Login Probar gratis
Wireshark tutorial: cómo analizar tráfico de red paso a paso

Wireshark tutorial: cómo analizar tráfico de red paso a paso

por MataSpam Herramientas de Seguridad

Capturar y leer el tráfico de red con Wireshark permite descubrir desde una contraseña viajando en claro hasta el malware exfiltrando datos a un C2 en Bielorrusia. Este tutorial de Wireshark recorre la instalación, los filtros básicos y avanzados, y el análisis de tráfico de red paso a paso, con ejemplos prácticos de sniffing de red que podrás reproducir en casa sin acabar en el juzgado. Wireshark lleva desde 1998 (entonces Ethereal) siendo la navaja suiza de cualquier analista, pentester o administrador de sistemas que necesita saber qué demonios está pasando dentro de un cable. La curva de aprendizaje pincha un poco al principio, pero una vez dominas cuatro filtros, el panel inferior deja de parecer jeroglífico egipcio.

Qué es Wireshark y por qué sigue mandando en 2026

Wireshark es un analizador de protocolos de red de código abierto mantenido por la Wireshark Foundation y liderado por Gerald Combs. Captura paquetes en bruto desde la interfaz de red usando libpcap (Linux/macOS) o Npcap (Windows) y los disecciona protocolo por protocolo, desde Ethernet hasta HTTP/3.

La herramienta entiende más de 3.000 protocolos. Esto incluye estándares antiguos como Telnet y FTP, modernos como QUIC y WireGuard, e industriales como Modbus o DNP3. Por eso aparece en certificaciones como CCNA, OSCP, GIAC y en cualquier laboratorio universitario serio de redes.

Frente a alternativas como tcpdump (línea de comandos) o tshark (CLI hermana de Wireshark), la interfaz gráfica gana cuando necesitas explorar, reconstruir conversaciones TCP o seguir flujos HTTP/2 sin volverte loco.

Sniffar tráfico que no es tuyo en España puede salirte caro. El artículo 197 del Código Penal tipifica el descubrimiento y revelación de secretos con penas de uno a cuatro años. Súmale el RGPD (Reglamento UE 2016/679) y la LOPDGDD si capturas datos personales sin base legal.

Reglas de oro:

  • Captura solo en redes propias o con autorización escrita.
  • En entornos corporativos, coordina con el responsable de seguridad y revisa el aviso de monitorización a empleados.
  • Para practicar, monta un laboratorio en casa con dos VMs o usa capturas públicas de malware-traffic-analysis.net.

Si necesitas auditorías o monitorización profesional, conviene apoyarse en herramientas de ciberseguridad gratuitas que complementan a Wireshark sin pisar terreno legal resbaladizo.

Instalación paso a paso

La versión estable a fecha de 2026 es la rama 4.x, con la 4.4 entre las ramas con soporte activo más reciente. Descarga siempre desde wireshark.org, nunca de portales de descargas turbios que empaquetan adware.

Windows

  1. Ejecuta el instalador y acepta la instalación de Npcap (sustituyó a WinPcap en 2018).
  2. Marca la opción "Support raw 802.11 traffic" si quieres analizar Wi-Fi en modo monitor.
  3. Reinicia el equipo para que el driver Npcap se cargue correctamente.

Linux (Debian/Ubuntu)

Instala con sudo apt install wireshark. Durante el proceso te preguntará si los usuarios no-root pueden capturar paquetes. Responde "Sí" y añade tu usuario al grupo wireshark con sudo usermod -aG wireshark $USER. Cierra sesión y vuelve a entrar.

macOS

Usa Homebrew: brew install --cask wireshark. Acepta los permisos de captura en Preferencias del Sistema cuando lo pida.

Tu primera captura en cinco minutos

Abre Wireshark y verás la lista de interfaces con un gráfico mostrando actividad. Las que se mueven son las activas. Doble clic sobre la que te interesa (normalmente Wi-Fi, en0 o eth0) y empieza la fiesta.

La pantalla se divide en tres paneles:

  • Lista de paquetes: cada fila es un paquete con número, tiempo, origen, destino, protocolo y resumen.
  • Detalle del paquete: árbol expandible con cada capa (Ethernet → IP → TCP → HTTP).
  • Bytes en bruto: contenido hexadecimal y ASCII del paquete.

Para detener la captura, pulsa el cuadrado rojo. Guarda en formato .pcapng (el nativo desde 2012, sustituye al viejo .pcap).

Filtros de Wireshark: la diferencia entre nadar y ahogarse

Capturar 30 segundos en una red doméstica genera fácilmente 5.000 paquetes. Sin filtros de Wireshark, encontrar lo relevante es como buscar un calcetín concreto en la lavandería del barrio.

Hay dos tipos de filtros que conviene no confundir:

TipoCuándo se aplicaSintaxis
Filtros de capturaAntes de capturar (descartan paquetes)BPF: host 192.168.1.1
Filtros de visualizaciónDespués, sobre lo capturadoWireshark: ip.addr == 192.168.1.1

Filtros de visualización imprescindibles

  • http: solo tráfico HTTP.
  • dns: consultas y respuestas DNS.
  • tcp.port == 443: tráfico HTTPS.
  • ip.src == 10.0.0.5: paquetes que salen de esa IP.
  • tcp.flags.syn == 1 and tcp.flags.ack == 0: intentos de conexión (útil para detectar escaneos).
  • http.request.method == "POST": formularios y APIs.
  • !(arp or icmp or dns): ocultar ruido de red.
  • tcp.analysis.retransmission: retransmisiones (síntoma de red lenta).

Combina con operadores lógicos: and, or, not. El autocompletado de la barra de filtros sugiere campos según escribes, así que no hace falta memorizar los 200.000 posibles.

Casos prácticos de análisis de tráfico

Detectar una contraseña en HTTP plano

Configura un servidor de pruebas con login en HTTP (sin TLS). Captura y filtra con http.request.method == "POST". Clic derecho sobre el paquete → Follow → HTTP Stream. Verás el cuerpo del POST con user=admin&password=hunter2 en texto claro. Esto sigue pasando en routers domésticos viejos, paneles industriales y algún CMS que se quedó en 2008.

Cazar comunicaciones con C2 sospechoso

El malware moderno suele comunicarse con servidores de mando y control mediante DNS o HTTPS. Filtra dns y busca dominios largos con caracteres aparentemente aleatorios (algoritmos DGA). Exporta las IPs de destino y compáralas con listas de bloqueo como URLhaus o consulta en VirusTotal.

Cuando un exploit zero-day se está aprovechando activamente, el patrón de tráfico saliente suele ser la primera señal antes de que cualquier antivirus lo detecte.

Diagnosticar latencia y pérdidas

Menú Statistics → TCP Stream Graphs → Round Trip Time. Picos pronunciados o retransmisiones masivas indican problemas en la ruta. Combina con tcp.analysis.lost_segment para localizar pérdidas concretas.

Reconstruir archivos transferidos

En File → Export Objects → HTTP puedes recuperar imágenes, PDFs y ejecutables que viajaron por la captura. Útil en análisis forense; también explica por qué nunca debes meter datos sensibles en HTTP sin cifrar dentro de redes que no controlas.

Modo promiscuo y modo monitor: qué puedes ver realmente

Por defecto, una tarjeta de red solo procesa los paquetes dirigidos a ella. El modo promiscuo hace que acepte todo lo que pase por el cable. En redes con switch moderno, esto solo captura tu propio tráfico más broadcasts y multicasts, no el del vecino.

El modo monitor (solo Wi-Fi) va más allá: la tarjeta deja de asociarse a una red y escucha todas las tramas 802.11 del aire. En Linux, con tarjetas compatibles, se activa con airmon-ng start wlan0. En Windows, Npcap soporta modo monitor en algunas tarjetas, pero la lista de compatibles es deprimentemente corta.

Para capturar tráfico cifrado WPA2/WPA3, necesitas además el handshake completo y la clave PSK configurada en Edit → Preferences → Protocols → IEEE 802.11.

Wireshark frente a alternativas

HerramientaPunto fuerteLimitación
WiresharkAnálisis visual profundoPesado en capturas grandes
tcpdumpLigero, ideal en servidoresSin GUI
tsharkScripting y automatizaciónCurva CLI
Zeek (antes Bro)Detección de amenazasOtro paradigma, más complejo
SuricataIDS/IPS en tiempo realNo es para análisis ad-hoc

El flujo habitual en SOCs es capturar con tcpdump en servidores remotos, transferir el .pcap y abrirlo en Wireshark para análisis detallado. Si te interesa montar infraestructura web propia donde aplicar estas técnicas, en Piqture explican bien la parte de crear una página web profesional con buenas prácticas de seguridad desde el día uno.

Errores típicos del principiante

  • Capturar sin filtro durante horas: generas archivos de gigas inmanejables. Usa filtros de captura BPF.
  • Confundir filtros de captura con los de visualización: la sintaxis es diferente. host x.x.x.x es captura; ip.addr == x.x.x.x es visualización.
  • Olvidar que TLS no se descifra solo: para ver HTTPS en claro necesitas la clave privada del servidor o las SSLKEYLOGFILE del navegador. Configura en Preferences → Protocols → TLS.
  • No actualizar Npcap: versiones antiguas acumulan vulnerabilidades documentadas en los últimos años, así que mantenlo en la última estable.

Buenas prácticas profesionales

Trabaja siempre sobre copias del .pcap original. Documenta cada captura con fecha, interfaz y propósito. Aplica los principios de cadena de custodia si la captura puede acabar en un proceso judicial: hash SHA-256 del archivo, registro de manipulación.

Para entornos donde el Shadow IT es un problema, Wireshark sirve para descubrir qué servicios no autorizados están comunicándose hacia el exterior desde la red corporativa. Sorpresas garantizadas.

Preguntas frecuentes

¿Es legal usar Wireshark en España?

Sí, la herramienta es legal y de uso libre. Lo que puede ser ilegal es capturar tráfico de redes ajenas o de comunicaciones de terceros sin consentimiento, según el artículo 197 del Código Penal y el RGPD.

¿Puede Wireshark descifrar HTTPS?

Solo si dispones de la clave privada del servidor (con cifrados RSA) o si configuras el navegador para volcar las claves de sesión TLS mediante la variable SSLKEYLOGFILE. Sin esos elementos, ves los metadatos pero no el contenido.

¿Puedo ver el WhatsApp de alguien con Wireshark?

No. WhatsApp usa cifrado de extremo a extremo basado en el protocolo Signal. Lo único visible son los metadatos de conexión (IPs, tamaño y momento de los paquetes). Intentarlo, además, es delito.

¿Wireshark detecta ataques en tiempo real?

No es su función principal. Para detección en tiempo real existen IDS como Suricata o Snort. Wireshark es un analizador, no un sistema de prevención, aunque tiene un módulo de expertos que señala anomalías protocolarias.

¿Qué hardware necesito para capturar a 10 Gbps?

Wireshark en interfaz gráfica empieza a sufrir por encima de 1 Gbps sostenido. Para tasas altas se usa tcpdump o herramientas especializadas como n2disk con NIC compatibles (Intel X710, Mellanox ConnectX) y almacenamiento NVMe.

El siguiente paso

Descarga ahora mismo una captura pública desde la wiki oficial de Wireshark, ábrela y prueba el filtro http.request. En quince minutos verás peticiones reales, cabeceras, cookies y cuerpos POST. Esa media hora de práctica vale más que leer tres tutoriales seguidos.

wireshark tutorial wireshark analizar tráfico red sniffing red wireshark filtros
MataSpam

Somos un equipo obsesionado con la ciberseguridad. Creamos guías prácticas para que no te la cuelen online. Sin edulcorantes, con mala leche y buen corazón.

Artículos relacionados

Kali Linux: guía para principiantes en ciberseguridad
Herramientas de Seguridad

Kali Linux: guía para principiantes en ciberseguridad

VirusTotal: cómo analizar archivos y URLs sospechosos gratis
Herramientas de Seguridad

VirusTotal: cómo analizar archivos y URLs sospechosos gratis

Apps autenticador 2FA: comparativa Google, Microsoft, Authy y más
Herramientas de Seguridad

Apps autenticador 2FA: comparativa Google, Microsoft, Authy y más

← Volver al blog