.

Tabela 1 resume a recuperação de dados em bancos SQLite:

Em síntese, embora a arquitetura do SQLite permita teoricamente que partes de mensagens apagadas fiquem no disco, na prática a combinação de criptografia forte, a natureza volátil dos arquivos WAL/SHM e a limpeza periódica torna extremamente desafiadora (e muitas vezes impossível) recuperar conversas apagadas.

Ferramentas forenses: até onde vão

Ferramentas como Cellebrite UFED, Oxygen Forensic, MSAB XRY e outras são frequentemente vistas como “varinhas mágicas” que extraem qualquer dado de qualquer celular, mas têm limites claros. Considere-as como especialistas (talvez ótimos “cadeireiros de cofre”) treinados para abrir dispositivos, mas enfrentando os cofres cada vez mais seguros dos smartphones.

Em geral, oferecem diferentes níveis de extração: [a] Extração Lógica: conversa com o sistema do telefone para fazer um “backup” e capturar dados acessíveis (mensagens ativas, fotos, contatos; raramente dados apagados ou escondidos).

[b] Extração do Sistema de Arquivos: tenta acessar a estrutura interna de pastas e arquivos, dependendo de chaves certas ou vulnerabilidades exploráveis.

[c] Extração Física: busca copiar bit a bit toda a memória flash, incluindo o conteúdo deletado (a imagem completa permitiria “caçar” dados antigos). Na prática, enfrenta duas barreiras: criptografia completa do dispositivo e os métodos de proteção de hardware (Secure Enclave, Titan M) tornam muito difícil obter a cópia sem autorização. Além disso, para conseguir acesso baixo nível, os peritos podem ter que recorrer a técnicas destrutivas (como retirar fisicamente o chip de memória), o que é custoso e arriscado.

Capacidades reais das ferramentas incluem: abrir telefones mais antigos ou sem criptografia; ler backups existentes (iCloud, Google Drive, iTunes); decodificar formatos de apps conhecidos (transformar os dados brutos em conversas legíveis); e, às vezes, quebrar senhas simples ou explorar falhas conhecidas para desbloquear o telefone.

Mas existem importantes limitações: [a] Criptografia: é a maior barreira. Sem a chave certa, todo o esforço extrai apenas um “monte de dados embaralhados” sem significado. Não existe ferramenta que consiga quebrar senhas fortes de apps de mensagem modernos, ainda que se possa arriscar com técnicas específicas ou mesmo “força bruta” (tentar combinações aleatórias).

[b] Segurança do Sistema Operacional: iOS e Android atuais são projetados com forte proteção. As constantes atualizações fecham brechas que antes poderiam ser usadas pelas ferramentas (novos cadeados).

[c] Exploits específicos: muitas operações avançadas dependem de explorar falhas (“exploits”) específicas de modelo e versão. Um truque que funcionava em um Galaxy ou iPhone antigo geralmente não funciona num modelo novo ou após uma atualização de software. É um jogo de “gatuno e gato”, em que cada nova atualização do fabricante é como trocar todas as fechaduras da casa: o ladrão (a ferramenta) precisa de tempo para descobrir novas chaves.

Em dispositivos modernos e atualizados, a resposta dos peritos costuma ser menos promissora: mensagens apagadas dificilmente são recuperadas diretamente. As ferramentas ajudam bastante em muitas situações (por exemplo, descobrir quem era o último contato numa linha de mensagem ativa, fotos deletadas que não foram sobrescritas, registros de chamadas etc.), mas não fazem milagres. É importante entender que o sucesso depende muito das circunstâncias: modelo do aparelho, versão do sistema, presença de backups, momento da exclusão, entre outros fatores.

Atualizações de software e o ciclo ‘caça e rato’

Os sistemas de segurança em celulares vivem num eterno jogo de atualização e correção. Do ponto de vista da recuperação de dados, o efeito é claro: a cada nova atualização, a “carta na manga” das ferramentas forenses enfraquece. No passado, um software quebrava a segurança em um iPhone 6; hoje, o mesmo truque não funciona nem em iOS 13, muito menos nos novos iPhones mais. No Android, o desafio é ainda maior pela fragmentação: cada fabricante (Samsung, Motorola etc.) cria seu próprio cronograma de updates, causando um cenário heterogêneo onde um método pode funcionar num dispositivo e não num outro.

Em síntese, as atualizações são benéficas para a segurança do usuário, mas ao mesmo tempo tornam a tarefa de recuperação de dados apagados cada vez mais difícil. O mito de que existe sempre um truque simples para recuperar mensagens apagadas esbarra nessa dinâmica constante de aprimoramento de segurança.

Exemplos práticos

Caso 1: Mensagens importantes apagadas no WhatsApp. Uma pessoa busca um perito relatando que apagou conversas do WhatsApp e precisa recuperá-las para um processo. O perito aplica técnicas padrão: extrair backup local, escanear espaço livre do celular, usar ferramentas. Porém, se o celular for moderno, atualizado e com WhatsApp criptografado (padrão atual), nenhum dado apagado é encontrado. As únicas mensagens obtidas são as que já estavam visíveis. Resultado: a cliente fica sem evidência. A recuperação de mensagens deletadas diretas em apps seguros é praticamente inviável.

Caso 2: Áudio “recuperado” via busca no sistema. Alguém diz que perdeu um áudio importante do WhatsApp e quer recuperá-lo. O perito faz uma busca completa pelos arquivos do celular e encontra, em uma pasta do sistema, o arquivo de áudio que estava anexado à conversa. Acontece que esse áudio nunca foi apagado pelo WhatsApp (que só gerencia as referências no banco de dados). Na verdade, o usuário removeu a mensagem no app, mas o arquivo físico (mp4a etc.) continuou armazenado. Então, tecnicamente, o áudio “sumiu” do WhatsApp, mas foi achado noutro lugar: não foi recuperado, mas achado num arquivo existente. O sucesso deveu-se à investigação no sistema de arquivos, não a truques de banco de dados ou quebra de criptografia.

Caso 3: Mídia confunde “print” com recuperação. Muitas reportagens sensacionalistas dizem que peritos “recuperaram mensagens apagadas” . Na verdade, em muitos casos, o que ocorreu foi algo como “o usuário tinha feito capturas de tela (prints) antes de apagar que foram recuperadas: não havia técnica forense de extração de base de dados e sim evidência paralela que provava o conteúdo da conversa. O resultado é que às vezes a dita “mensagem apagada” é somente uma foto da tela, confundindo leigos sobre o que é recuperação real. Em geral, o conteúdo não veio de arquivos internos criptografados, mas de fontes alternativas como prints, backups antigos ou registros enviados a outras pessoas.

Estes exemplos deixam claro: em muitos cenários reais, a resposta técnica para “recuperar mensagens apagadas” é na maioria das vezes negativa. Recuperações “mágicas” só ocorrem quando há condições especiais (telefone desatualizado, backup existente, senhas simples, falhas em apps etc.), e devem ser avaliadas por peritos.

O que pode e o que não pode ser recuperado

Pode ser recuperado (em geral): (a) Arquivos ou fotos recentemente apagados no cartão de memória (microSD), se não houver criptografia. (b) Registros de chamadas ou SMS padrão, caso estejam num armazenamento simples e não protegido. (c) Backups em nuvem ou computador (iTunes, iCloud, Google Drive) de períodos anteriores. (d) Mensagens apagadas temporariamente (pendentes de confirmação) em certos apps, se acessadas no momento certo.

Não pode ser recuperado (em geral): (a) Mensagens de aplicativos criptografados (WhatsApp, Signal etc.) excluídas sem backup, em celulares modernos. (b) Dados apagados já sobrescritos. (c) Dados que ficaram somente na memória volátil (RAM) do aparelho antes de uma reinicialização. (d) Arquivos ou logs internos de apps que foram limpos, sobrescritos ou apagados com funções de segurança.

O ponto chave é avaliar cada caso: de que tipo de dado se trata, qual o nível de proteção e quantos dias se passaram. Como diz o ditado popular do setor: a recuperação forense é um trabalho de “detetive” técnico: às vezes encontra pistas, mas frequentemente só confirma que não há nada lá.

Síntese final

Em síntese, nos limites do artigo, recuperar mensagens apagadas em smartphones não é mais (se é que já foi) tarefa simples ou garantida, exigindo a compreensão do funcionamento interno dos dispositivos, respeitar as barreiras de segurança e trabalhar com cautela. Por meio de conhecimento adequado e procedimentos cuidadosos, profissionais do direito e peritos podem agir de forma inteligente diante dessa realidade tecnológica, usando métodos confiáveis e orientando corretamente as expectativas de todos os envolvidos. Se os dados serão recuperados ou não, a resposta depende do contexto. Entretanto, todo cuidado é pouco e um especialista auxilia muito. Mesmo.

P.S.: No final de semana aconteceu, em Fortaleza, o maior evento jurídico do ano: ExpoDireitoBrasil, realizado por Allan Christyan. Em 2026 será em Brasília. Prepare-se.

Referências

• Acesse esse artigo no Conjur
• Alexandre Morais da Rosa está entre os autores desse artigo
• Aury Lopes Jr está entre os autores desse artigo