Por Qué Importa
Wireshark es la herramienta esencial para entender las comunicaciones de red a nivel de paquete. Cuando ocurren incidentes de seguridad, los logs te dicen qué pasó—pero las capturas de paquetes revelan exactamente cómo. Esta granularidad es invaluable para análisis forense, investigación de malware y comprensión de técnicas de ataque.
La solución de problemas de red se beneficia igualmente del análisis de paquetes. Cuando las aplicaciones se comportan inesperadamente, los paquetes revelan si el problema está en la red, el servidor o el cliente. Entender handshakes TCP, comportamiento de protocolos y timing ayuda a diagnosticar problemas que el monitoreo de nivel superior pierde.
Para los profesionales de seguridad, la competencia en Wireshark es fundamental. Los pentesters analizan tráfico capturado de credenciales y reconocimiento. Los respondedores de incidentes examinan comunicaciones de comando y control. Los ingenieros de seguridad de red solucionan problemas y validan herramientas de seguridad. La habilidad se transfiere a virtualmente todos los roles técnicos de seguridad.
Aprender Wireshark profundiza el entendimiento de fundamentos de red. Ver fluir los paquetes revela cómo funcionan realmente los protocolos, más allá de las descripciones de libros de texto. Este conocimiento práctico mejora cada aspecto del trabajo de seguridad.
Comenzando con Wireshark
Vista General de la Interfaz
Capturando Tráfico
# Iniciar Wireshark en interfaz específica
wireshark -i eth0
# Captura por línea de comandos con tshark
tshark -i eth0 -w captura.pcap
# Captura con filtro (solo HTTP)
tshark -i eth0 -f "port 80" -w trafico_http.pcap
# Captura por duración específica
timeout 60 tshark -i eth0 -w un_minuto.pcap
Filtros de Captura vs Filtros de Display
Filtros de Captura (sintaxis BPF) - Aplicados durante captura:
host 192.168.1.100
port 443
tcp and port 80
not broadcast
Filtros de Display (sintaxis Wireshark) - Aplicados a datos capturados:
ip.addr == 192.168.1.100
tcp.port == 443
http.request.method == "GET"
dns.flags.response == 0
Filtros de Display Esenciales
Filtros de Protocolo
Filtros Básicos de Protocolo:
# Filtrar por protocolo
http
dns
tcp
udp
icmp
tls
# HTTP específico
http.request
http.response
http.request.method == "POST"
http.response.code == 200
http.host contains "example.com"
# DNS específico
dns
dns.flags.response == 0 # Solo consultas
dns.flags.response == 1 # Solo respuestas
dns.qry.name contains "sospechoso"
# TLS/SSL
tls.handshake
tls.handshake.type == 1 # Client Hello
Filtros de IP y Puerto
Filtros de Dirección IP:
ip.addr == 192.168.1.100 # Origen o destino
ip.src == 192.168.1.100 # Solo origen
ip.dst == 192.168.1.100 # Solo destino
ip.addr == 192.168.1.0/24 # Subred
Filtros de Puerto:
tcp.port == 443 # Origen o destino
tcp.dstport == 80 # Solo destino
tcp.srcport == 53 # Solo origen
Filtros Combinados:
ip.addr == 192.168.1.100 && tcp.port == 443
http && ip.src == 10.0.0.5
(dns || http) && ip.addr == 192.168.1.100
Filtros Enfocados en Seguridad
Filtros de Análisis de Seguridad:
# Conexiones TCP fallidas (flags RST)
tcp.flags.reset == 1
# SYN sin ACK (potencial escaneo)
tcp.flags.syn == 1 && tcp.flags.ack == 0
# DNS sospechoso (hostnames largos, TLDs inusuales)
dns && dns.qry.name contains ".xyz"
# HTTP con potencial SQLi
http.request.uri contains "UNION"
http.request.uri contains "SELECT"
# Credenciales en texto claro
http.authorization
ftp.request.command == "PASS"
# Transferencias de datos grandes
tcp.len > 10000
Técnicas de Análisis
Siguiendo Streams
Clic derecho en un paquete y selecciona "Follow > TCP Stream" para reconstruir conversaciones completas.
Extracción de Datos
Export Objects (File > Export Objects):
- HTTP: Archivos descargados, imágenes, documentos
- SMB: Comparticiones de archivos Windows
- IMF: Mensajes de correo
- TFTP: Archivos transferidos
Casos de Uso de Seguridad
Investigación de Incidentes
Flujo de Investigación de Incidentes:
1. Delimitar el Período de Tiempo
- Filtrar a ventana de tiempo relevante
- Identificar hosts involucrados
2. Identificar Tráfico C2
- Buscar patrones de beaconing
- Verificar DNS por tunneling
- Examinar puertos/protocolos inusuales
3. Rastrear Movimiento Lateral
- Conexiones SMB/RDP
- Tráfico de autenticación
- Ejecución remota (WMI, PSExec)
4. Encontrar Exfiltración
- Transferencias salientes grandes
- Túneles cifrados
- Subidas a almacenamiento cloud
5. Extraer IOCs
- IPs/dominios de destino
- User agents
- Hashes de archivos de transferencias
Conexión Profesional
Las habilidades de análisis de paquetes distinguen a los profesionales de seguridad capaces. Mientras que las herramientas GUI simplifican tareas comunes, entender el tráfico de red a nivel de paquete permite análisis y solución de problemas más profundos.
Roles que Usan Análisis de Paquetes (Mercado EE.UU.)
| Role | Entry Level | Mid Level | Senior |
|---|---|---|---|
| Analista de Seguridad de Red | 65.000 US$ | 90.000 US$ | 120.000 US$ |
| Respondedor de Incidentes | 75.000 US$ | 100.000 US$ | 135.000 US$ |
| Pentester | 80.000 US$ | 110.000 US$ | 145.000 US$ |
| Analista Forense | 75.000 US$ | 100.000 US$ | 135.000 US$ |
Source: CyberSeek
Cómo Enseñamos Wireshark
En nuestro Programa de Ciberseguridad, no solo aprenderás sobre Wireshark en teoría. Practicarás con herramientas reales en laboratorios prácticos, guiado por profesionales de la industria que usan estos conceptos a diario.
Cubierto en:
Módulo 5: Gobernanza de Seguridad, Riesgo y Cumplimiento (GRC)
360+ horas de formación experta • 94% tasa de empleo