A perícia disse que "não havia nada de relevante no aparelho". Mas a pergunta certa é outra: o que a configuração da análise deixou de fora? Entender o IPED é entender onde a prova pode ter sido perdida — por acidente ou por método.
Quando um celular ou computador é apreendido em uma investigação, ele não é simplesmente "lido" por um perito que folheia os arquivos. Há um processo técnico, em etapas, que determina o que será encontrado e o que permanecerá invisível. No Brasil, boa parte desse processo passa por uma ferramenta específica: o IPED. Conhecer como ela funciona é fundamental para qualquer advogado que lide com prova digital — seja para confiar nela, seja para questioná-la.
O que é o IPED
IPED é a sigla de Indexador e Processador de Evidências Digitais. É uma ferramenta forense desenvolvida por um Perito Criminal Federal, Luís Filipe da Cruz Nassif, dentro da Polícia Federal. O projeto começou por volta de 2012 e ganhou notoriedade nacional ao ser usado em larga escala na Operação Lava Jato, onde processou milhões de gigabytes de dados extraídos de milhares de dispositivos.
Desde 2019, o IPED é software de código aberto — qualquer pessoa pode baixar, usar e, crucialmente, auditar seu código-fonte. Ele é mantido publicamente e tem inclusive uma versão espelhada pelo Centro de Inovação da INTERPOL, o que atesta seu reconhecimento internacional. Essa característica de transparência tem uma consequência jurídica direta, à qual voltaremos adiante.
Um ponto que gera muita confusão: o IPED não extrai dados de um aparelho. Ele processa e indexa dados que já foram extraídos por outra ferramenta. Confundir as duas coisas leva a erros graves de interpretação sobre o que a perícia fez ou deixou de fazer.
Extração não é indexação
Esta distinção é o coração da questão, então vale detalhar. São dois momentos técnicos distintos, frequentemente realizados por ferramentas e até por pessoas diferentes.
Extração
É a obtenção dos dados brutos do dispositivo físico. Feita por ferramentas como o Cellebrite, que se conecta ao aparelho e copia seu conteúdo. O resultado é um arquivo de imagem — frequentemente no formato .ufdr — acompanhado de um hash que atesta sua integridade.
Indexação
É o processamento desses dados já extraídos para torná-los pesquisáveis e organizados por categoria. É o que o IPED faz: lê a imagem da extração, decodifica, categoriza, recupera arquivos apagados e cria um índice navegável.
A implicação prática é enorme. Quando um perito afirma que analisou o aparelho, ele pode estar se referindo apenas à indexação de uma extração feita por terceiros — e essa extração pode já ter sido incompleta. Pior: o próprio arquivo .ufdr, que muitos tratam como "o conteúdo do celular", é tecnicamente um pacote filtrado, um subconjunto que o examinador escolheu incluir. Não é, necessariamente, a totalidade do que estava no dispositivo.
Como uma indexação pode esconder dados
O IPED é altamente configurável. E é justamente nas configurações que mora o risco: parâmetros mal ajustados — por desconhecimento, pressa ou escolha — podem fazer com que dados relevantes simplesmente não apareçam no resultado final. Alguns exemplos concretos:
Configurações que suprimem dados
Remove do caso arquivos cujo hash consta em listas de "arquivos conhecidos e ignoráveis" (como a base NSRL). O problema: arquivos legítimos do usuário podem coincidir com esses hashes e desaparecer da análise. A própria documentação do IPED alerta que este recurso é perigoso.
Com o reconhecimento de texto em imagens desativado, documentos digitalizados, prints e contratos fotografados não geram texto pesquisável — e podem passar despercebidos em buscas por palavras-chave.
Usa apenas o decodificador interno, que pode não recuperar mensagens apagadas que um decodificador externo recuperaria.
Desativa a recuperação de dados em áreas não alocadas do disco — exatamente onde residem muitos arquivos apagados.
Perfis de análise rápida que desativam várias dessas funcionalidades de uma vez, priorizando velocidade sobre completude.
Há ainda a questão do fuso horário. Uma configuração incorreta de timezone desloca todas as datas e horários — o que pode comprometer um álibi, alterar a sequência cronológica dos fatos ou criar contradições aparentes onde não existem.
Como questionar um laudo baseado em IPED
É aqui que a transparência do IPED se torna uma arma de defesa. Por ser código aberto, ele não pode ser tratado como uma "caixa preta" pericial — cada decisão de processamento pode ser auditada e reproduzida. A perícia digital, por natureza, é repetível.
O Código de Processo Penal, no art. 159, §6º, assegura ao assistente técnico das partes o acesso ao material probatório para exame. Com base nisso, a defesa pode e deve:
- Solicitar acesso ao case_folder completo, não apenas ao relatório em PDF ou HTML que costuma ser anexado ao processo.
- Pedir os arquivos de configuração utilizados — o IPEDConfig.txt, o LocalConfig.txt e o profile aplicado — e o Processing.log, que registra o que aconteceu durante o processamento.
- Verificar a versão do IPED e conferir os hashes da imagem original em todas as etapas.
- Requerer o reprocessamento do material com um perfil forense completo: OCR ativado, carving ativado, recuperação de áreas não alocadas, decodificadores externos e sem a exclusão automática de arquivos por hash.
Os quesitos suplementares são onde a competência técnica vira resultado processual. Perguntas precisas — qual profile foi usado, quantos arquivos foram excluídos pelo filtro de hash, se o OCR estava ativo, se o fuso horário estava correto, se houve erros de parsing registrados no log — expõem fragilidades que um laudo superficial não revela.
A vantagem é estrutural. Quando a parte contrária baseia sua tese em uma análise digital, ela está sujeita ao mesmo escrutínio técnico que qualquer prova pericial. Recusar o reprocessamento ou negar acesso ao material completo ofende o contraditório e o próprio art. 159, §6º do CPP.
O que isso significa na prática
"Não havia nada relevante no aparelho" é uma conclusão, não um fato. Ela depende inteiramente de como a análise foi configurada. Um aparelho processado em modo de triagem rápida, com OCR e carving desligados e filtro de hash agressivo, pode parecer vazio — quando na verdade contém exatamente a prova que muda o caso.
Para o advogado, a lição é direta: prova digital pericial não é um veredito técnico inquestionável. É um resultado produzido sob parâmetros específicos, que podem e devem ser auditados. Saber quais perguntas fazer — e ter quem as responda tecnicamente — é o que transforma um laudo desfavorável em uma oportunidade de reanálise.
Este conteúdo tem caráter informativo e não constitui parecer jurídico ou técnico sobre caso concreto. Cada situação exige análise específica do material e das circunstâncias. A Cyberlex presta suporte técnico-pericial; a atuação judicial é conduzida por advogados.