Desmascarando Stalkers: Caso Real, OSINT e Investigação Ativa Contra Criminosos Online

O que você vai aprender neste aulão

Como desmascarar stalkers e criminosos que se escondem atrás de perfis falsos na internet — essa é a pergunta que mais recebo da comunidade. E neste aulão eu trouxe alguém que fez exatamente isso: a Vitória Okida, especialista em segurança digital que identificou um stalker que aterrorizava uma família inteira por mais de um ano.

Aqui você vai entender o passo a passo real de uma investigação ativa contra stalkers. Não é teoria. Tudo que discutimos foi demonstrado ao vivo, com ferramentas reais que você pode instalar agora. Vou te mostrar como o Osintgram revelou a identidade de um criminoso conectando um perfil falso ao Facebook pessoal dele. Como o HiSpy capturou o IP real do stalker quando ele clicou em uma isca. E como a análise de padrões entre múltiplas vítimas fechou o cerco.

Mas mais do que ferramentas, você vai sair daqui entendendo por que a investigação ativa resolve em dias o que o processo judicial não resolve em meses. Por que a quebra de sigilo do Instagram não é o checkmate que todo advogado pensa que é. E por que a mentalidade do investigador importa mais do que qualquer software.

O caso Elisa Mendes: quando o stalking vai além do digital

O caso Elisa Mendes é um dos mais brutais de stalking digital que já vi no Brasil. E foi ele que conectou o trabalho da Vitória Okida ao meu radar.

Elisa é uma influenciadora com 2 milhões de seguidores no Facebook que voltou do Japão e, logo depois, começou a ser perseguida por um indivíduo que ela nunca conheceu pessoalmente. O que começou com perfis falsos no Instagram usando fotos dela rapidamente escalou para algo sinistro.

O stalker produziu deepfakes com pornografia infantil usando o rosto das filhas pequenas da Elisa. Colocou órgão genital masculino na mão de uma das meninas — tudo montagem, tudo usando inteligência artificial. Criou um perfil e publicou essas imagens. E o Instagram não derrubou por meses. Foram meses de conteúdo criminoso disponível na plataforma.

Mas não parou no digital. Ele cancelou as linhas telefônicas da Elisa ligando para as operadoras se passando por ela. Cancelou cartões de crédito. Fez denúncias fraudulentas ao conselho tutelar dizendo que ela maltratava os filhos. A polícia civil ia toda semana na casa dela verificar se tinha comida na geladeira e se as crianças tinham hematomas. Sete vezes, pelo menos.

E derrubou a monetização da página dela no Facebook denunciando uso de imagem — da própria imagem dela. Fazia pedidos do iFood para o endereço dela e depois interrogava os entregadores pedindo fotos do portão, se passando por irmã. O stalker não tinha a localização exata e usava os entregadores como olhos. E Vitória, ao ver tudo isso, decidiu agir.

A Vitória viu um Reels da Elisa — um vídeo de 1,5 milhão de visualizações onde ela literalmente pedia socorro — e decidiu agir. Esse caso prova uma coisa que eu repito sempre: o que acontece no digital não fica no digital. A vida financeira, emocional e física da Elisa foi destruída por uma pessoa escondida atrás de um perfil falso. E o sistema não conseguiu ajudá-la a tempo.

Se você quer entender como técnicas similares de investigação se aplicam em outros contextos, veja o Aulão #3 — Desvendando um Golpe Real: Da Denúncia à Identificação, onde mostro outro caso completo do início ao fim.

Como funciona a quebra de sigilo do Instagram na prática

A primeira coisa que a maioria das vítimas e advogados pensa é: quebra de sigilo. Pede pro juiz, a Meta entrega os dados, pronto. Mas na prática é completamente diferente.

A quebra de sigilo da Meta entrega basicamente três coisas: o e-mail vinculado à conta, o telefone de cadastro e os IPs de login. Nada de CPF. Nada de endereço. Nada de nome real. É um PDF com informações técnicas que a maioria dos advogados não sabe interpretar.

E demora. O processo leva em média 90 dias. São três meses com o stalker ativo, fazendo deepfakes, cancelando suas contas, ameaçando sua família. Enquanto você espera.

Tem outro detalhe que pouca gente sabe. A vítima precisa de um advogado civilista, não criminalista. A ação contra plataformas é uma ação reparadora — ação civil. É o civilista que entra contra a Meta, solicita a quebra, pede a derrubada do perfil falso. Muita gente contrata o advogado errado e perde tempo.

E tem mais: o boletim de ocorrência precisa ser representado. Não basta registrar. Você precisa manifestar formalmente que quer dar seguimento, que quer que aquilo seja investigado. Sem representação, o BO vira papel.

No caso da Elisa, um dos processos tinha 700 páginas. Setecentas. E quando finalmente levaram tudo mastigado para uma delegacia especializada em pedofilia em São Paulo, aí sim o inquérito andou. Mas isso só aconteceu porque a investigação ativa já tinha feito o trabalho pesado antes.

Por que o IP não é suficiente para identificar um stalker

Beleza, você esperou 90 dias, recebeu a quebra de sigilo e tem o IP do stalker. Acabou? Longe disso.

Com o IP, o próximo passo é identificar a telecom — o provedor de internet que atribuiu aquele endereço. E aí começa outro calvário.

No caso da Elisa, a telecom mandou 500 páginas em PDF. Quinhentas páginas de log com IPs de todos os usuários da rede. O dono da telecom falou: "Quer saber? Toma. Não sei identificar qual é o que vocês querem." A Vitória teve que mapear manualmente para encontrar o IP correto.

Mas existem cenários piores. Telecoms pequenas podem simplesmente não ter log. O computador deu problema, perdeu os dados daquele dia. Já vi isso acontecer. Ou então — e esse é um caso real que eu soube — a telecom de um bairro controlado por facção fazia os dados sumirem quando chegava solicitação judicial. Pior: a facção avisava o investigado. "Sai daí, chegaram até o teu IP."

E se o stalker usou VPN na hora do crime? O IP pode apontar para um servidor em outro país. Porém — ponto importante — muita gente cria a conta sem VPN e só depois começa a usar. O IP de criação da conta é um dado valioso que aparece na quebra de sigilo.

A conclusão é que a via tradicional — quebra de sigilo, identificação de IP, telecom — funciona, mas é lenta, falha e incompleta. É por isso que a investigação ativa é o caminho complementar que resolve o que o sistema não consegue.

OSINT no Instagram: como usar o Osintgram para investigar perfis falsos

O Osintgram é uma ferramenta gratuita e open source no GitHub que automatiza a coleta de dados públicos de perfis no Instagram. Foi a ferramenta que a Vitória usou para dar o primeiro passo na identificação do stalker.

O que o Osintgram faz é simples: ele varre um perfil inteiro e extrai tudo que é público. Todos os endereços registrados nas fotos. Todas as descrições de todas as postagens. Todos os comentários. Todos os seguidores e quem a conta segue. Se algum perfil tem e-mail de contato exposto (perfis business, por exemplo), ele captura. Faz download de fotos, stories, locais tagueados.

No caso da investigação, o stalker tinha um perfil falso com selo de verificação que era usado para os ataques. A Vitória rodou o Osintgram nesse perfil e descobriu algo que mudou tudo: o perfil falso estava vinculado ao Facebook pessoal do autor.

Isso aconteceu por causa da central de contas da Meta. Quando você vincula Instagram e Facebook numa mesma central, existe uma conexão técnica entre as contas. O selo de verificação migrou junto com o vínculo. O stalker provavelmente nem sabia que essa conexão era visível. E Vitória percebeu isso no primeiro dia de investigação.

Como instalar e usar

Você pode instalar o Osintgram em Linux, macOS ou Windows — basta ter Python. O próprio repositório no GitHub tem instruções. Mas atenção a dois cuidados:

1. Nunca use sua conta pessoal. O Osintgram precisa de login no Instagram para funcionar. Use uma conta secundária criada só para investigação, porque a automação pode fazer o Instagram bloquear a conta.

2. Funciona melhor com contas antigas. Contas muito novas não retornam dados úteis. O perfil precisa ter um tempo de atividade para que a ferramenta consiga extrair informações relevantes.

Se quiser se aprofundar em outras ferramentas de investigação de perfis, no Aulão #12 — Técnicas de Investigação de Perfis no Twitter eu mostro técnicas similares aplicadas a outra plataforma. E no Aulão #31 — 4 Ferramentas para Investigar Pessoas Online apresento um toolkit mais amplo com fontes abertas.

Engenharia social como arma de investigação

90% das contas de Instagram invadidas no Brasil são por engenharia social. Não por exploits técnicos, não por vulnerabilidades de sistema. A criptografia da Meta é impecável — um sistema que vale bilhões de dólares não vai deixar porta aberta. O problema são os usuários.

E se a engenharia social é a arma número um dos criminosos, por que não usar contra eles?

A Vitória fez algo que poucos investigadores teriam coragem: acessou um dos perfis falsos do stalker usando sua conta pessoal. De propósito. Queria que ele visse que ela estava olhando. E funcionou — o stalker mandou mensagem.

A partir daí, ela usou a conversa para confirmar informações que já tinha coletado de outras fontes. Jogou verdes para ver se ele entregava detalhes consistentes com o material das outras vítimas. E ele entregou.

Essa técnica de engajamento com o alvo é algo que a Vitória destacou como fundamental. Não é só mandar um link e torcer para a pessoa clicar. É criar um cenário onde o criminoso se sente confortável ou provocado o suficiente para interagir. E nessa interação, cada palavra, cada padrão de escrita, cada detalhe vira evidência.

Uma conversa aprofundada sobre engenharia social aplicada a investigações está no Aulão #21 — Engenharia Social Aplicada em Investigações Digitais. E se você quer ver como golpistas usam essas mesmas técnicas (e como contra-atacar), o Aulão #29 — Contra-Atacando Golpistas com Investigação Ativa detalha o processo.

HiSpy e rastreamento de IP: como capturar dados do stalker em tempo real

O HiSpy teve um papel decisivo na identificação do stalker da Elisa. É uma plataforma de investigação digital que funciona assim: você cria um link personalizado e, quando o alvo clica, o servidor captura em tempo real o IP, a geolocalização GPS, uma foto do rosto (pela câmera do dispositivo), o modelo do aparelho, sistema operacional, browser e operadora.

E tudo isso em menos de um segundo. O alvo não percebe.

No caso, como o stalker tinha o hábito de entrar em contato com as vítimas (inclusive para debochar da polícia, dizendo que nada ia dar para ele), a Vitória usou o HiSpy como isca. O stalker clicou. O IP capturado bateu com outro IP que já estava nas informações coletadas das outras vítimas. Confirmação cruzada.

Mas o HiSpy não é limitado a um link direto. Você pode transformar o link em QR Code. Pode jogar no Bitly e criar um encurtador disfarçado. Pode embutir numa imagem, num convite, numa promoção falsa. As possibilidades de engenharia social com o HiSpy são enormes — depende da criatividade e do cenário.

Uma dica importante: mesmo com VPN, o HiSpy consegue capturar dados do dispositivo. O stalker pode mascarar o IP, mas o modelo do celular, o sistema operacional e a geolocalização GPS (se as permissões estiverem ativas) ficam expostos.

Padrões de comportamento: como o modus operandi entrega o criminoso

Todo criminoso tem um padrão. Serial killers têm padrão. Estupradores têm padrão. E stalkers digitais também.

No caso da Elisa, o stalker tinha outras vítimas. Quando a Vitória conseguiu material dessas outras vítimas e colocou as linhas temporais lado a lado — a primeira vítima em cima, a segunda embaixo — era idêntico. Entrega de alimentos na residência. Exposição de dados sensíveis. Deepfakes com símbolos religiosos satanistas. Colagens com o mesmo padrão visual. Cancelamento de serviços se passando pela vítima. As mesmas táticas, na mesma sequência.

E essa análise de modus operandi foi o que conectou os casos. E é o que permitiu construir uma denúncia sólida com múltiplas evidências cruzadas.

Outra fonte de evidência veio das gravações telefônicas. Quando o stalker ligou para operadoras se passando pela vítima para cancelar serviços, não usou modificador de voz. E aqui vai uma informação que muita gente não sabe: você pode solicitar à operadora a gravação de qualquer chamada feita à central de atendimento. Como titular da linha, você tem direito legal a essa gravação. Não precisa de ordem judicial.

A Vitória obteve esses áudios. Comparou com gravações que as outras vítimas tinham (o stalker ligava por vídeo para mostrar o corpo — e as vítimas gravaram). Um perito analisou os áudios. A voz batia. E Vitória teve certeza naquele momento.

Então pense no que se acumulou: vínculo Instagram-Facebook via Osintgram. IP capturado pelo HiSpy cruzando com IP de outras vítimas. Padrão de modus operandi idêntico entre vítimas. Análise pericial de áudio confirmando a mesma voz. Modo de escrita similar. Tudo isso formou o que chamamos de relatório de inteligência — não é uma prova judicial única, mas um conjunto de conexões que fundamenta a evidência.

O caso foi levado para uma delegacia especializada em pedofilia em São Paulo e corre em segredo de justiça.

Gravações telefônicas: a prova que ninguém sabe que pode pedir

Esse ponto merece destaque porque quase ninguém sabe. Se um stalker ligar para a sua operadora, banco ou qualquer central de atendimento se passando por você — aquela chamada foi gravada.

Você, como titular da conta, pode ligar para a operadora e solicitar: "Eu quero a gravação de chamada realizada no dia tal, horário tal." Não precisa de advogado. Não precisa de ordem judicial. É um direito seu como consumidor.

No caso da Elisa, essas gravações revelaram a voz real do stalker. Combinadas com áudios que ele mesmo enviou dos perfis falsos e com chamadas de vídeo que outras vítimas gravaram, criou-se um material consistente para perícia.

Essa é uma dica prática que eu compartilho com todos que estão lidando com qualquer tipo de crime digital envolvendo contato telefônico. A primeira coisa que você faz: solicita a gravação. É evidência concreta.

Como pesquisar técnicas OSINT para qualquer plataforma

Eu demonstrei ao vivo no aulão um método simples que uso para pesquisar técnicas de investigação para qualquer plataforma. E é mais simples do que você imagina.

Abre o Google. Digita o nome da plataforma + "OSINT" entre aspas duplas. Discord OSINT. Instagram OSINT. Microsoft Teams OSINT.

Quando pesquisei "Discord OSINT" ao vivo, encontrei em segundos um guia completo com: como capturar o User ID (que não muda mesmo se a pessoa trocar o nome de usuário), como descobrir quando uma conta foi criada, como extrair chats, templates de investigação passo a passo, técnicas de pentesting.

Para Instagram, além do Osintgram, encontrei o InstaloSync — outra ferramenta que extrai seguidores, ID, IGTV e highlights. Cada plataforma tem um ecossistema inteiro de ferramentas e técnicas documentadas pela comunidade.

Mas a pesquisa não para no primeiro resultado. Use filetype:pdf para encontrar documentação técnica aprofundada. Pesquise em repositórios como o OSINT Brazuca no GitHub, que reúne fontes e ferramentas no contexto brasileiro. Leia os estudos de caso — como um investigador pegou um nome de usuário, cruzou com um ID, usou uma hashtag, voltou para o Osintgram e montou um fluxo de investigação completo.

Dois livros que recomendo para aprofundamento: um sobre segurança operacional com mais de mil páginas (como ter endereço fantasma, telefone burner, contas alternativas — tudo o que um investigador precisa para se proteger durante uma investigação). E o "Open Source Intelligence Techniques" de Michael Bazzell, também com mais de mil páginas de técnicas OSINT, com foco em técnicas e conexões, não em ferramentas.

Para quem quer começar a praticar, o Aulão #17 — Desafios Práticos para Treinar Investigação Digital traz exercícios hands-on. E o Aulão #5 — 4 Técnicas para Investigar Qualquer Pessoa na Internet cobre os fundamentos de OSINT que você precisa dominar antes de enfrentar um caso real.

O que fazer se você é vítima de stalking digital

Se você está passando por uma situação de stalking, aqui vai o passo a passo que a Vitória Okida compartilhou:

1. Registre um boletim de ocorrência imediatamente. Stalking é crime no Brasil desde 2021 — artigo 147-A do Código Penal, com pena de reclusão de 6 meses a 2 anos. A pena aumenta pela metade se for contra criança, mulher ou idoso, ou com uso de arma.
2. Represente o boletim de ocorrência. Manifestar formalmente que você quer que o caso seja investigado. Sem isso, o BO não anda.
3. Contrate um advogado civilista, não criminalista. Para entrar contra plataformas (Meta, Google, operadoras), a ação é civil, reparadora.
4. Documente absolutamente tudo. Print de tela com data e hora. URLs dos perfis. Mensagens recebidas. Ligações. Pedidos falsos. Tudo.
5. Solicite gravações de chamadas. Se o stalker ligou para qualquer central se passando por você, peça a gravação como titular.
6. Procure profissionais especializados. Investigadores digitais, peritos, ativistas — pessoas como a Vitória que atuam nesse tipo de caso.

Não espere o sistema agir sozinho. A combinação de ação legal (BO, advogado) com investigação ativa (OSINT, engenharia social, ferramentas de captura) é o que produz resultado.

Para entender melhor seus direitos digitais e como agir para remover conteúdo indevido, o Aulão #26 — Como Remover Conteúdo da Internet detalha o processo do mapeamento à notificação extrajudicial.

Ferramentas Utilizadas Neste Aulão

Ferramenta	Finalidade	Link
Osintgram	Coleta automatizada de dados públicos de perfis Instagram (seguidores, e-mails, vínculos, fotos, metadados)	Osintgram no GitHub
HiSpy	Captura de IP, geolocalização GPS, foto facial e dados de dispositivo quando o alvo clica em um link	HiSpy
Bitly	Encurtador de URLs para camuflar links de rastreamento em cenários de engenharia social	Bitly
Kali Linux	Distribuição Linux com ferramentas de segurança ofensiva e testes de penetração	Kali Linux
Hashcat	Ferramenta avançada de recuperação e cracking de senhas	Hashcat
OSINT Brazuca	Repositório brasileiro com compilado de ferramentas e fontes OSINT	OSINT Brazuca no GitHub

Perguntas Frequentes

Como desmascarar um stalker na internet?

A forma mais efetiva combina investigação ativa com ferramentas OSINT. Use o Osintgram para extrair dados públicos de perfis Instagram (incluindo vínculos com outras contas). Use o HiSpy para capturar IP e geolocalização quando o stalker interagir com um link. Aplique engenharia social para engajar com o alvo e coletar informações. Analise padrões de comportamento cruzando dados de múltiplas vítimas. Tudo isso complementa (e muitas vezes supera) o processo judicial tradicional.

Stalking é crime no Brasil?

Sim. Desde 2021, o stalking é tipificado no artigo 147-A do Código Penal brasileiro pela Lei 14.132/2021. A pena é de reclusão de 6 meses a 2 anos, mais multa. A pena é aumentada pela metade se cometido contra criança, adolescente, idoso, mulher por razão do sexo, ou com uso de arma. É um crime que exige conduta reiterada — ou seja, a perseguição precisa ser repetida.

O que a Meta entrega na quebra de sigilo do Instagram?

A Meta entrega basicamente e-mail vinculado à conta, telefone de cadastro e IPs de login (incluindo o IP de criação da conta). Não entrega CPF, nome real, endereço ou localização. O processo demora em média 90 dias e o resultado requer análise técnica que a maioria dos advogados não está preparada para fazer.

Que tipo de advogado cuida de casos de stalking?

Um advogado civilista, não criminalista. A ação contra plataformas digitais (solicitar quebra de sigilo, derrubada de perfil, reparação de danos) é uma ação civil. O criminalista atua na esfera penal. As duas esferas podem correr em paralelo, mas o civilista é quem vai agir contra a Meta, Google, operadoras.

É legal usar ferramentas OSINT como o Osintgram?

Sim. Ferramentas OSINT trabalham exclusivamente com informações de domínio público — dados que qualquer pessoa pode acessar na internet. O Osintgram não invade nenhum sistema e não acessa informações privadas. Utilizar dados públicos para investigação não é crime. O que importa é a finalidade e o contexto legal da investigação.

O que é investigação ativa contra crimes digitais?

Investigação ativa é quando o investigador interage diretamente com o alvo ou o ambiente digital dele. Inclui engenharia social (engajar em conversa com o suspeito), uso de ferramentas de captura como o HiSpy, infiltração em grupos, criação de cenários para provocar interação. É o oposto da investigação passiva (apenas coletar dados públicos sem interação). É mais arriscada, mas produz resultados imediatos que o processo judicial demora meses para conseguir.

Como solicitar gravação de chamada da operadora?

Ligue para a central de atendimento da operadora como titular da linha e solicite formalmente a gravação de chamadas realizadas em datas e horários específicos. Você tem direito como consumidor. Não precisa de ordem judicial. Se um stalker ligou para a operadora se passando por você, essa gravação contém a voz dele — evidência concreta para perícia.

Vale a pena investigar por conta própria ou esperar a polícia?

A realidade é que existem cerca de 4.500 cidadãos para cada investigador policial. A máquina pública não está preparada para agir rapidamente em casos de stalking digital. Investigar por conta própria (ou contratar um profissional) não substitui a polícia — complementa. Você coleta dados, monta um relatório de inteligência e entrega mastigado para a autoridade policial. Foi exatamente isso que a Vitória fez no caso da Elisa, levando o material para uma delegacia especializada em São Paulo.

Referências e Recursos

• Osintgram — Ferramenta OSINT para Instagram
• HiSpy — Plataforma de Investigação Digital
• Lei 14.132/2021 — Crime de Stalking no Brasil
• OSINT Brazuca — Ferramentas e Fontes OSINT Brasil
• Kali Linux — Distribuição de Segurança
• Hashcat — Ferramenta de Recuperação de Senhas
• Bitly — Encurtador de URLs
• O Crime de Stalking (Art. 147-A CP): Guia Prático