¿Para qué se usa Wireshark?

Wireshark se usa para análisis de tráfico de red, investigación de seguridad y solución de problemas. Los profesionales de seguridad lo usan para investigar incidentes examinando tráfico de comando y control, detectar comunicaciones de malware, analizar ataques de red en capturas de paquetes y validar la efectividad de herramientas de seguridad. Los ingenieros de redes lo usan para diagnosticar problemas de conectividad y verificar el comportamiento de protocolos. También es esencial para aprender fundamentos de redes viendo cómo protocolos como TCP, HTTP y DNS funcionan a nivel de paquete.

¿Es legal usar Wireshark?

Wireshark en sí es un software perfectamente legal, gratuito y de código abierto. Sin embargo, capturar tráfico de red puede tener implicaciones legales según el contexto. Capturar tu propio tráfico o tráfico en redes que administras es generalmente legal. Capturar tráfico de otras personas sin autorización puede violar leyes de interceptación. Siempre obtén permiso escrito antes de capturar tráfico en redes corporativas, y nunca captures tráfico en redes que no poseas o tengas autorización explícita para monitorear.

¿Cuáles son los filtros de visualización más útiles en Wireshark?

Los filtros esenciales incluyen: ip.addr == 10.0.0.1 (tráfico hacia/desde una IP), tcp.port == 443 (tráfico HTTPS), http.request (solo solicitudes HTTP), dns (todo el tráfico DNS), tcp.flags.syn == 1 && tcp.flags.ack == 0 (nuevas conexiones TCP), frame contains "password" (paquetes que contienen una cadena), tcp.analysis.retransmission (paquetes retransmitidos indicando problemas de red) y tls.handshake (paquetes de negociación TLS).

¿Cómo empiezo a aprender Wireshark?

Comienza instalando Wireshark (gratuito desde wireshark.org) y capturando tu propio tráfico mientras navegas sitios web. Aprende filtros de visualización básicos para aislar protocolos específicos. Estudia la vista de tres paneles: lista de paquetes, detalles y bytes. Practica con capturas de ejemplo de la wiki de Wireshark o malware-traffic-analysis.net. Hitos clave: entender el three-way handshake TCP, seguir una conversación HTTP, analizar una consulta DNS e identificar un handshake TLS.

Wireshark: Analizador Protocolos de Red

Por Qué Importa

Wireshark es la herramienta esencial para entender las comunicaciones de red a nivel de paquete. Cuando ocurren incidentes de seguridad, los logs te dicen qué pasó, pero las capturas de paquetes revelan exactamente cómo. Esta granularidad es invaluable para análisis forense, investigación de malware y comprensión de técnicas de ataque.

La solución de problemas de red se beneficia igualmente del análisis de paquetes. Cuando las aplicaciones se comportan inesperadamente, los paquetes revelan si el problema está en la red, el servidor o el cliente. Entender handshakes TCP, comportamiento de protocolos y timing ayuda a diagnosticar problemas que el monitoreo de nivel superior pierde.

Para los profesionales de seguridad, la competencia en Wireshark es fundamental. Los pentesters analizan tráfico capturado de credenciales y reconocimiento. Los respondedores de incidentes examinan comunicaciones de comando y control. Los ingenieros de seguridad de red solucionan problemas y validan herramientas de seguridad. La habilidad se transfiere a virtualmente todos los roles técnicos de seguridad.

Aprender Wireshark profundiza el entendimiento de fundamentos de red. Ver fluir los paquetes revela cómo funcionan realmente los protocolos, más allá de las descripciones de libros de texto. Este conocimiento práctico mejora cada aspecto del trabajo de seguridad.

Comenzando con Wireshark

Vista General de la Interfaz

Interfaz de Wireshark

Barra de Menú y Herramientas

Barra de Filtros (Display Filters)

Lista de Paquetes (Todos los Capturados)

Detalles del Paquete (Desglose de Protocolo)

Bytes del Paquete (Datos Hex Raw)

Capturando Tráfico

captura-basica.sh

Bash


# Iniciar Wireshark en interfaz específica
wireshark -i eth0

# Captura por línea de comandos con tshark
tshark -i eth0 -w captura.pcap

# Captura con filtro (solo HTTP)
tshark -i eth0 -f "port 80" -w trafico_http.pcap

# Captura por duración específica
timeout 60 tshark -i eth0 -w un_minuto.pcap

Filtros de Captura vs Filtros de Display

tipos-filtro.txt

Text


Filtros de Captura (sintaxis BPF) - Aplicados durante captura:
host 192.168.1.100
port 443
tcp and port 80
not broadcast

Filtros de Display (sintaxis Wireshark) - Aplicados a datos capturados:
ip.addr == 192.168.1.100
tcp.port == 443
http.request.method == "GET"
dns.flags.response == 0

Filtros de Display Esenciales

Filtros de Protocolo

filtros-protocolo.txt

Text


Filtros Básicos de Protocolo:

# Filtrar por protocolo
http
dns
tcp
udp
icmp
tls

# HTTP específico
http.request
http.response
http.request.method == "POST"
http.response.code == 200
http.host contains "example.com"

# DNS específico
dns
dns.flags.response == 0  # Solo consultas
dns.flags.response == 1  # Solo respuestas
dns.qry.name contains "sospechoso"

# TLS/SSL
tls.handshake
tls.handshake.type == 1  # Client Hello

Filtros de IP y Puerto

filtros-ip-puerto.txt

Text


Filtros de Dirección IP:
ip.addr == 192.168.1.100        # Origen o destino
ip.src == 192.168.1.100         # Solo origen
ip.dst == 192.168.1.100         # Solo destino
ip.addr == 192.168.1.0/24       # Subred

Filtros de Puerto:
tcp.port == 443                 # Origen o destino
tcp.dstport == 80               # Solo destino
tcp.srcport == 53               # Solo origen

Filtros Combinados:
ip.addr == 192.168.1.100 && tcp.port == 443
http && ip.src == 10.0.0.5
(dns || http) && ip.addr == 192.168.1.100

Filtros Enfocados en Seguridad

filtros-seguridad.txt

Text


Filtros de Análisis de Seguridad:

# Conexiones TCP fallidas (flags RST)
tcp.flags.reset == 1

# SYN sin ACK (potencial escaneo)
tcp.flags.syn == 1 && tcp.flags.ack == 0

# DNS sospechoso (hostnames largos, TLDs inusuales)
dns && dns.qry.name contains ".xyz"

# HTTP con potencial SQLi
http.request.uri contains "UNION"
http.request.uri contains "SELECT"

# Credenciales en texto claro
http.authorization
ftp.request.command == "PASS"

# Transferencias de datos grandes
tcp.len > 10000

Técnicas de Análisis

Siguiendo Streams

Clic derecho en un paquete y selecciona "Follow > TCP Stream" para reconstruir conversaciones completas.

Extracción de Datos

extraccion-datos.txt

Text


Export Objects (File > Export Objects):
- HTTP: Archivos descargados, imágenes, documentos
- SMB: Comparticiones de archivos Windows
- IMF: Mensajes de correo
- TFTP: Archivos transferidos

Casos de Uso de Seguridad

Investigación de Incidentes

flujo-investigacion.txt

Text


Flujo de Investigación de Incidentes:

1. Delimitar el Período de Tiempo
 - Filtrar a ventana de tiempo relevante
 - Identificar hosts involucrados

2. Identificar Tráfico C2
 - Buscar patrones de beaconing
 - Verificar DNS por tunneling
 - Examinar puertos/protocolos inusuales

3. Rastrear Movimiento Lateral
 - Conexiones SMB/RDP
 - Tráfico de autenticación
 - Ejecución remota (WMI, PSExec)

4. Encontrar Exfiltración
 - Transferencias salientes grandes
 - Túneles cifrados
 - Subidas a almacenamiento cloud

5. Extraer IOCs
 - IPs/dominios de destino
 - User agents
 - Hashes de archivos de transferencias

Conexión Profesional

Las habilidades de análisis de paquetes distinguen a los profesionales de seguridad capaces. Mientras que las herramientas GUI simplifican tareas comunes, entender el tráfico de red a nivel de paquete permite análisis y solución de problemas más profundos.

Roles que Usan Análisis de Paquetes (Mercado EE.UU.)

Role	Entry Level	Mid Level	Senior
Analista de Seguridad de Red	65.000 US$	90.000 US$	120.000 US$
Respondedor de Incidentes	75.000 US$	100.000 US$	135.000 US$
Pentester	80.000 US$	110.000 US$	145.000 US$
Analista Forense	75.000 US$	100.000 US$	135.000 US$

Source: CyberSeek

Panorama 2026

Últimas cifras de informes autorizados de 2026:

Wireshark sigue siendo el analizador de protocolos #1 con millones de descargas mensuales, decodificando más de 3.000 protocolos desde la versión 4.4 publicada a inicios de 2026 (Wireshark.org).
El 60% de los analistas SOC reportan usar Wireshark semanalmente para triaje y análisis de paquetes, solo por detrás de los dashboards SIEM (SANS 2025 SOC Survey).
La herramienta está incluida en los objetivos de examen de CompTIA Security+, CySA+, GCIH y OSCP, siendo la utilidad de análisis defensivo más evaluada en los programas de certificación de 2026 (objetivos CompTIA).

En el Bootcamp

Cómo enseñamos Wireshark

En nuestro Cybersecurity Bootcamp, no solo aprenderás sobre Wireshark en teoría. Practicarás con herramientas reales en laboratorios prácticos, guiado por profesionales de la industria que usan estos conceptos a diario.

Cubierto en:

Módulo 5: Gobernanza de Seguridad, Riesgo y Cumplimiento (GRC)

Temas relacionados que dominarás:NIST CSFISO 27001GDPR/NIS2Gestión de Riesgos

Ver Cómo enseñamos esto

360+ horas de formación experta • CompTIA Security+ incluido

Blog

Guías de carrera

Glosario

Certificaciones

Comparativas

Herramientas

Autores

Formación corporativa

Contrata nuestro talento

Wireshark

Por Qué Importa

Comenzando con Wireshark

Vista General de la Interfaz

Capturando Tráfico

Filtros de Captura vs Filtros de Display

Filtros de Display Esenciales

Filtros de Protocolo

Filtros de IP y Puerto

Filtros Enfocados en Seguridad

Técnicas de Análisis

Siguiendo Streams

Extracción de Datos

Casos de Uso de Seguridad

Investigación de Incidentes

Conexión Profesional

Roles que Usan Análisis de Paquetes (Mercado EE.UU.)

Panorama 2026

Cómo enseñamos Wireshark