Um perito passa três meses analisando terabytes de dados, descobre provas contundentes de fraude corporativa e produz um laudo detalhado. Na audiência, o advogado de defesa faz uma única pergunta: "Em que momento exatamente o hash de integridade foi calculado, e quem teve acesso ao disco rígido entre a apreensão e o início da análise?" O perito hesita. O juiz exclui a prova. Três meses de trabalho perdidos por uma falha na cadeia de custódia de evidências digitais — um cenário que acontece com mais frequência do que qualquer profissional gostaria de admitir.
A cadeia de custódia é o registro documentado de todas as pessoas que tiveram contato com uma evidência, de todos os procedimentos realizados e de todas as transferências de posse, desde a identificação inicial até a apresentação em juízo. Para evidências digitais, essa documentação precisa ser ainda mais rigorosa do que para evidências físicas, porque dados digitais podem ser alterados sem deixar rastros visíveis — e a mera possibilidade teórica de alteração já é suficiente para que a defesa questione a integridade da prova.
Neste artigo, vamos detalhar os fundamentos legais da cadeia de custódia no Brasil, os procedimentos técnicos para preservação de evidências digitais, as ferramentas e métodos de verificação de integridade, e os erros mais comuns que comprometem provas que de outra forma seriam decisivas.
Marco Legal: O Que a Lei Brasileira Exige
A cadeia de custódia de evidências digitais no Brasil ganhou fundamentação legal explícita com a Lei 13.964/2019 (Pacote Anticrime), que introduziu os artigos 158-A a 158-F no Código de Processo Penal. Antes dessa alteração, a cadeia de custódia era uma exigência doutrinária e jurisprudencial; agora é requisito legal formal cuja inobservância pode resultar na inadmissibilidade da prova.
O artigo 158-A define cadeia de custódia como "o conjunto de todos os procedimentos utilizados para manter e documentar a história cronológica do vestígio coletado em locais ou em vítimas de crimes, para rastrear sua posse e manuseio a partir de seu reconhecimento até o descarte." A lei usa o termo "vestígio" em sentido amplo, englobando tanto evidências físicas quanto digitais. Para o perito que trabalha com dados de computadores, celulares ou redes, isso significa que cada interação com a evidência — desde o momento em que o dispositivo é identificado como relevante — deve ser documentada.
O artigo 158-B enumera as etapas da cadeia de custódia: reconhecimento, isolamento, fixação, coleta, acondicionamento, transporte, recebimento, processamento, armazenamento e descarte. Cada etapa exige registro de quem a realizou, quando, onde e como. Para evidências digitais, a "fixação" corresponde à criação da imagem forense, o "acondicionamento" ao armazenamento seguro da mídia contendo a imagem, e o "processamento" à análise propriamente dita. A adequação desses conceitos ao contexto digital é uma interpretação que a doutrina e a jurisprudência vêm construindo progressivamente.
As normas técnicas complementam a legislação. A ABNT NBR ISO/IEC 27037:2013 (Diretrizes para identificação, coleta, aquisição e preservação de evidência digital) é a referência nacional, enquanto internacionalmente as guidelines do NIST (SP 800-86) e do SWGDE são amplamente aceitas. Citar e seguir essas referências no laudo pericial fortalece significativamente a credibilidade da prova. Para profissionais construindo carreira na área, o guia sobre como se tornar perito forense digital detalha as competências necessárias, incluindo o domínio dessas normas.
Isolamento e Primeira Resposta: Os Minutos Críticos
Os primeiros minutos após a identificação de uma evidência digital são os mais críticos — e os mais propensos a erros. Decisões tomadas (ou não tomadas) nesse período inicial determinam se a evidência será aproveitável ou descartável, e frequentemente são irreversíveis.
O isolamento do dispositivo deve ser a primeira ação. Para celulares, isso significa colocar em modo avião ou inserir em gaiola de Faraday antes de qualquer outra interação. A razão é dupla: evitar que dados remotos sejam alterados (recepção de novas mensagens que alteram timestamps, comandos de wipe remoto, atualizações de aplicativos) e preservar o estado exato do dispositivo no momento da apreensão. Para computadores ligados, o isolamento de rede (desconectar cabo ethernet, desabilitar Wi-Fi) precede qualquer outra ação — mas o computador deve ser mantido ligado se houver processos relevantes em execução ou dados em memória volátil que precisam ser capturados.
A documentação fotográfica do estado inicial é frequentemente subestimada mas pode ser decisiva. Fotografar o dispositivo no local onde foi encontrado (contexto), a tela no momento da apreensão (mostrando data/hora e qualquer conteúdo visível), as conexões físicas (cabos, periféricos), e o estado geral (danos, lacres, etiquetas) cria um registro visual incontestável do ponto de partida. Essas fotos devem ser tiradas antes de qualquer manuseio e armazenadas com seus metadados EXIF preservados, pois os timestamps e coordenadas GPS das próprias fotos de documentação servem como evidência da data e local do procedimento.
A captura de evidências voláteis precede a criação da imagem forense. A memória RAM de um computador ligado contém processos em execução, conexões de rede ativas, chaves de criptografia temporárias e outros dados que desaparecem permanentemente quando a máquina é desligada. Ferramentas como WinPMEM, FTK Imager (módulo de captura de RAM) e LiME (para Linux) criam dumps de memória que podem ser analisados posteriormente com o Volatility Framework. Cada ferramenta utilizada deve ser registrada com nome e versão exatos, e o hash do dump deve ser calculado imediatamente após a captura. A investigação de crimes cibernéticos depende fundamentalmente dessa captura de dados voláteis para reconstruir atividades maliciosas.
Criação da Imagem Forense: O Procedimento Central
A imagem forense — uma cópia bit-a-bit de toda a mídia de armazenamento — é o pilar da cadeia de custódia digital. Todo o trabalho de análise é realizado sobre essa cópia, nunca sobre a evidência original, que permanece lacrada e armazenada em condições controladas.
O processo de criação da imagem forense deve seguir um protocolo rigoroso. Primeiro, o dispositivo de armazenamento é conectado a uma estação forense através de um write blocker (bloqueador de escrita) — um dispositivo de hardware que permite a leitura dos dados mas impede fisicamente qualquer gravação na mídia original. Write blockers como Tableau T35u (USB), Tableau T8-R2 (PCIe/NVMe) e CRU WiebeTech são ferramentas essenciais que eliminam qualquer possibilidade de alteração acidental da evidência.
A ferramenta de imaging calcula um hash criptográfico (SHA-256 é o padrão recomendado; MD5 sozinho não é mais considerado suficiente) da mídia original antes de iniciar a cópia. Após a conclusão da cópia, o hash é recalculado tanto na mídia original quanto na imagem criada. Se ambos os hashes coincidem, está comprovado que a cópia é uma réplica exata e que o processo não alterou a evidência original. Esse par de hashes — antes e depois — é o coração técnico da cadeia de custódia digital.
Ferramentas profissionais como FTK Imager (gratuito), Cellebrite UFED (para dispositivos móveis), Guymager (open-source, Linux) e EnCase geram automaticamente logs detalhados do processo de imaging: horário de início e fim, hash calculado, erros encontrados, setores ilegíveis e informações do operador. Esses logs devem ser preservados junto com a imagem forense como parte da documentação da cadeia de custódia. O backup e recuperação de dados em contexto forense segue os mesmos princípios de verificação de integridade.
Um detalhe prático que faz diferença: sempre crie pelo menos duas cópias da imagem forense, armazenadas em mídias físicas distintas e preferencialmente em locais diferentes. Se uma mídia falhar, a segunda garante que os dados não são perdidos. Cada cópia deve ter seu hash verificado independentemente.
Documentação e Registro: O Laudo Que Sobrevive ao Contraditório
A documentação é o fio condutor que conecta cada etapa da cadeia de custódia e permite que qualquer pessoa — juiz, advogado, perito assistente — verifique a integridade do processo. Uma documentação insuficiente é o calcanhar de Aquiles mais comum em perícias que de outra forma seriam tecnicamente impecáveis.
O formulário de cadeia de custódia (ou termo de custódia) deve acompanhar a evidência desde a coleta até o descarte. Ele registra, para cada transferência: data e hora, nome e assinatura de quem entregou e de quem recebeu, descrição da evidência (número de série, modelo, condição), e qualquer observação relevante. Cada pessoa que teve contato com a evidência — mesmo que brevemente — deve estar registrada. Um gap na cadeia de custódia (período em que não se sabe quem tinha posse da evidência) é suficiente para que a defesa argumente adulteração.
O laudo pericial deve traduzir achados técnicos em linguagem acessível sem sacrificar o rigor. Uma boa prática é estruturar o laudo em seções claras: qualificação do perito, descrição do material recebido, quesitos formulados, metodologia empregada (com nomes e versões de ferramentas), resultados e conclusões. Para cada etapa da análise, o laudo deve detalhar o procedimento com precisão suficiente para que outro perito possa reproduzir os mesmos passos e chegar às mesmas conclusões — o princípio da reprodutibilidade.
Os hashes de integridade devem ser apresentados de forma clara e inequívoca. Uma tabela com: identificação do item, algoritmo utilizado, hash calculado na coleta, hash calculado no início da análise, e hash calculado ao final permite verificação instantânea de que os dados não foram alterados em nenhuma etapa. Se houver divergência entre quaisquer hashes, o laudo deve explicar o motivo (por exemplo, setores defeituosos que geraram erros diferentes em leituras distintas) e avaliar o impacto na confiabilidade da evidência.
Para perícias envolvendo aplicativos de mensagens, a documentação deve incluir a metodologia de extração específica utilizada. A perícia forense em WhatsApp, por exemplo, exige documentação detalhada sobre como o banco de dados foi extraído, se foi descriptografado e com qual ferramenta, e como as mensagens foram interpretadas a partir dos registros SQLite.
Erros Comuns Que Invalidam a Cadeia de Custódia
Conhecer os erros mais frequentes é tão importante quanto conhecer os procedimentos corretos. Cada erro descrito abaixo já causou a exclusão de provas em processos reais — e todos são evitáveis com disciplina e planejamento.
O erro mais grave e mais comum é analisar a evidência original em vez de uma cópia forense. Qualquer análise — abrir um arquivo, executar uma busca, montar um sistema de arquivos — altera metadados como datas de acesso, logs de sistema e estruturas internas do sistema de arquivos. Essas alterações, mesmo que mínimas, geram um hash diferente do original, impossibilitando a comprovação de integridade. A regra é absoluta: a evidência original é lacrada e armazenada após a criação da imagem forense, e todo trabalho subsequente é feito exclusivamente sobre cópias verificadas.
Não isolar o dispositivo de redes antes da coleta é outro erro com consequências potencialmente catastróficas. Um celular que recebe uma mensagem durante a perícia tem seus timestamps de "última atividade" alterados. Um computador conectado à internet pode receber atualizações automáticas que modificam arquivos do sistema. E o pior cenário: o suspeito aciona um wipe remoto via Find My Device ou similar, destruindo toda a evidência. O isolamento deve ser instantâneo, antes de qualquer interação com o dispositivo.
A documentação incompleta ou atrasada é um erro silencioso que só se revela no tribunal. O perito faz o procedimento corretamente no momento, mas não registra os detalhes — e quando precisa lembrar semanas ou meses depois, não consegue confirmar com certeza qual versão do software usou, em que momento calculou o hash, ou quem estava presente. A prática recomendada é documentar em tempo real: anotar cada passo no momento em que é executado, não depois.
A utilização de ferramentas não validadas ou desconhecidas pode comprometer a credibilidade do laudo. Quando o perito usa um script personalizado sem documentação, uma ferramenta obscura sem certificação, ou uma versão desatualizada de software com bugs conhecidos, a defesa pode questionar a confiabilidade dos resultados. Preferir ferramentas amplamente aceitas (FTK Imager, EnCase, Cellebrite, Autopsy) e documentar versão e configuração é uma proteção contra esse tipo de questionamento.
Armazenamento e Descarte: O Fim do Ciclo
A cadeia de custódia não termina com a entrega do laudo — ela continua enquanto a evidência existir. O armazenamento seguro e o descarte adequado são etapas que completam o ciclo e que são frequentemente negligenciadas.
O armazenamento da evidência original e das imagens forenses deve garantir integridade física e lógica. Mídias de armazenamento degradam com o tempo — discos rígidos podem falhar, DVDs podem oxidar, flash drives podem perder dados por fuga de elétrons. Para armazenamento de longo prazo, HDs em ambiente controlado (temperatura estável, umidade baixa, protegido de campos magnéticos) e verificação periódica de hashes são práticas essenciais. Se o hash de uma mídia armazenada divergir do registrado, o perito é alertado de que houve degradação e pode tomar providências antes que os dados sejam perdidos.
O acesso físico ao local de armazenamento deve ser controlado e registrado. Quem entra e sai, quando, e por qual motivo — tudo documentado. Um armário trancado em uma sala com controle de acesso é o mínimo aceitável. Para organizações que lidam com grande volume de evidências, sistemas de gerenciamento de evidências (como SAFE ou Evidence.com) automatizam o rastreamento de custódia com código de barras ou RFID.
O descarte, quando autorizado pelo juízo ou pela autoridade competente, deve ser documentado e irreversível. Para mídias magnéticas, a degaussing (desmagnetização) seguida de destruição física é o método mais seguro. Para SSDs e flash storage, a destruição física é preferível à sobrescrita devido às características de wear leveling que podem preservar dados em blocos realocados. O registro de descarte deve incluir data, método utilizado, responsável e autorização judicial que permitiu a destruição.
A investigação digital corporativa frequentemente lida com evidências que precisam ser armazenadas por anos enquanto processos judiciais se arrastam, tornando o planejamento de armazenamento de longo prazo uma preocupação prática e orçamentária significativa.
FAQ
O que é cadeia de custódia de evidências digitais?
A cadeia de custódia é o registro documentado de toda a história cronológica de uma evidência digital — desde sua identificação e coleta até a apresentação em juízo ou descarte. Ela documenta quem teve contato com a evidência, quando, o que foi feito e como a integridade foi verificada em cada etapa. Para evidências digitais, inclui hashes criptográficos que comprovam que os dados não foram alterados, logs de ferramentas forenses utilizadas e registros de transferência de posse. Sua finalidade é garantir que a prova apresentada no processo é exatamente a mesma que foi coletada, sem adulterações.
O que acontece se a cadeia de custódia for quebrada?
Se houver falhas na documentação da cadeia de custódia, a defesa pode arguir a inadmissibilidade da prova, e o juiz pode decidir excluí-la do processo. Os artigos 158-A a 158-F do CPP, introduzidos pelo Pacote Anticrime (Lei 13.964/2019), formalizaram esses requisitos. A quebra pode ser um gap temporal sem registro de custódia, ausência de hash de integridade, falta de identificação de quem manuseou a evidência, ou análise direta na mídia original sem cópia forense. A consequência prática é que evidências tecnicamente válidas podem ser descartadas por falhas procedimentais.
Qual algoritmo de hash usar para cadeia de custódia?
O SHA-256 é o padrão recomendado atualmente. O MD5, embora ainda amplamente utilizado, é considerado criptograficamente comprometido — vulnerabilidades de colisão foram demonstradas, o que permite teoricamente criar dois arquivos diferentes com o mesmo hash MD5. Na prática, usar MD5 sozinho pode ser questionado pela defesa. A melhor abordagem é calcular tanto MD5 quanto SHA-256: o MD5 por compatibilidade com ferramentas legadas e o SHA-256 como garantia de integridade robusta. Registre ambos os hashes na documentação.
Quem é responsável pela cadeia de custódia?
Toda pessoa que tem contato com a evidência é responsável por sua parcela na cadeia de custódia. Isso inclui policiais que apreenderam o dispositivo, peritos que realizaram a extração e análise, auxiliares de cartório que transportaram a mídia, e até funcionários de empresas que preservaram logs antes da entrega às autoridades. Cada transferência de posse deve ser registrada com assinaturas de quem entrega e quem recebe. O perito responsável pelo laudo tem a responsabilidade adicional de documentar toda a metodologia com detalhe suficiente para reprodução independente.
A cadeia de custódia é o que transforma dados digitais em provas judiciais válidas. Se você trabalha com investigação e precisa complementar evidências digitais com localização de envolvidos, o HI SPY oferece rastreamento em tempo real sem instalação no alvo — dados de geolocalização que, quando documentados corretamente, fortalecem o conjunto probatório.