Guia Avançado de Coleta e Cadeia de Custódia de Evidências Digitais

📘 Guia Avançado de Coleta e Cadeia de Custódia de Evidências Digitais

🔹 Fase 1: Acolhimento e Estabilização

Objetivo: Garantir que a vítima esteja protegida e que os vestígios digitais não sejam alterados ou perdidos.

Procedimentos Avançados

• Orientar a vítima:

  • Não apagar mensagens, perfis ou e-mails.

  • Evitar reinstalar aplicativos ou formatar dispositivos.

• Cessar interação com o suspeito:

  • Bloquear contatos, mas não excluir conversas.

  • Evitar responder mensagens que possam alterar o contexto probatório.

• Risco de acesso remoto:

  • Ativar Modo Avião ou desconectar da rede.

  • Se houver suspeita de spyware, desligar o dispositivo e armazenar em embalagem antiestática.

Exemplos Práticos

• Caso de stalking via WhatsApp: vítima deve parar de responder e manter todas as mensagens intactas.

• Caso de invasão de e-mail: orientar a não alterar senha imediatamente, mas primeiro coletar cabeçalhos e registros de login.

🔹 Fase 2: Preservação Guiada de Evidências

Objetivo: Documentar vestígios digitais com integridade e rastreabilidade.

Procedimentos Avançados

• Capturas de tela qualificadas:

  • Incluir data/hora visível, URL e perfil.

  • Usar ferramentas forenses (ex.: Belkasoft Evidence Center) para capturas autenticadas.

• Conversas em aplicativos:

  • Exportar histórico completo com mídias.

  • Exemplo: no WhatsApp → Configurações > Conversas > Exportar.

• E-mails:

  • Salvar em formato .eml ou .msg com cabeçalho completo.

  • Cabeçalho revela IP de origem, servidores intermediários e autenticações.

• Transações financeiras:

  • Guardar comprovantes PIX, boletos e extratos.

  • Solicitar logs de autenticação e mensagens ICOM/SPI.

• Redes sociais:

  • Documentar perfis com prints e links permanentes.

  • Usar serviços de arquivamento (ex.: archive.org ou perma.cc).

Exemplos Práticos

• Fraude bancária via PIX: coletar comprovante da transação, exportar logs de API e solicitar XML completo da mensagem ao banco.

• Cyberbullying em Instagram: capturar perfil do agressor com data/hora, exportar mensagens diretas e registrar URL do post ofensivo.

🔹 Fase 3: Formalização e Cadeia de Custódia

Objetivo: Garantir validade jurídica e integridade da prova.

Procedimentos Avançados

• Transferência segura:

  • Usar nuvem institucional ou mídia física lacrada.

  • Nunca comprimir arquivos (risco de perda de metadados).

• Registro em Boletim de Ocorrência:

  • Detalhar cada evidência recebida (tipo, origem, formato).

• Hash criptográfico:

  • Calcular SHA-256 imediatamente após coleta.

  • Registrar hash em laudo e auto de apreensão.

• Cadeia de custódia:

  • Documentar cada movimentação (quem recebeu, quando, como).

• Segurança da vítima:

  • Orientar troca de senhas e ativação de 2FA.

Exemplos Práticos

• Arquivo de 1GB coletado em investigação: gerar hash SHA-256 e registrar no laudo.

  • Exemplo: 3a7bd3e2360a3d...

  • Qualquer alteração mínima gera hash diferente, invalidando a prova.

• Caso de phishing: evidências enviadas por e-mail institucional com hash registrado e protocolo de recebimento assinado.

🔹 Normativas e Padrões Oficiais

• Portaria SENASP Nº 82/2014: Cadeia de custódia em 9 etapas (reconhecimento → descarte).

• POP Informática Forense 2024: Procedimentos para mídias, dispositivos móveis e dados bancários.

• CNMP 2025: Criação de centrais de custódia em todos os MPs.

• CPP Art. 158-A: Base legal da cadeia de custódia.

• LGPD (Lei 13.709/2018): Logs investigativos permitidos sem consentimento.

🔹 Checklist Avançado de Conformidade

• Reconhecimento: vestígio identificado e descrito?

• Fixação: fotos, prints e croquis realizados?

• Coleta: uso de EPI e ferramentas adequadas?

• Acondicionamento: embalagem individual com lacre numerado?

• Transporte: condições preservadas?

• Recebimento: protocolo assinado?

• Processamento: hash calculado e registrado?

• Armazenamento: guarda segura vinculada ao laudo?

• Descarte: autorização judicial obtida?

🔹 Armadilhas Comuns

• Compressão de arquivos: pode alterar metadados → inadmissibilidade da prova.

• Capturas sem data/hora: fragilizam a validade probatória.

• Logs incompletos: solicitar apenas comprovante PIX sem XML completo compromete rastreabilidade.

• Falta de hash: sem integridade comprovada, a prova pode ser contestada.

⚠️ Compressão de Arquivos

Exemplo Prático:

• Um vídeo de ameaça enviado por WhatsApp é salvo como .mp4 e depois compactado em .zip para envio por e-mail.

• Ao ser descompactado, o sistema operacional altera a data de criação do arquivo.

• Resultado: metadados originais perdidos, como timestamp e hash original.

Consequência:

• A defesa pode alegar que o arquivo foi manipulado.

• O juiz pode considerar a prova inadmissível por quebra da cadeia de custódia.

Boa Prática:

• Transferir arquivos sem compressão, usando nuvem institucional ou mídia física lacrada.

⚠️ Capturas Sem Data/Hora

Exemplo Prático:

• Vítima faz print de uma conversa no Instagram, mas a captura não mostra a data nem o nome do perfil.

• O print é salvo como imagem genérica (screenshot.png), sem contexto.

Consequência:

• A prova perde força probatória.

• Não é possível comprovar quando e de quem foi a mensagem.

Boa Prática:

• Usar ferramentas que incluam data/hora e URL na captura.

• Registrar o print com nome do arquivo descritivo (ex: print_instagram_2026-02-04.png).

⚠️ Logs Incompletos

Exemplo Prático:

• Investigador solicita apenas o comprovante da transação PIX à instituição financeira.

• O banco envia um PDF com valor e data, mas sem os logs XML da mensagem SPI.

Consequência:

• Não é possível verificar:

  • Identificador da transação

  • Status de liquidação

  • IP de origem e autenticação

• A rastreabilidade da operação fica comprometida.

Boa Prática:

• Solicitar:

  • Logs de autenticação

  • Mensagens ICOM/SPI completas (XML)

  • Registros DICT da chave PIX

  • Logs de API e mTLS (se gateway envolvido)

⚠️ Falta de Hash

Exemplo Prático:

• Arquivo .pdf com prints de ameaças é anexado ao boletim de ocorrência, mas sem cálculo de hash.

Consequência:

• Não há garantia de integridade.

• Se o arquivo for alterado (mesmo 1 byte), não há como provar que é o mesmo da coleta.

Boa Prática:

• Calcular SHA-256 imediatamente após a coleta.

• Registrar o hash no auto de apreensão e no laudo pericial.

• Exemplo de hash: 3a7bd3e2360a3d9f8e8c4f1a2b7e9c6d...

⚠️ Armadilhas Comuns na Coleta de Evidências Digitais

1. Compressão de Arquivos

• Erro: Compactar arquivos em .zip ou .rar antes de enviar.

• Exemplo: Vídeo de ameaça compactado → metadados alterados.

• Risco: Perda de data/hora original → prova pode ser considerada inadmissível.

• ✅ Boa prática: Transferir arquivos sem compressão, em mídia lacrada ou nuvem institucional.

2. Capturas Sem Data/Hora

• Erro: Print sem mostrar data, hora ou URL.

• Exemplo: Print de conversa no Instagram sem perfil visível.

• Risco: Fragiliza validade probatória → não comprova autoria nem momento.

• ✅ Boa prática: Usar ferramentas que incluam data/hora e URL na captura.

3. Logs Incompletos

• Erro: Solicitar apenas comprovante PIX em PDF.

• Exemplo: Banco envia comprovante sem XML da mensagem SPI.

• Risco: Sem rastreabilidade → não é possível reconstruir a transação.

• ✅ Boa prática: Solicitar logs completos (autenticação, API, XML SPI, DICT).

4. Falta de Hash

• Erro: Arquivo anexado ao boletim sem cálculo de hash.

• Exemplo: PDF com prints de ameaças sem SHA-256.

• Risco: Qualquer alteração mínima invalida a prova.

• ✅ Boa prática: Calcular SHA-256 imediatamente e registrar no laudo.

🔹 Conclusão

Este guia avançado transforma o fluxograma inicial em um manual operacional robusto, alinhado às normas brasileiras e às melhores práticas internacionais de informática forense. Ele serve tanto para profissionais de segurança pública quanto para peritos independentes, garantindo que cada evidência digital seja coletada, preservada e apresentada em juízo com validade plena

Fonte: https://guiadeevidencias.com.br/policiais