Como a PF quebrou o sigilo da visualização única do WhatsApp nas mensagens entre Vorcaro e Moraes
O que deveria ser uma conversa invisível tornou-se, paradoxalmente, um dos elementos centrais da investigação da Polícia Federal sobre o caso Master. A estratégia adotada por Daniel Vorcaro, controlador do Banco Master, para comunicar-se com o ministro Alexandre de Moraes, do Supremo Tribunal Federal (STF), por meio de capturas de tela enviadas como visualização única no WhatsApp — o recurso que autodestrói a imagem após a primeira leitura — não apenas falhou em preservar o sigilo pretendido como pode ter contribuído ativamente para a criação de um rastro forense mais robusto do que o de uma conversa de texto comum.
A conclusão não é especulativa. Ela vem de especialistas em perícia digital e foi corroborada pela análise técnica conduzida pela própria PF, que, segundo informações publicadas em março de 2026, conseguiu recuperar o conteúdo das mensagens trocadas em 17 de novembro entre Vorcaro e Moraes. A operação utiliza um arsenal tecnológico de última geração — com ferramentas israelenses, americanas e até um software desenvolvido por peritos brasileiros da própria Polícia Federal — cuja capacidade vai muito além do que o senso comum imagina quando pensa em privacidade digital.
A visualização única do WhatsApp: o que o recurso promete e o que entrega
O recurso de visualização única no WhatsApp, lançado pela Meta em 2021, foi projetado para atender a uma demanda crescente de usuários que desejam compartilhar imagens, vídeos ou documentos sem que esses arquivos fiquem armazenados permanentemente na galeria do destinatário. Ao ativar a opção, o remetente envia o arquivo com uma marcação especial que instrui o aplicativo a exibir o conteúdo uma única vez — sem a possibilidade de encaminhar, salvar ou tirar print da tela, ao menos no ambiente nativo do aplicativo.
Na teoria, o modelo parece hermético. Na prática forense, apresenta vulnerabilidades que peritos experientes sabem explorar. O ponto crítico está em uma distinção técnica fundamental: o recurso de visualização única do WhatsApp controla o comportamento do aplicativo, não do sistema operacional do dispositivo. Isso significa que, enquanto o WhatsApp instrui a si mesmo a não armazenar o arquivo na galeria padrão, o sistema do celular pode, por razões de funcionamento interno, manter cópias temporárias do arquivo em diretórios que o usuário comum sequer sabe que existem.
“A segurança está no caminho que as mensagens percorrem. Quando chegam aos aparelhos, elas são descriptografadas e ficam legíveis para qualquer pessoa”, explicou Wanderson Castilho, perito em segurança digital consultado na investigação do caso Master. A afirmação sintetiza uma realidade técnica que poucos usuários compreendem: o WhatsApp usa criptografia de ponta a ponta no trânsito das mensagens, mas, uma vez que o conteúdo chega ao dispositivo de destino, ele é descriptografado e fica exposto — ao menos para quem tiver acesso físico ao aparelho e às ferramentas certas.
O erro estratégico de Vorcaro: transformar texto em imagem criou mais rastros
No centro da investigação está uma decisão que, segundo os peritos, revelou-se tecnicamente contraproducente. Em vez de enviar mensagens de texto diretamente pelo WhatsApp — cujo rastreamento forense já é complexo, mas possível —, Vorcaro teria optado por redigir os textos em um aplicativo de bloco de notas, capturar a tela e enviar o print como imagem com visualização única no WhatsApp.
A lógica aparente era dupla: primeiro, evitar que as mensagens ficassem registradas no histórico de conversas do aplicativo; segundo, impedir que o destinatário pudesse salvar ou encaminhar o conteúdo. O problema, segundo Castilho, é que essa estratégia fez exatamente o oposto do que pretendia.
“É até mais fácil recuperar imagens do que a conversa propriamente dita. Quando ele transformou a conversa em imagem, deixou um rastro maior”, afirmou o especialista.
A explicação técnica para isso é direta: uma imagem percorre mais etapas no sistema do que uma mensagem de texto. Ela é criada no aplicativo de bloco de notas, o que gera um registro interno no app; passa pela galeria de capturas de tela do dispositivo, onde pode deixar vestígios mesmo após deletada; é temporariamente armazenada em pastas de cache antes de ser enviada pelo WhatsApp; e pode permanecer em diretórios ocultos do sistema operacional, especialmente em aparelhos Android, onde a fragmentação do ecossistema cria múltiplos pontos de armazenamento temporário.
“Conseguimos analisar todas essas correlações e chegar à mensagem de visualização única que, em tese, ninguém mais conseguiria ver”, disse Castilho.
O arsenal forense da PF: Cellebrite, GrayKey e o IPED brasileiro
A recuperação das imagens enviadas como visualização única no WhatsApp no caso Master não dependeu de nenhuma vulnerabilidade específica do aplicativo. Dependeu, sobretudo, do acesso físico ao dispositivo e do uso combinado de ferramentas de forense digital que representam o estado da arte nas investigações criminais ao redor do mundo.
Cellebrite é um software israelense amplamente utilizado por agências policiais e de inteligência em todo o mundo. Sua versão mais avançada, o UFED (Universal Forensic Extraction Device), consegue extrair dados de centenas de modelos de smartphones — incluindo iPhones com versões recentes do sistema iOS — mesmo quando os aparelhos estão bloqueados. O programa se conecta ao dispositivo por cabo USB e tenta superar a proteção de senha por meio de técnicas que variam conforme o modelo e a versão do sistema operacional.
GrayKey, desenvolvido pela empresa americana Grayshift, opera sob princípio semelhante, com foco particular em dispositivos Apple. Em 2024, a própria Grayshift informou publicamente que uma atualização do iOS passou a fazer o iPhone reiniciar automaticamente caso permaneça bloqueado por mais de três dias — uma contramedida direta ao GrayKey, que demonstra a corrida armamentista em curso entre fabricantes de hardware e desenvolvedores de ferramentas forenses.
Quando o dispositivo está desligado ou fisicamente danificado — impedindo o acesso por software —, os peritos podem recorrer à técnica conhecida como chip-off: o chip de memória é removido fisicamente do aparelho e conectado a um equipamento especializado que extrai diretamente os dados armazenados. É uma técnica invasiva e irreversível para o dispositivo, mas altamente eficaz na obtenção de dados que de outra forma seriam inacessíveis.
No caso do Banco Master, há um quarto ator tecnológico igualmente relevante: o IPED — Indexador e Processador de Evidências Digitais —, ferramenta desenvolvida pelos próprios peritos da Polícia Federal em 2012 e cujo código-fonte foi disponibilizado publicamente em 2019. O IPED não é uma ferramenta de desbloqueio: sua função é posterior. Uma vez que os dados foram extraídos do dispositivo, o IPED realiza varreduras, indexa o conteúdo e permite buscas por padrões — como CPFs, valores monetários, datas e palavras-chave — em um volume massivo de informações que seria humanamente impossível analisar manualmente.
IPED e o OCR forense: como a PF transforma imagens em texto pesquisável
Uma das capacidades mais sofisticadas do IPED, e diretamente relevante para o caso das mensagens de visualização única do WhatsApp enviadas por Vorcaro, é o uso de tecnologia OCR (Optical Character Recognition) aplicado a imagens forenses.
Marcos Monteiro, presidente da Associação dos Peritos em Computação Forense, descreveu o funcionamento do sistema com precisão: “Todas as imagens são identificadas e transformadas em texto. A ferramenta já pega as imagens, extrai os textos que ali existem, correlaciona ou organiza isso de uma forma legível. E, quando você vai fazer uma busca textual, por exemplo, ela vai identificar esses dados.”
O princípio é análogo ao dos radares de trânsito que fotografam placas de veículos e convertem automaticamente os caracteres em texto para consulta nos sistemas de registro. Aplicado ao contexto forense, significa que uma captura de tela de um bloco de notas — mesmo que enviada como visualização única no WhatsApp — pode, após recuperada, ter seu conteúdo textual extraído e indexado para busca. É exatamente o tipo de capacidade que transforma prints de conversas em evidências perfeitamente legíveis e organizadas para fins processuais.
O IPED também consegue analisar mensagens apagadas, com uma ressalva técnica importante: ele não recupera diretamente mensagens que foram enviadas com visualização única no WhatsApp a partir do servidor — mas pode recuperar os vestígios dessas imagens que permaneceram no dispositivo após a transmissão.
A posição de Moraes e os limites da análise técnica no processo
Em nota pública divulgada antes das revelações mais recentes, o ministro Alexandre de Moraes afirmou que os prints de mensagens atribuídos a Vorcaro não aparecem como enviados a ele, e que uma análise técnica teria indicado que as imagens de visualização única no WhatsApp recuperadas não correspondem aos contatos do ministro no aplicativo.
A declaração levanta questões técnicas relevantes que os peritos não deixam de considerar. É possível, em tese, que uma imagem recuperada de um dispositivo tenha seus metadados alterados ou incompletos, o que dificultaria a identificação precisa do destinatário original. A análise forense de metadados — data e hora de criação, geolocalização, dados do dispositivo de origem — é uma etapa fundamental para estabelecer a cadeia de custódia das evidências digitais e garantir que elas sejam admissíveis em processos judiciais.
A disputa sobre a autenticidade e a interpretação das evidências digitais tende a ser travada no campo da perícia oficial, onde laudos técnicos elaborados por profissionais credenciados têm peso determinante. No sistema processual penal brasileiro, as evidências digitais passaram a ter tratamento mais rigoroso com a edição da Lei nº 13.709/2018 (LGPD) e com os avanços na regulamentação da prova digital nos tribunais superiores.
PF na fronteira da forense digital: o caso Master como marco investigativo
A investigação sobre as comunicações entre Vorcaro e Moraes no contexto do caso Master representa um avanço significativo no uso de tecnologia forense pela Polícia Federal brasileira. A combinação entre ferramentas internacionais como Cellebrite e GrayKey e o software nacional IPED, desenvolvido internamente, posiciona a PF em um patamar técnico comparável ao das principais agências de investigação do mundo.
Mais do que um episódio isolado, o caso evidencia como a percepção popular sobre a invulnerabilidade de recursos como a visualização única no WhatsApp não encontra correspondência na realidade técnica das investigações forenses modernas. A privacidade digital existe — e é garantida por protocolos sólidos de criptografia enquanto os dados estão em trânsito —, mas encontra seus limites no momento em que o conteúdo chega ao dispositivo e, especialmente, quando esse dispositivo está sob custódia de autoridades com as ferramentas adequadas.
A Polícia Federal recuperou o que deveria ser invisível. E a principal lição do caso, sob o ângulo técnico, é que nenhuma estratégia de ocultação digital é tão segura quanto parece — sobretudo quando ela cria, inadvertidamente, mais rastros do que apagaria.
