O banqueiro Daniel Vorcaro tentou ocultar o conteúdo de mensagens enviadas ao ministro Alexandre de Moraes, do STF, usando prints do bloco de notas enviados pelo WhatsApp como imagens de visualização única. A estratégia, porém, produziu o efeito contrário.
Em vez de apagar os rastros, a manobra criou mais evidências para a perícia. Peritos da Polícia Federal conseguiram recuperar as imagens e reverter a visualização única para obter o conteúdo completo das trocas feitas em 17 de novembro de 2025.
Segundo especialista em segurança digital, os prints ficaram armazenados em lixeiras de aplicativos e na memória interna do aparelho — pontos que os programas forenses da PF conseguem vasculhar.
Ao enviar as mensagens como imagens de visualização única no WhatsApp, Vorcaro apostou no recurso que impede o destinatário de salvar ou encaminhar o conteúdo. O que ele não previu foi o rastro deixado em seu próprio aparelho.
O perito em segurança digital Wanderson Castilho explicou que as imagens podem ter sido recuperadas de diferentes pontos do dispositivo: a lixeira do bloco de notas, a galeria de fotos e a memória interna do celular. Mesmo arquivos removidos da lixeira podem deixar vestígios recuperáveis antes de serem sobrescritos.
“Conseguimos analisar todas essas correlações e chegar à mensagem de visualização única que, em tese, ninguém mais conseguiria ver”, disse Castilho.
As ferramentas usadas pela PF
A Polícia Federal dispõe de programas especializados para extração de dados. O Cellebrite israelense e o GrayKey americano conseguem acessar iPhones e aparelhos Android mesmo bloqueados. As licenças dessas ferramentas chegam a R$ 270 mil por ano, conforme o Tropiquim já havia detalhado.
Outra ferramenta central é o IPED (Indexador e Processador de Evidências Digitais), desenvolvido por peritos da própria PF em 2012. O programa faz varreduras em celulares apreendidos e extrai texto de imagens por reconhecimento óptico de caracteres — o mesmo princípio dos radares de trânsito que leem placas de veículos.
“Todas as imagens são identificadas e transformadas em texto. Quando você vai fazer uma busca textual, ela vai identificar esses dados”, explicou ao Fantástico Marcos Monteiro, presidente da Associação dos Peritos em Computação Forense.
O IPED ainda permite buscas por padrões específicos, como CPF e valores monetários, agilizando investigações. O código-fonte do programa está disponível na internet desde 2019.
A janela de oportunidade dos peritos
O WhatsApp usa criptografia de ponta a ponta, o que impede que terceiros — incluindo a própria plataforma — acessem as conversas remotamente. Mas essa proteção não barra a extração direta no dispositivo: as chaves ficam armazenadas no celular do usuário e ficam acessíveis com o aparelho em mãos.
A velocidade da extração é decisiva. Registros que ajudam a acessar o aparelho — como a senha de bloqueio — ficam em memória volátil. Alguns celulares são reiniciados automaticamente para dificultar esse acesso: a empresa do GrayKey informou em 2024 que uma atualização do iPhone faz o aparelho reiniciar após três dias bloqueado.
As mensagens foram trocadas em 17 de novembro de 2025, horas antes de Vorcaro ser detido em Guarulhos tentando embarcar para Malta. A análise técnica que permitiu a reversão da visualização única foi revelada pelo jornal O Globo em 6 de março — quando ficou claro que a PF havia obtido o conteúdo completo das trocas entre o banqueiro e o ministro.
Moraes negou as acusações. Em nota, o ministro afirmou que os prints de Vorcaro não aparecem como enviados a ele e que uma análise técnica indicou que as imagens de visualização única não correspondem aos seus contatos.