Artigo acadêmico-científico
By Marcelo Salamon
May 12, 2026

Resumo
O presente artigo examina a interseção entre a criminologia forense clássica e o campo emergente da ciberforense, propondo uma análise sistemática dos fundamentos teóricos, das metodologias investigativas e dos desafios epistemológicos impostos pela criminalidade digital contemporânea. A partir da revisão crítica da literatura especializada e do exame de frameworks internacionais — com destaque para os modelos do NIST, do SWGDE e das diretrizes da Convenção de Budapeste —, o artigo demonstra que a ciberforense não constitui mera extensão técnica da perícia tradicional, mas disciplina autônoma que demanda reconfiguração profunda dos conceitos de evidência, materialidade, territorialidade e autoria delitiva. Conclui-se que a efetividade da ciberforense depende de uma tríplice articulação: rigor metodológico na coleta e preservação de evidências digitais, cooperação jurídica internacional estruturada e atualização contínua dos marcos normativos nacionais.
Introdução
A criminalidade, ao longo da história, sempre acompanhou o desenvolvimento tecnológico das sociedades humanas. Da cunhagem fraudulenta de moedas na Antiguidade à falsificação de títulos na era industrial, passando pela pirataria comercial no século XX, os delitos se adaptam, com notável plasticidade, às oportunidades abertas por cada nova configuração técnica do mundo social. O advento da internet e, subsequentemente, da computação ubíqua, dos dispositivos móveis, da Internet das Coisas (IoT) e da inteligência artificial generativa não constitui exceção a essa regra histórica — ao contrário, representa sua expressão mais radical e acelerada.
O que distingue qualitativamente a criminalidade digital contemporânea de seus precedentes históricos não é apenas a escala ou a velocidade com que os delitos podem ser praticados, mas a natureza ontológica da evidência que tais crimes produzem. Enquanto a criminologia forense clássica lidava com rastros físicos — impressões digitais, fibras, fluidos biológicos, projéteis balísticos —, a ciberforense enfrenta um tipo radicalmente diferente de vestígio: a evidência digital, que é imaterial, volátil, replicável sem degradação, facilmente manipulável e frequentemente dispersa por múltiplas jurisdições soberanas simultaneamente.
Essa natureza singular da evidência digital impõe desafios epistemológicos profundos à criminologia forense. Como estabelecer a autoria de um ato delitivo quando o agente pode operar por meio de cadeias de proxies, redes Tor e identidades digitais falsas? Como preservar a integridade probatória de dados que, por definição, são copiáveis com perfeição e modificáveis sem deixar rastros visíveis? Como aplicar categorias jurídicas construídas sobre a premissa da territorialidade — a locus delicti — a crimes cujos elementos constitutivos se distribuem por dezenas de países ao mesmo tempo?
A hipótese central que orienta esta análise é a de que a ciberforense, para ser epistemologicamente legítima e juridicamente eficaz, precisa ser compreendida não como uma especialidade técnica subordinada ao direito penal, mas como uma disciplina científica autônoma, com objeto, método e princípios próprios, capaz de dialogar em condições de igualdade com as demais ciências forenses consolidadas.
Seção 2
Fundamentos teóricos: da criminologia clássica à criminologia digital
2.1 A herança locardeana e seus limites na era digital
O princípio fundamental da criminalística moderna foi formulado pelo médico legista francês Edmond Locard no início do século XX: todo contato deixa um rastro. Conhecido como Princípio de Locard ou Lei da Troca, esse postulado estabelece que o agente de qualquer ato inevitavelmente transfere material de si para o ambiente e do ambiente para si, deixando uma assinatura física de sua presença que, com método adequado, pode ser detectada, coletada e analisada.
Princípio de Locard no ambiente digital
Em sua versão mais robusta — todo contato deixa um rastro recuperável e atribuível —, o princípio sofre pressão significativa. Ferramentas como as redes onion routing (Tor), os mixers de criptomoedas e os sistemas de comunicação com apagamento automático são projetadas para eliminar esses rastros. Contudo, numa versão mais fraca — todo contato digital deixa algum rastro em algum sistema —, o princípio permanece válido. Metadados de conexão, registros de autenticação, logs de DNS e artefatos de sistema operacional frequentemente sobrevivem mesmo a tentativas sofisticadas de ocultação.
2.2 Tipologia dos crimes digitais: uma taxonomia para fins forenses
Para fins deste artigo, adotamos a classificação tripartite proposta por Wall (2007) e refinada por Yar e Steinmetz (2019), que distingue três categorias analíticas fundamentais. A primeira compreende os crimes em que o computador é o alvo do delito — ataques DDoS, invasões de sistemas, instalação de malware, sabotagem de infraestruturas críticas. A segunda engloba os crimes nos quais o computador é o instrumento da conduta delitiva — fraudes, estelionatos, extorsões, ameaças — que existiam antes da era digital mas assumem nova escala pela mediação tecnológica. A terceira e mais desafiadora reúne os crimes nos quais o ambiente digital constitui o próprio espaço social em que a conduta se realiza: crimes de ódio em redes sociais, aliciamento de crianças em ambientes virtuais, manipulação algorítmica de mercados, desinformação computacionalmente amplificada.
2.3 Motivação, perfil e carreiras criminais no ciberespaço
A pesquisa criminológica identificou, nas últimas duas décadas, uma diversificação progressiva que vai muito além do estereótipo do hacker adolescente solitário. Estudos de Holt e Bossler (2016) e Lusthaus (2018) documentaram a profissionalização crescente do cibercrime, com organizações criminosas digitais estruturadas que operam com divisão especializada de trabalho — desenvolvedores de malware, operadores de botnet, especialistas em lavagem de criptoativos, recrutadores de mulas financeiras — e receitas anuais comparáveis às de médias empresas legítimas. A análise de Técnicas, Táticas e Procedimentos (TTPs), sistematizada pelo framework MITRE ATT&CK, tornou-se instrumento central da investigação forense digital em resposta a essa realidade.
Seção 3
Metodologia forense digital: princípios, fases e frameworks
3.1 Os quatro princípios fundamentais da ciberforense
Preservação Integridade dos dados Hash criptográfico (SHA-256) como “impressão digital” dos dados coletados.
Autenticidade Cadeia de custódia.
Registro cronológico auditável de todo acesso às evidências.
Completude Evidência exculpatória. Busca ativa de evidências que contradigam a hipótese investigativa.
Reprodutibilidade Método replicável. Documentação suficiente para replicação por perito independente.
3.2 As fases do processo forense digital (modelo NIST SP 800-86)
O processo de investigação forense digital estrutura-se em quatro fases principais. A fase de coleta envolve a identificação, a documentação e a aquisição das fontes potenciais de evidência. Uma distinção fundamental é aquela entre aquisição ao vivo (live acquisition) — única forma de capturar dados em memória volátil (RAM), que pode conter chaves de criptografia, processos em execução e artefatos de malware — e aquisição pós-mortem, realizada após o desligamento do sistema, com maior controle metodológico mas perda dos dados voláteis.
A fase de exame consiste no processamento dos dados coletados — recuperação de arquivos deletados por data carving, decodificação de formatos proprietários, descriptografia de arquivos protegidos, análise de artefatos do sistema operacional como o registro do Windows, arquivos de prefetch e metadados de armazenamento. A fase de análise é onde a expertise criminológica se manifesta com maior intensidade: estabelecimento de linha do tempo (timeline analysis), correlação de evidências de múltiplas fontes, identificação de padrões comportamentais e avaliação crítica de hipóteses alternativas. A fase de apresentação traduz conclusões técnicas em linguagem acessível ao contexto jurídico — determinante para a eficácia probatória, frequentemente subestimada na formação de peritos.
3.3 Ferramentas e frameworks de investigação
O ecossistema de ferramentas inclui suítes abrangentes como Autopsy/The Sleuth Kit, EnCase Forensic e FTK (AccessData). Para análise de memória volátil, o framework Volatility tornou-se padrão de facto. Na análise de dispositivos móveis, o UFED da Cellebrite e o GrayKey da Grayshift representam o estado da arte comercial, embora seu uso levante questões éticas e jurídicas significativas relacionadas ao acesso a dispositivos protegidos por criptografia. O framework MITRE ATT&CK sistematiza TTPs de agentes de ameaça em base de conhecimento continuamente atualizada, permitindo inferir — com graus variáveis de confiança — a identidade ou categoria do agente responsável.
Seção 4
Vetores contemporâneos de criminalidade digital
4.1 Ransomware e extorsão cibernética
O ransomware evoluiu de ameaça simples para vetor de criminalidade organizada de altíssima sofisticação. O modelo Ransomware-as-a-Service (RaaS) — no qual desenvolvedores licenciam suas ferramentas a operadores afiliados em troca de percentual sobre os resgates — transformou o setor em estrutura análoga à de mercados legítimos de software por assinatura. A criptografia AES-256 para cifragem de arquivos e RSA-2048 para proteção da chave de sessão torna tecnicamente inviável a recuperação dos dados sem a chave. A exigência de pagamento em Monero (XMR) — criptomoeda com propriedades de privacidade superiores ao Bitcoin — dificulta o rastreamento dos fluxos financeiros.
4.2 Crimes financeiros e ciberforense de blockchain
O IC3 do FBI documentou, em 2024, prejuízos reportados superiores a US$ 12 bilhões apenas nos Estados Unidos — número que subestima amplamente o fenômeno real. A análise forense de blockchain constitui subdisciplina emergente de crescente relevância. Diferentemente da percepção popular, a maioria das transações em redes blockchain públicas é radicalmente transparente: o desafio investigativo não está em acessar os dados, mas em deanonimizar as entidades por trás dos endereços pseudônimos. Técnicas de clustering de endereços, transaction graph analysis e rastreamento por exchanges centralizadas (sujeitas a KYC/AML) permitiram a recuperação de volumes significativos de criptoativos ilicitamente obtidos — como os 63,7 bitcoins recuperados após o ataque à Colonial Pipeline em 2021.
4.3 Exploração sexual de crianças em ambientes digitais
A investigação de crimes de exploração sexual infantil em ambientes digitais constitui um dos domínios mais sensíveis e metodologicamente exigentes da ciberforense. A proliferação de plataformas com criptografia de ponta a ponta e de redes darkweb impôs desafios investigativos sem precedentes. A investigação combina análise de hashsets de MASI conhecidos (como o PhotoDNA da Microsoft), operações infiltradas em redes de distribuição, análise forense de dispositivos apreendidos e cooperação internacional estruturada pelo Virtual Global Taskforce e por acordos de assistência jurídica mútua.
4.4 Ataques a infraestruturas críticas e espionagem cibernética
A atribuição de ataques cibernéticos a Estados soberanos ou grupos apoiados por Estados constitui um dos problemas epistemológicos mais complexos da ciberforense contemporânea. A capacidade de falsificar indicadores técnicos de autoria (false flag operations), a dificuldade de distinguir infraestrutura compartilhada de operações independentes e a assimetria entre o custo de realizar um ataque e o custo de atribuí-lo com certeza razoável fazem da atribuição cibernética um exercício probabilístico que raramente atinge os padrões de certeza exigidos pelo direito penal.
Seção 5
Desafios contemporâneos e fronteiras da ciberforense
5.1 Criptografia, privacidade e o dilema do acesso legal
Nenhuma questão domina o debate contemporâneo com mais intensidade do que o problema going dark. A criptografia de ponta a ponta implementada em Signal, WhatsApp e iMessage garante que apenas os interlocutores acessem o conteúdo — nem mesmo a plataforma provedora. As propostas de solução — backdoors nos sistemas criptográficos ou key escrow compulsório — são rejeitadas categoricamente pela comunidade científica de segurança da informação, que demonstra que qualquer mecanismo de acesso excepcional utilizável por investigadores legítimos pode igualmente ser explorado por agentes maliciosos, comprometendo a segurança de todos os usuários. O debate permanece irresolvido e constitui uma das fraturas mais profundas entre as comunidades de segurança e de persecução penal.
5.2 Computação em nuvem e jurisdição digital fraturada
Dados que anteriormente residiam em dispositivos físicos sujeitos à jurisdição territorial do Estado investigante agora se encontram distribuídos por datacenters em múltiplos países, gerenciados por corporações transnacionais sujeitas a regimes jurídicos distintos e frequentemente conflitantes. O que Kuner (2019) denomina “jurisdição digital fraturada” cria incerteza normativa em que a lei aplicável à evidência depende de uma cascata de fatores: localização física dos servidores, jurisdição de constituição da empresa provedora, nacionalidade do investigado, natureza dos dados e acordos de assistência jurídica mútua existentes. O CLOUD Act (EUA, 2018) representou uma tentativa de racionalizar esse cenário, mas enfrenta resistências significativas da União Europeia, onde o GDPR impõe restrições severas à transferência transfronteiriça de dados pessoais.
5.3 Inteligência artificial e os novos vetores de criminalidade
A emergência de sistemas de IA generativa abre novos vetores que a ciberforense ainda não desenvolveu metodologias plenamente adequadas para enfrentar. A produção de deepfakes para extorsão sexual (sextortion), desinformação política, fraude de identidade e produção de MASI sintético coloca desafios forenses específicos: a detecção de conteúdo sintético gerado por IA é uma corrida armamentista tecnológica em que nenhum dos lados alcança vantagem definitiva. A questão da admissibilidade probatória de evidências de autoria de deepfakes — dado o estado incipiente da ciência de detecção — é um problema jurídico e científico sem solução consolidada.
Seção 6
O marco normativo: Convenção de Budapeste, legislação nacional e perspectivas de reforma
6.1 A Convenção de Budapeste e seus limites
A Convenção sobre o Cibercrime do Conselho da Europa (2001, em vigor desde 2004) continua sendo o instrumento internacional de referência, com mais de 60 Estados signatários — incluindo o Brasil, que aderiu em 2021. Não obstante sua relevância histórica, a Convenção apresenta limitações estruturais que refletem sua origem anterior à computação em nuvem de massa, às redes sociais, às criptomoedas e à IA generativa. O Segundo Protocolo Adicional (2022) buscou atualizar os mecanismos de cooperação, introduzindo previsões sobre acesso direto a dados em nuvem e canais expeditos de solicitação a provedores de serviços. Sua ratificação e implementação pelos Estados signatários permanece, no entanto, processo em curso e incompleto.
6.2 O marco legal brasileiro e a Lei Carolina Dieckmann
No ordenamento jurídico brasileiro, a legislação sobre crimes digitais evoluiu de forma fragmentada e frequentemente reativa. A Lei nº 12.737/2012 tipificou a invasão de dispositivos informáticos. O Marco Civil da Internet (Lei nº 12.965/2014) estabeleceu princípios e garantias para o uso da internet, incluindo disposições sobre preservação de logs e cooperação investigativa. A LGPD (Lei nº 13.709/2018) introduziu restrições ao tratamento de dados pessoais com implicações diretas para a coleta de evidências digitais. A ausência de regulamentação específica para as técnicas de investigação forense digital — equivalente ao que o ECPA e o CFAA representam no contexto americano — deixa margens de incerteza relevantes sobre a admissibilidade de determinadas técnicas investigativas.
Seção 7
Conclusão
A ciberforense encontra-se em um momento de tensão produtiva entre a maturação de seus fundamentos metodológicos e a aceleração vertiginosa dos fenômenos que busca compreender e investigar. Os crimes digitais desafiam não apenas as capacidades técnicas dos investigadores, mas os próprios fundamentos conceituais sobre os quais o direito penal moderno foi construído: a territorialidade, a autoria, a materialidade da evidência e a temporalidade do delito.
A resposta adequada não pode ser encontrada nem no mero aperfeiçoamento técnico das ferramentas de investigação — necessário, mas insuficiente —, nem na expansão irrestrita dos poderes investigativos do Estado — perigosa para os direitos fundamentais —, mas em uma reconfiguração que articule três dimensões complementares.
Dimensão epistemológica: Consolidação científica. Validação de ferramentas, padrões de apresentação de evidências digitais em juízo.
Dimensão normativa|: Atualização legislativa. Marcos jurídicos atualizados com participação ativa da comunidade científica.
Dimensão institucional: Capacidades sustentáveis. Formação especializada, recursos tecnológicos, cooperação internacional.
A pergunta que a ciberforense contemporânea coloca à criminologia é, em última análise, filosófica: o que significa deixar um rastro em um mundo onde os rastros são digitais, onde podem ser apagados com perfeição, replicados sem limites e falsificados com crescente facilidade? A resposta a essa pergunta definirá não apenas o futuro da investigação criminal, mas os contornos da própria legitimidade do sistema penal na era algorítmica.
Referências bibliográficas
CASEY, Eoghan. Digital Evidence and Computer Crime: Forensic Science, Computers and the Internet. 3. ed. Waltham: Academic Press, 2011.
CARRIER, Brian D.; SPAFFORD, Eugene H. Getting Physical with the Digital Investigation Process. International Journal of Digital Evidence, v. 2, n. 2, 2003.
CONSEIL DE L’EUROPE. Convention on Cybercrime (ETS nº 185). Budapeste, 2001.
HOLT, Thomas J.; BOSSLER, Adam M. Cybercrime in Progress: Theory and Prevention of Technology-Enabled Offenses. Londres: Routledge, 2016.
KUNER, Christopher. Reality and Illusion in EU Data Transfer Regulation Post Schrems. German Law Journal, v. 18, n. 4, 2019.
LUSTHAUS, Jonathan. Industry of Anonymity: Inside the Business of Cybercrime. Cambridge: Harvard University Press, 2018.
MITRE CORPORATION. ATT&CK Framework: Adversarial Tactics, Techniques, and Common Knowledge. Disponível em: https://attack.mitre.org. Acesso em: mai. 2026.
NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY (NIST). Guide to Integrating Forensic Techniques into Incident Response (SP 800-86). Gaithersburg: NIST, 2006.
WALL, David S. Cybercrime: The Transformation of Crime in the Information Age. Cambridge: Polity Press, 2007.
YAR, Majid; STEINMETZ, Kevin F. Cybercrime and Society. 3. ed. Londres: SAGE Publications, 2019.
Artigo produzido com fins acadêmicos e científicos. As opiniões expressas são de natureza analítica e não constituem orientação jurídica ou operacional para fins investigativos.