Os Bastidores do Protocolo Sherlock: Como Construí Minha Metodologia de Investigação Digital

O que você vai aprender neste aulão sobre o Protocolo Sherlock

Você vai entender o que é o Protocolo Sherlock — minha metodologia de investigação digital construída ao longo de 2 anos resolvendo casos complexos com advogados, policiais, jornalistas e empresários. São 8 módulos que cobrem do fundamento do OSINT à captura de evidências com validade jurídica, passando pelos identificadores e pivotagem que ninguém ensina no Brasil.

No Aulão Semanal #052, eu abro os bastidores: como eu, vindo do hacking puro, aprendi a investigar; como o Bellingcat me deu o soco no estômago educadamente que mostrou que OSINT resolve caso de guerra de verdade; como o caso clássico do FBI (fugitivo localizado por folha de bananeira, bandeira da Turquia ao fundo, modelo de cadeira do hotel) mudou meu pensamento; e como construí o Hunter, o HI SPY e o Capture para preencher buracos do mercado brasileiro de investigação.

Mostro também as 4 categorias de aluno que valida o Protocolo: advogada que usa para devedores de alimento, jornalista que ajuda polícia a chegar em suspeito de Pix, engenheiro de software que protege sistemas com mentalidade ofensiva, analista de sistemas que descobriu por conta própria os golpistas que aplicaram nele. Se você quer entender o que é uma metodologia de investigação digital construída na prática, este artigo é o material de partida.

O que é o Protocolo Sherlock e os 8 módulos

O Protocolo Sherlock é a metodologia de investigação digital que eu compilei a partir de 2 anos resolvendo casos complexos. Diferente de cursos genéricos, ele é estruturado em 8 módulos práticos que cobrem desde o ambiente de investigação até espionagem digital offline.

Os 8 módulos:

1. Ambiente de investigação digital — como montar workstation segura para investigar
2. Metodologia de investigação — triagem, hipótese, plano, execução, relatório
3. Captura e registro de conteúdo — print, gravação, validade jurídica
4. Investigando identificadores — bits e bytes em vez de nome/CPF
5. Fontes de dados — como mapear plataforma nova em horas
6. Pivotagem e enriquecimento — Hunter, cadeia de verificações
7. Fantoches de infiltração em engenharia social — perfis legítimos para captura
8. Espionagem digital offline — gadgets e técnicas físicas

E o pacote inclui acesso a HI SPY, 4 meses de Hunter, ferramenta Capture, R$ 1.000 de crédito no investigador.ai e palestras da Imersão Sherlock — total em assinaturas de R$ 6.900.

Veja também: Aulão #041 — Imersão Sherlock: OSINT e Espionagem Digital — evento presencial onde a metodologia foi apresentada.

Como surgiu o Protocolo Sherlock: do hacker para investigador em 2 anos

Eu não sou um investigador que migrou para o digital. Meu background é hacking puro, técnico. E entrei em investigação só nos últimos 2 anos. Caminho contrário do investigador tradicional — com vantagens e desvantagens claras.

A vantagem: hacker entende rastro, vestígio, fingerprint, protocolo de rede de jeito que investigador tradicional precisa de anos para acumular. Quando eu vejo uma evidência digital, eu vejo bits e bytes — sem mistério.

A desvantagem: eu não tinha experiência com metodologia de investigação. Não sabia o que era triagem, como conduzir um caso, como gerar relatório de inteligência, quanto cobrar. Não tinha vocabulário jurídico. Vou contar uma história: estava em call com aluno, ele falou "isso é fruta envenenada". Eu fiquei perdido. Concordei com cara de paisagem e googlei depois. Era a teoria dos frutos da árvore envenenada — prova ilícita contamina prova derivada.

E foi nessa exposição constante a problemas reais que eu fui aprendendo. Cada advogado que me trazia caso, cada policial que pedia ajuda, cada empresário que precisava de investigação interna — cada um deles me ensinou um pedaço do mercado. O Protocolo Sherlock é o caderno compilado dessa caminhada de 2 anos.

Veja também: Aulão #002 — O Guia Definitivo para Começar como Investigador Digital — para quem está vindo do zero.

OSINT na prática: o que aprendi com Bellingcat e FBI

OSINT (Open Source Intelligence) é a coleta de inteligência em fontes abertas: redes sociais, satélite, mapas, registros públicos. E a maior referência mundial disso é o Bellingcat — instituto de jornalismo investigativo que resolve casos de guerra, corrupção e crimes só com fontes públicas.

O caso da base militar russa

O Bellingcat investigou ataque russo a hospital ucraniano usando:

• Foto que civil tirou e postou no Twitter
• Sombra do sol na foto para inferir horário
• Padrão de uniforme do soldado via Camopedia — wiki que mapeia uniformes militares de todos os países
• Imagens de satélite para confirmar coordenadas
• Vídeo do TikTok onde aparecia o mesmo armamento

E construíram a reconstituição completa do ataque. Sem sair da mesa, com fontes 100% abertas. Quando eu vi isso, levei o tal soco no estômago educadamente — entendi que OSINT é sério, e profissional.

O caso clássico do FBI: fugitivo localizado por folha de bananeira

Esse caso é o que mais me ensinou. O FBI postou foto de fugitivo no site de recompensa pedindo "onde está esse cara?". Investigador OSINT respondeu, com uma cadeia que beira a poesia:

1. Folha de bananeira dobrada para baixo — descarta país sem essa espécie
2. Bandeira da Turquia ao fundo — confirma o país
3. Cadeira específica no quarto — busca reversa no fabricante revelou hotel cliente
4. Lixeira com padrão regional — confirmou cidade
5. Saco de lixo específico ao fundo — investigador foi para reviews do hotel e achou turista que postou foto com mesmo saco em julho — datou a foto com precisão

País, cidade, hotel e mês exatos. Tudo via OSINT puro. Esse caso mudou meu pensamento sobre o que é fonte de dados — todo padrão ambiental (uniforme, cadeira, lixeira, poste, vegetação) é identificador.

Bellingcat investiga celebridades de Dubai comprando animais ilegais

Outro caso emblemático: investigador mapeou padrões de animais sendo vendidos no marketplace da dark web, no Facebook Marketplace, e nas fotos de celebridades de Dubai no Instagram. As listas batiam. Crime sofisticado deixou rastro público.

Veja também: Aulão #038 — As Melhores Ferramentas para OSINT — toolkit que inclui Bellingcat e camopedia.

Como mapear fonte de dados de qualquer plataforma

Quando preciso investigar uma plataforma nova (TikTok, Tinder, Discord, qualquer uma), eu sigo um fluxo simples e replicável:

1. Pesquiso no Google: "PLATAFORMA" OSINT entre aspas duplas
2. Abro todos os primeiros 10 resultados com Ctrl+click (cada um vira aba)
3. Foco em conteúdo textual — vídeo é lento para absorver
4. Anoto técnicas que aparecem: extensões, dorks, APIs públicas
5. Replico cada técnica num caso teste

Demonstro isso ao vivo no aulão. Fui no Google com "TikTok" OSINT, abri 8 abas. Achei guia ensinando a baixar vídeo do TikTok via Inspecionar Elemento (filtra por "16-web", copia URL do recurso, abre direto). Repliquei na hora — funcionou. Achei outro guia ensinando a buscar TikTok por hashtag composta — lula bolsonaro aparece junto. E OSINT Curious é blog de referência mundial que acompanho com regularidade.

Tinder OSINT: emulação de geolocalização + face recognition

Um dos guias que mais me marcou foi o de investigação no Tinder:

1. Emule sua localização no Firefox para a região do alvo
2. Pegue foto do alvo (rosto)
3. Configure face recognition tool
4. Deixe o Tinder passando perfis na região e o face match alerta quando bate

Esse fluxo é usado em casos reais para localizar suspeitos em uma cidade específica. Foi assim que eu aprendi — exposto a uma necessidade, pesquisei, repliquei, ensinei.

Veja também: Aulão #001 — Os 4 Segredos para Dominar OSINT — episódio fundacional do canal sobre OSINT.

Captura e registro de evidências com validade jurídica

O módulo de Captura e Registro foi o mais difícil de criar — porque envolve direito, não só técnica. Capturar conteúdo é fácil: print, gravação, extração via DevTools. Mas o que é uma evidência digital com validade jurídica? Aí entra ICP-Brasil, carimbo de tempo, fé pública, ata notarial digital.

E é tudo abstrato. Pesquisei muito processo, lei, doutrina para entender. Conclusão: validade jurídica de prova digital no Brasil ainda é fundamento a ser defendido pelo advogado, não atributo automático da ferramenta. A legislação está atrás da realidade técnica.

Ferramenta Capture: print de WhatsApp com validade jurídica

Para resolver esse buraco, construí o Capture — ferramenta proprietária que registra prints de WhatsApp e conteúdo web com validade jurídica via ICP-Brasil. Cada captura recebe carimbo de tempo com fé pública. O lançamento público acontece dia 2 do mês seguinte. Alunos do Protocolo Sherlock recebem 1 ano de acesso antecipado.

Outras referências do mercado de captura:

Ferramenta	Uso	Diferencial
Hunchly	Captura automática durante investigação	Padrão de mercado internacional
Verifact	Ata notarial digital brasileira	Fé pública nativa
Wayback Machine	Snapshot histórico de site	Gratuito e amplo
Capture (Bruno Fraga)	Print de WhatsApp com ICP-Brasil	Foco em WhatsApp

Eu já vi caso real onde print exportado pelo Photoshop (visível nos metadados) foi usado como prova judicial — e nem advogado nem juiz pegaram. Quem domina captura entrega o jogo.

Veja também: Aulão #051 — HI SPY: Como Funciona a Ferramenta de Investigação Digital — outra ferramenta proprietária que faz parte do Protocolo Sherlock.

Identificadores e pivotagem: a contribuição técnica

Acredito que fui a primeira pessoa no Brasil a trazer para investigação privada o conceito de identificadores e pivotagem ao estilo OSINT. Em vez de ver investigação como nome/CPF/RG (documentos), interpretar como bits e bytes:

• Hash de arquivo
• Fingerprint do browser
• Sequência numérica de transação
• MAC address de Wi-Fi
• ID de usuário em plataforma
• String de caracteres em código fonte
• Altura digital de uma imagem
• E dezenas de outros tipos cruzáveis

Quando você adota essa visão técnica, a investigação muda. Você cruza identificadores em vez de só consultar bases. Você forma cadeia de verificações que é diferente de cadeia de custódia — e mais difícil de quebrar judicialmente. E Bellingcat já consolidou esse vocabulário no jornalismo investigativo internacional há mais de uma década. Mas no Brasil ele ainda está chegando — e o Protocolo Sherlock empacota isso para o investigador brasileiro. E HI SPY, Hunter e Capture são as ferramentas que dão escala a esse método em casos reais. Mas escala sem método é caos: por isso ferramenta sem Protocolo não basta.

Demo Hunter ao vivo: e-mail antigo expandido em segundos

Demonstrei no aulão usando o Hunter, ferramenta proprietária. Coloquei um e-mail antigo meu. Em segundos:

• Notion (com workspace e nome de usuário)
• Trello (com boards públicos)
• GitHub (com commits e nome real)
• Skype (com cidade)
• Domínio registrado
• Telefone vinculado
• Foto de perfil cruzando 5 redes diferentes

E aqui está o ponto importante. Não é como painel clandestino de "puxada de dados" (que vende vazamento de bases). Hunter faz extração + enriquecimento + verificação cruzada. Se a foto se repete em 5 redes ligadas ao mesmo e-mail, com cidade coerente em 3 delas, com domínio registrado pelo mesmo nome — você tem cadeia de verificações.

Cadeia de verificações é diferente de cadeia de custódia. Não é "tum, aqui está o DNA". É padrão estatístico de coincidências que torna desqualificação muito difícil. Advogado inovador usa isso na peça inicial.

Caso da Imersão Sherlock: face recognition em evento ao vivo

Na palestra da Imersão Sherlock (evento presencial), fiz uma dinâmica: face recognition de cada participante na entrada + cruzamento com identificadores. Em segundos eu respondia: quem morava na minha cidade, quem trabalhava na minha empresa, quem tinha DDD do meu telefone, quem tinha multa de trânsito, quem tinha processo. Tudo via cruzamento técnico.

Mostrei que o que polícia tradicional leva semanas, identificadores cruzados resolvem em segundos.

Veja também: Aulão #049 — Desafio de Investigação Digital ao Vivo — CTF onde Hunter e identificadores resolvem em 1h45.

Casos reais e depoimentos de alunos

Apresentei 4 perfis de aluno do Protocolo Sherlock ao vivo. Cada um valida uma frente diferente do mercado. E Hunter, HI SPY e Capture aparecem em quase todos os depoimentos como ferramentas que mudaram o trabalho.

Advogada civilista, criminalista e eleitoral

Ela usa o Protocolo principalmente em vara de família — para localizar devedores de alimento. No Brasil, é o advogado quem tem que levantar endereço para citação. Sem citação, não há processo válido. Devedor some, transfere patrimônio, fica difícil citar. Com OSINT, ela descobre endereço atual via redes sociais e peticiona com fundamento. Para alimento, isso muda vida de mãe e criança.

Jornalista do canal Investigação Criminal

Caso documentado: golpe do Pix. Trabalhou junto comigo e com minhas ferramentas. Ajuda polícia a chegar com mais celeridade no suspeito — nome, endereço, laços familiares, vizinhos. Não é polícia, mas auxilia o trabalho policial com OSINT. Jornalismo investigativo + braço técnico do meu arsenal.

Engenheiro de software

Aprende mentalidade ofensiva para defender melhor. Como hacker pensa, como dado vazado vira engenharia social, como sistema é atacado. Empresas valorizam engenheiro de software que entende risco real, não só código.

Analista de sistemas

Marcia Viana — caso clássico. Levou golpe e começou a investigar por conta. Achou o anúncio do Protocolo no Google. Fez. Hoje usa para descobrir golpistas, fazer background check de quem vai contratar, validar declarações. Saber se a outra ponta está mentindo.

Veja também: Aulão #022 — O Melhor Momento para Começar na Investigação Digital — para quem está pensando em entrar no mercado agora.

Por que conhecimento técnico não basta

Esse é o ponto que mais reforço no aulão. Hacker que só sabe técnica perde dinheiro deixado na mesa. Investigador que só sabe procedimento não acompanha o digital.

Exemplo prático: tem hacker que vê spyware como ferramenta para "espionar namorada". E tem hacker que vê spyware como contrato de 8 milhões de euros com empresa de vigilância. Mesma técnica, visão diferente. A diferença está em entender:

• Que dor o conhecimento resolve
• Quem é o público-alvo
• Quanto ele vale para o cliente
• Como apresentar o resultado

E essa visão de mercado não vem de curso técnico. Vem de exposição a problema real, conversa com cliente real, leitura de processo real. O Protocolo Sherlock tenta acelerar essa exposição empacotando casos reais nos módulos.

Veja também: Aulão #039 — Desafio OSINT ao Vivo — aplicação prática com TryHackMe.

Ferramentas Utilizadas Neste Aulão

Ferramenta	Finalidade	Link
Bellingcat	Instituto de jornalismo investigativo OSINT — referência mundial	Bellingcat
Camopedia	Wiki de uniformes militares e policiais por país	Camopedia
OSINT Curious	Blog e podcast com tutoriais de OSINT	OSINT Curious
Hunchly	Captura automática de evidências durante investigação	Hunchly
Verifact	Ata notarial digital brasileira com fé pública	Verifact
Archive.org Wayback Machine	Snapshot histórico de sites	Wayback Machine
ICP-Brasil	Infraestrutura oficial de chaves públicas	ICP-Brasil
HI SPY	Captura de geolocalização, foto e fingerprint do alvo	HI SPY
Hunter (Bruno Fraga)	Pivotagem de identificadores via fazenda de smartphones	Hunter — Operação Inteligência Oculta
Protocolo Sherlock	Página oficial do curso	Protocolo Sherlock

Perguntas Frequentes sobre o Protocolo Sherlock

O que é o Protocolo Sherlock?

O Protocolo Sherlock é a metodologia de investigação digital criada por Bruno Fraga, organizada em 8 módulos cobrindo ambiente, metodologia, captura de evidências, identificadores, fontes de dados, pivotagem, engenharia social e espionagem digital offline. Inclui acesso a ferramentas proprietárias (HI SPY, Hunter, Capture).

Como o Bellingcat resolve casos sem sair da mesa?

O Bellingcat usa exclusivamente fontes abertas: fotos e vídeos públicos de redes sociais, imagens de satélite, mapas, registros oficiais, bancos de dados como Camopedia (uniformes militares). Cruzando padrões ambientais (sombra do sol, modelo de cadeira, padrão de lixeira), reconstrói horário, local e responsáveis de eventos como ataques militares e crimes de guerra.

Como é o caso clássico do FBI da folha de bananeira?

O FBI postou fotos de fugitivo pedindo identificação de localização. Investigador OSINT respondeu via cadeia de identificadores ambientais: folha de bananeira (filtra países), bandeira da Turquia ao fundo (confirma país), modelo específico de cadeira (rastreado até hotel cliente do fabricante), saco de lixo idêntico ao de review de turista (datou a foto). País, cidade, hotel e mês identificados sem qualquer fonte fechada.

O que são identificadores em investigação digital?

Identificadores são qualquer atributo único ou semi-único que liga uma entidade ao mundo digital: hash de arquivo, fingerprint de browser, MAC de Wi-Fi, ID de plataforma, string de código fonte, sequência numérica de transação. A diferença para "documentos" (nome/CPF/RG) é que identificadores são técnicos e cruzáveis automaticamente.

Como registrar evidência digital com validade jurídica no Brasil?

O caminho mais sólido hoje é via ICP-Brasil — Infraestrutura de Chaves Públicas Brasileira que dá fé pública via carimbo de tempo. Ferramentas como Verifact (ata notarial digital) e Capture (print de WhatsApp com ICP-Brasil) entregam isso pronto. Print sem ICP é prova frágil — defendível, mas atacável.

O que diferencia o Protocolo Sherlock de outros cursos de OSINT?

3 diferenciais principais: 1) inclui ferramentas proprietárias (HI SPY, Hunter, Capture) que custariam R$ 6.900 separado; 2) construído a partir de casos reais brasileiros, não só importação de OSINT americano; 3) cobre o lado jurídico (cadeia de custódia, ICP-Brasil, validade) que cursos técnicos ignoram.

Quanto custa o Protocolo Sherlock?

O pacote completo (curso + 8 módulos + HI SPY + 4 meses de Hunter + Capture + bônus) sai por R$ 997 à vista ou 12x R$ 99. Acesso vitalício ao conteúdo. As inscrições são abertas em períodos específicos via página oficial. Fora desse canal, não há revenda autorizada — qualquer oferta em grupo ou marketplace é golpe.

Posso fazer o Protocolo Sherlock sem background técnico?

Sim. Os depoimentos do aulão incluem advogada, jornalista, engenheiro e analista de sistemas — perfis bem distintos. O módulo de Ambiente de Investigação cobre setup do zero. O que não dá para faltar é problema real para resolver — você aprende mais quando aplica o método em caso seu, não em exercício teórico.

Veja também: Bitcoin como Proteção Patrimonial — Aulão #053

Referências e Recursos

• Bellingcat — instituto de jornalismo OSINT
• Camopedia — wiki de uniformes militares
• OSINT Curious — blog e podcast OSINT
• Hunchly — captura automática de evidências
• Verifact — ata notarial digital
• Archive.org Wayback Machine
• ICP-Brasil — chaves públicas oficiais
• HI SPY — site oficial
• Operação Inteligência Oculta — workshop com Hunter
• Protocolo Sherlock — página oficial
• Aulão #001 — Os 4 Segredos para Dominar OSINT
• Aulão #038 — As Melhores Ferramentas para OSINT
• Aulão #041 — Imersão Sherlock: OSINT e Espionagem Digital
• Aulão #051 — HI SPY: Ferramenta de Investigação Digital