Muito antes da era dos smartphones, na primeira metade do século 20, o francês Edmond Locard elaborou a teoria que, até hoje, é considerada a pedra fundamental das ciências forenses. Segundo ele, "todo o contato deixa vestígio". E isso também vale para os crimes cibernéticos, como é o caso das invasões a aparelhos eletrônicos de autoridades.
Mesmo que seja uma missão difícil encontrar os rastros de um crime, eles sempre estarão lá. Encontrá-los e interpretá-los são as duas ações mais essenciais da investigação criminal, que busca sempre determinar, de forma objetiva e científica, a materialidade, a dinâmica e a autoria do crime.
O primeiro desafio do perito criminal, tanto em crimes convencionais quanto nos cibernéticos, é a preservação dos vestígios. Quanto mais deles forem preservados, maiores são as chances de se chegar a um desfecho satisfatório para a investigação.
Vestígios digitais são deixados, via de regra, gravados em bits e bytes ao longo de todo o percurso de execução de qualquer ação digital, incluindo as ações criminosas. Cabe aos peritos criminais especializados nesse tipo de ocorrência saber encontrá-los, entendê-los e relacioná-los na composição de uma narrativa.
Muitas vezes, após sofrer um ataque cibernético e no afã de restabelecer seus sistemas, a vítima destrói ou contamina grande parte dos vestígios digitais deixados pelo criminoso, o que pode reduzir significativamente o universo de possibilidades da perícia. Em outras situações, quando o invasor tem mais domínio das tecnologias, ele mesmo remove parte dos vestígios de suas ações, reduzindo sua exposição e dificultando a coleta dos vestígios remanescentes.
A recomendação para quem sofre um ciberataque é, assim que se der conta do crime, desconectar-se das redes de comunicação, restringir o acesso físico de outras pessoas ao equipamento atacado e acionar imediatamente a perícia criminal. Essas são ações que podem aumentar muito as chances de o criminoso ser identificado pelos peritos criminais.
Entre os principais tipos de vestígios que podem ser deixados por criminosos virtuais, podemos citar como exemplo:
o Vestígios de localização (como endereços digitais e rotas); o Vestígios de ações (como criação, movimentação, visualização, cópia, exclusão e alteração de dados); o Vestígios de manipulação de credenciais de acesso; o Vestígios de códigos executáveis maliciosos ou indevidos; o Vestígios de tráfego em comunicações; o Vestígios de configurações realizadas; o Vestígios de exploração de vulnerabilidades dos sistemas e muitos outros.
Eventualmente, dada a sofisticação de certos ataques, a descoberta e a correta interpretação dos rastros podem ser complexas, levar tempo e exigir dos peritos grande esforço técnico, conhecimento e capacidade de abstração. Não é raro que, ao mesmo tempo em que conduzem a investigação, os peritos tenham que desenvolver métodos, procedimentos e ferramentas para atuar naquele caso específico.
Todo esse processo envolve a aplicação da ciência na elucidação de crimes e, consequentemente, na efetiva realização da Justiça. Não existe crime perfeito nem crime sem vestígio. Mesmo nesses tempos de internet e darkweb, os vestígios são capazes de contar a história de cada crime, da mesma forma como ocorria na época do pioneiro das ciências forenses Edmond Locard. Para isso, basta saber compreender o que os vestígios podem dizer.
*Evandro Lorens, perito criminal federal, é diretor da Associação Nacional dos Peritos Criminais Federais (APCF)