O laudo chega aos autos com tabelas, códigos e termos técnicos que transmitem credibilidade. A maioria dos advogados aceita sem verificar. O problema é que muitas dessas informações podem ser conferidas com ferramentas gratuitas, acessíveis a qualquer pessoa com um navegador.
Não se trata de substituir a perícia. Se trata de saber verificar antes de aceitar, identificar inconsistências antes de pedir análise formal, e fazer as perguntas certas com base em dados concretos.
Estas são 10 ferramentas que todo advogado criminalista deveria conhecer.
1. FotoForensics
Quando a acusação apresenta uma imagem como prova, a primeira pergunta é: essa imagem foi manipulada?
O FotoForensics aplica uma técnica chamada Error Level Analysis (ELA). Toda imagem JPEG tem um nível de compressão uniforme. Quando uma área é editada, colada ou alterada digitalmente, o nível de compressão naquela região muda. A ferramenta destaca essas diferenças visualmente.
Na prática, você faz upload da imagem e a ferramenta gera um mapa de calor. Áreas com níveis de compressão diferentes do restante aparecem em destaque. Se uma região da foto apresenta padrão completamente diferente do resto, existe indício técnico de edição.
Isso é especialmente útil quando prints de conversas, fotos de locais ou capturas de redes sociais são juntados aos autos sem laudo pericial que ateste autenticidade. A defesa pode apresentar a análise ELA como fundamento para solicitar perícia formal.
Acesso: fotoforensics.com
2. EXIF Tools
Toda fotografia digital carrega dados invisíveis chamados metadados EXIF. Esses dados registram informações que a imagem não mostra: modelo da câmera ou celular que tirou a foto, data e hora exata do disparo, coordenadas GPS do local, software usado para editar, orientação do dispositivo.
O EXIF Tools extrai e exibe todos esses dados de forma organizada. Para a defesa, a utilidade é direta: se a acusação apresenta uma foto supostamente tirada em determinado local e data, os metadados EXIF podem confirmar ou desmentir.
Exemplo: uma foto apresentada como registro de um local na data do crime mostra, nos metadados, coordenadas GPS de outra cidade. Ou a data do EXIF é anterior ao fato investigado. Ou o campo de software revela que a imagem passou por um editor gráfico antes de ser juntada aos autos.
Se os metadados foram removidos, isso também é informação relevante. A remoção de EXIF não é acidental. Alguém precisou processar a imagem para limpar esses dados.
Acesso: exiftool.org / exif.regex.info / metapicz.com
3. TinEye
Busca reversa de imagens. Você faz upload de uma foto e o TinEye varre a internet em busca de todas as ocorrências daquela imagem, mostrando onde ela apareceu, quando foi indexada pela primeira vez e em quais contextos foi utilizada.
Para a defesa criminal, o uso mais estratégico é verificar a origem real de uma imagem. Se a acusação apresenta uma foto como prova de um fato específico e o TinEye revela que a mesma imagem já circulava na internet antes do fato investigado, em contexto completamente diferente, a prova perde fundamento.
Funciona também para identificar imagens de banco de fotos, montagens com elementos retirados de outros sites, ou capturas reaproveitadas de contextos anteriores.
Acesso: tineye.com
4. IP Info
Processos que envolvem crimes cibernéticos frequentemente usam endereço IP como elemento de identificação. A investigação localiza um IP, vincula a um provedor, solicita os dados cadastrais e aponta um suspeito. Parece linear. Mas na prática, IP não identifica pessoa.
O IP Info mostra a geolocalização aproximada de um endereço IP, o provedor de internet responsável, o sistema autônomo (AS) e o tipo de conexão. A palavra-chave é “aproximada”: a margem de erro pode cobrir bairros inteiros ou até municípios diferentes.
A defesa pode usar essa ferramenta para demonstrar três pontos: que a geolocalização por IP é imprecisa por natureza, que o IP pode pertencer a uma rede compartilhada (CGNAT) onde centenas de usuários dividem o mesmo endereço, e que sem cruzamento com porta lógica de origem e registro temporal exato, o IP sozinho não identifica ninguém.
Acesso: ipinfo.io
5. MXToolbox Email Headers
E-mails são apresentados como prova com frequência, mas poucos advogados sabem que toda mensagem carrega um cabeçalho técnico (header) que registra o caminho completo percorrido desde o remetente até o destinatário.
O MXToolbox Email Headers analisa esse cabeçalho e mostra, de forma visual, por quais servidores o e-mail passou, o IP real de origem, os horários de cada salto e se houve falsificação de remetente (spoofing).
Na prática, se a acusação apresenta um e-mail supostamente enviado por determinada pessoa, a análise do cabeçalho pode revelar que o IP de origem é de outro país, que o domínio do remetente foi forjado, ou que a mensagem passou por servidores incompatíveis com o provedor alegado.
Essa verificação leva minutos e pode fundamentar um pedido de impugnação da prova ou de perícia técnica sobre a autenticidade do e-mail.
Acesso: mxtoolbox.com/EmailHeaders.aspx
6. IMEI.info
Quando o processo envolve apreensão de celular, o laudo deveria conter informações suficientes para individualizar o dispositivo: marca, modelo, IMEI, número de série. O IMEI.info permite verificar todas as especificações técnicas de um aparelho a partir do número IMEI.
A utilidade para a defesa é cruzar o que consta no laudo com o que o IMEI realmente identifica. Se o relatório de extração descreve um modelo de celular com determinada capacidade de armazenamento, mas o IMEI aponta para um modelo diferente, existe inconsistência que compromete a individualização do dispositivo.
Também permite verificar se o IMEI foi reportado como roubado, se o aparelho é original ou clonado, e quais são os recursos técnicos reais do modelo apreendido.
Acesso: imei.info
7. Wayback Machine (Archive.org)
A internet muda o tempo todo. Páginas são editadas, posts são removidos, perfis são alterados. Mas a Wayback Machine armazena cópias históricas de páginas web, permitindo ver como um site ou perfil estava em uma data específica.
Para a defesa, essa ferramenta resolve situações concretas: se a acusação alega que determinado conteúdo estava publicado em determinada data, a Wayback Machine pode confirmar ou negar. Se um site foi alterado após o fato investigado para sustentar a narrativa acusatória, as versões anteriores revelam a mudança.
Também é útil para preservar provas favoráveis à defesa. Se um conteúdo que beneficia o réu está online e pode ser removido, a Wayback Machine pode já ter uma cópia arquivada que serve como registro histórico.
Acesso: web.archive.org
8. VirusTotal
Quando a defesa recebe arquivos digitais dos autos, como documentos, imagens, planilhas ou executáveis, o VirusTotal permite verificar a integridade e segurança desses arquivos antes de abrir.
A ferramenta submete o arquivo a dezenas de antivírus simultaneamente e apresenta um relatório consolidado. Para a defesa, o uso vai além da segurança: o VirusTotal calcula e exibe o Hash do arquivo (SHA-256, SHA-1 e MD5). Isso permite ao advogado verificar se o Hash do arquivo recebido confere com o Hash que consta no laudo.
Se os Hashes divergem, a defesa tem fundamento técnico para questionar se o arquivo nos autos é o mesmo que foi periciado.
Acesso: virustotal.com
9. crt.sh
Em casos que envolvem phishing, sites clonados ou fraudes digitais, o crt.sh pesquisa todos os certificados SSL/TLS emitidos para um domínio. Certificados SSL são registros públicos de transparência que documentam quando um domínio foi ativado com HTTPS.
A defesa pode usar essa ferramenta para demonstrar que o domínio utilizado no crime foi criado em data específica (diferente da alegada), que pertence a um titular diferente do acusado, ou que vários domínios semelhantes foram criados por um terceiro em padrão de fraude serial.
Se o réu é acusado de operar um site fraudulento, o histórico de certificados pode revelar que o domínio já existia antes com outro titular, ou que foi registrado a partir de infraestrutura técnica que não tem relação com o acusado.
Acesso: crt.sh
10. Google Advanced Search
A pesquisa avançada do Google é uma das ferramentas mais subestimadas para investigação digital. Permite usar operadores de busca (Google Dorking) para encontrar informações específicas que a pesquisa comum não revela.
Operadores como site: restringem a busca a um domínio específico. filetype: localiza documentos por formato (PDF, XLSX, DOC). intitle: e inurl: filtram por termos no título ou na URL da página. cache: acessa a versão em cache do Google. Combinando esses operadores, o advogado consegue localizar documentos públicos, registros expostos e informações indexadas que sustentam ou enfraquecem a narrativa acusatória.
Exemplo prático: se o réu é acusado de operar determinado site, a busca site:dominio.com.br revela todo o conteúdo indexado. Se a acusação menciona um documento específico, filetype:pdf "termo exato" pode localizar o arquivo original em fontes públicas. Se um perfil de rede social é citado nos autos, os operadores permitem verificar o histórico de publicações indexadas pelo Google, mesmo que o perfil tenha sido alterado.
É gratuito, não exige instalação e funciona direto no navegador. A diferença entre quem usa e quem não usa é a capacidade de encontrar o que ninguém mais procurou.
Acesso: google.com/advanced_search
Considerações Finais
Nenhuma dessas ferramentas substitui a perícia formal. Mas todas colocam o advogado criminalista numa posição diferente: a de quem verifica antes de aceitar.
O laudo diz que a foto é autêntica, mas o FotoForensics mostra edição. O relatório aponta um IP como prova de autoria, mas o IP Info revela rede compartilhada. O e-mail parece legítimo, mas o cabeçalho expõe falsificação. A diferença está em saber onde olhar.
Dominar a prova digital não é opcional. É o diferencial que muda o resultado do processo. Faça parte do Tribunal Digital.