Cadeia de Custódia

Como logs de sistema podem provar que um celular foi acessado após a apreensão

Cyberlex·9 min de leitura·Forense Digital

Um celular apreendido deveria ficar lacrado e intocado até a perícia. Quando não fica, o próprio aparelho guarda o registro da violação. Smartphones são testemunhas que anotam cada desbloqueio — com hora e minuto.

Entre a apreensão de um dispositivo e sua análise pericial oficial, existe uma janela. Nessa janela, o aparelho deveria permanecer lacrado, isolado e sem qualquer manuseio. Quando essa regra é violada — quando alguém liga, desbloqueia ou conecta o celular fora do procedimento oficial — o ato deixa rastros. E são rastros que o próprio sistema operacional registra, automaticamente, sem que o operador perceba.

Para a defesa, isso representa uma possibilidade concreta e técnica de demonstrar a quebra da cadeia de custódia. Não com argumentos retóricos, mas com timestamps.

O dispositivo como testemunha

Tanto o Android quanto o iOS mantêm uma quantidade enorme de registros internos sobre seu próprio funcionamento. A finalidade original desses logs é técnica — gerenciar bateria, otimizar desempenho, sincronizar aplicativos. Mas, como efeito colateral, eles constroem uma linha do tempo detalhada de quando o aparelho foi usado e como.

Cada desbloqueio de tela, cada aplicativo aberto, cada conexão de Wi-Fi, cada vez que o cabo USB foi conectado — tudo isso pode estar registrado, com data e hora precisas. Se algum desses eventos ocorreu depois do momento oficial da apreensão, há um problema sério na cadeia de custódia.

O princípio jurídico em jogo é o da mesmidade, formulado pelo professor Geraldo Prado: a garantia de que o vestígio apresentado em juízo é exatamente o mesmo que foi coletado, sem alteração no percurso. Um acesso não documentado ao aparelho rompe essa garantia.

O que o Android registra

O sistema do Google mantém diversos artefatos relevantes. O mais útil costuma ser o UsageStatsService, que registra eventos de uso com timestamps. Entre eles, há um evento específico que marca o momento em que a tela de bloqueio é dispensada — ou seja, o desbloqueio do aparelho. Comparar esse registro com a hora da apreensão é a forma mais direta de demonstrar um acesso posterior.

Há outros artefatos igualmente valiosos. As estatísticas de bateria registram quando a tela foi ligada e desligada, com precisão de milissegundos. O sistema guarda miniaturas das telas dos aplicativos abertos recentemente, com data de criação. E há um detalhe particularmente revelador: o arquivo que armazena as chaves de pareamento de depuração USB. Quando um computador novo se conecta ao aparelho via ADB — como fazem as ferramentas forenses de extração — uma nova chave é registrada. Uma chave criada após a apreensão é prova de que o aparelho foi conectado a uma máquina externa naquele momento.

O que o iOS registra

No iPhone, o ecossistema de logs é ainda mais rico. O KnowledgeC, um banco de dados mantido pelo sistema, registra fluxos de eventos que incluem o estado de bloqueio do dispositivo e se a tela estava acesa, com timestamps precisos. O PowerLog, voltado ao gerenciamento de energia, registra eventos de bloqueio, desbloqueio e uso de aplicativos.

Mas o artefato mais contundente para detectar uma extração forense é outro: os registros de pareamento (pair records) do serviço Lockdown. Toda vez que um iPhone estabelece confiança com um computador — o famoso "Confiar neste computador" — é criado um registro com identificação do host e data. Ferramentas forenses como Cellebrite e GrayKey precisam estabelecer esse pareamento para extrair dados.

A consequência é direta: se existe um pair record com data posterior à apreensão, vinculado a um host que não corresponde ao laboratório oficial — ou se há um pareamento que nunca foi documentado na cadeia de custódia — há prova material de um acesso não registrado ao dispositivo.

A tabela de correspondência

De forma simplificada, cada tipo de evento deixa um rastro específico em cada sistema:

Evento
Android
iOS
Desbloqueio
UsageStats (evento de tela)
KnowledgeC isLocked; PowerLog
Tela ligada
batterystats +screen
KnowledgeC isBacklit
App aberto
UsageStats (foreground)
KnowledgeC inFocus
Pareamento USB novo
nova chave em adb_keys
novo pair_record Lockdown
Wi-Fi conectado
registro de configuração Wi-Fi
log de redes conhecidas

Um detalhe técnico importante: muitos desses registros têm vida útil limitada. Buffers são circulares e sobrescrevem dados antigos; bancos de log mantêm apenas alguns dias ou semanas de histórico. Por isso, a captura desses artefatos precisa acontecer o quanto antes — quanto mais tempo passa, maior o risco de os rastros desaparecerem naturalmente.

A base legal

A cadeia de custódia está positivada nos artigos 158-A a 158-F do Código de Processo Penal, introduzidos pela Lei 13.964/2019. O art. 158-B lista as dez etapas obrigatórias, do reconhecimento ao descarte. Para dispositivos digitais, isso implica isolamento contra acesso remoto, lacre com numeração individualizada e registro de todos que tiveram contato com o vestígio.

A jurisprudência do STJ sobre o tema é instrutiva. No AgRg no RHC 143.169/RJ, a Corte tratou de computadores apreendidos sem documentação adequada e firmou que é ônus do Estado comprovar a integridade e a confiabilidade das fontes de prova, comparando o hash à impressão digital do arquivo. E no já mencionado HC 943.895/PR (2025), a Quinta Turma anulou prova porque houve manuseio do aparelho antes da perícia oficial — exatamente o tipo de acesso que os logs internos podem revelar.

Vale a ressalva consolidada no HC 653.515/RJ: a quebra de cadeia de custódia não conduz automaticamente à nulidade. O magistrado deve sopesar a confiabilidade da prova. Mas demonstrar tecnicamente, com timestamps, que o aparelho foi acessado fora do fluxo oficial é um dos argumentos mais robustos que a defesa pode apresentar nesse sopesamento.

O roteiro probatório

Transformar essa possibilidade técnica em argumento processual exige método:

Como construir o argumento

1
Fixe o marco temporal da apreensão. Estabeleça com precisão, a partir do auto de apreensão e documentos correlatos, o momento exato em que o dispositivo entrou sob custódia do Estado.
2
Identifique o primeiro registro da cadeia de custódia. Quando o aparelho foi lacrado, por quem, e quando chegou à central de custódia.
3
Postule a perícia dos logs. Com base no art. 159 do CPP, requeira análise complementar focada nos artefatos de sistema — UsageStats, KnowledgeC, PowerLog, registros de pareamento.
4
Mapeie os timestamps na janela suspeita. Qualquer desbloqueio, abertura de app, conexão de rede ou pareamento ocorrido entre a apreensão e a perícia oficial documentada é um indício material de violação.

O que isso significa na prática

A cadeia de custódia deixou de ser uma formalidade que se alega no abstrato. Com a análise correta dos logs do próprio dispositivo, é possível demonstrar de forma objetiva — não retórica — se o aparelho foi manuseado fora do procedimento legal.

Para a defesa, isso abre uma frente técnica poderosa: o aparelho que a acusação usa como prova pode conter, em seus próprios registros, a evidência de que foi indevidamente acessado. Para isso, é preciso saber onde olhar, capturar os dados antes que se percam e traduzir os timestamps em um argumento que o juízo compreenda.

É a diferença entre dizer "a cadeia de custódia foi quebrada" e provar, com hora e minuto, que ela foi.

Este conteúdo tem caráter informativo e não constitui parecer jurídico ou técnico sobre caso concreto. A disponibilidade e a interpretação de logs dependem do modelo do dispositivo, versão do sistema e condições da apreensão. A Cyberlex presta suporte técnico-pericial; a atuação judicial é conduzida por advogados.

Suspeita que um dispositivo foi acessado após a apreensão?

Podemos analisar os logs do sistema e documentar tecnicamente eventuais acessos fora do fluxo oficial.

Discutir um caso