Wireshark avanzado: guía completa de capturas y análisis

Informatec Digital » Recursos » Wireshark avanzado: guía completa de capturas y análisis

Si ya conoces Wireshark y te apetece ir un paso más allá, este artículo está pensado para ti. Vamos a ver cómo sacarle partido de verdad, desde las capturas básicas hasta el análisis avanzado de tráfico, pasando por filtros, colores, protocolos y usos prácticos en análisis de ciberseguridad, rendimiento y resolución de problemas.

A lo largo del texto vas a encontrar explicados, con calma y en castellano de andar por casa, muchos de los conceptos que aparecen en herramientas profesionales, cursos, libros y laboratorios como TryHackMe, pero llevados a un terreno práctico. La idea es que, cuando termines de leer, seas capaz de moverte con soltura por la interfaz de Wireshark, capturar lo que te interesa y entender qué está pasando en tu red.

Qué es Wireshark y por qué es tan importante

Wireshark es, básicamente, un analizador de protocolos de red (un packet sniffer de los de toda la vida) que permite ver, uno a uno, los paquetes que entran y salen por tus interfaces de red, ya sea redes WiFi públicas, Ethernet u otras. Cada paquete se captura, se aísla y se muestra en tiempo real, con todos sus detalles.

Estamos hablando de un programa gratuito y de código abierto, distribuido bajo la licencia GNU General Public License v2. Esto implica que no hay versiones recortadas ni “ediciones demo”: lo que descargas es la versión completa, con todas las funciones, y cualquier desarrollador puede revisar su código para comprobar que no hace nada raro.

El proyecto está gestionado por la Wireshark Foundation, una organización sin ánimo de lucro que coordina el desarrollo, la documentación y la distribución del software. Muchas empresas y profesionales que dependen de Wireshark para su trabajo contribuyen con donaciones, lo que mantiene viva la herramienta y permite que siga evolucionando.

Wireshark está disponible para Windows, macOS y distribuciones Linux como Ubuntu, y se descarga desde su web oficial wireshark.org. Una vez instalado, verás una interfaz que, al principio, puede abrumar: cientos de líneas cambiando a toda velocidad, columnas con direcciones IP, protocolos, longitudes, marcas de tiempo… pero todo eso es oro puro para diagnosticar fallos, detectar ataques o entender qué hacen tus dispositivos.

Interfaz de Wireshark: paneles, preferencias y primeros pasos

Cuando abres Wireshark, la pantalla se organiza en varios paneles principales: la lista de paquetes, los detalles del paquete seleccionado y la vista en bruto (bytes hexadecimales y ASCII). Comprender estos paneles es la base para trabajar con soltura.

En el panel superior se muestran todos los paquetes capturados, cada línea corresponde a un paquete e incluye información como número de paquete, hora, IP origen, IP destino, protocolo y un breve resumen. En el panel central puedes ver la descomposición por capas del paquete (enlace, red, transporte, aplicación), y en el inferior, los bytes en formato hexadecimal y su representación textual.

Desde el menú de configuración puedes abrir las preferencias de Wireshark y ajustar cosas como el formato de tiempo, la forma en la que se muestran los paneles, el idioma de los campos, o incluso ocultar ciertos elementos. Por ejemplo, puedes cambiar la distribución de los paneles o desactivar la visualización de los bytes HEX si prefieres centrarte sólo en el análisis lógico.

La navegación dentro de una captura también es clave: puedes ir directamente a un número de paquete concreto, saltar al primero o al último de la lista, y moverte por las conversaciones con atajos de teclado. Además, es posible marcar paquetes para volver a ellos más tarde, algo muy útil cuando estás siguiendo un flujo largo y necesitas recordar ciertos puntos clave.

Captura de tráfico: interfaces, límites y tipos de paquetes

Antes de analizar, hay que capturar. Wireshark te permite elegir en qué interfaz de red quieres escuchar: la tarjeta Ethernet, la WiFi, interfaces virtuales, túneles, etc. No todas las interfaces soportan el mismo nivel de detalle, pero en general podrás ver el tráfico que cruza tu equipo e incluso, en ciertos modos, el que circula por tu red local.

Para practicar, es muy común trabajar con capturas acotadas. Puedes, por ejemplo, iniciar una captura limitada a 1.000 paquetes, o configurarla para que se detenga automáticamente a los 5 segundos. Esto viene bien para evitar archivos enormes y centrarte en ventanas temporales concretas de actividad.

Wireshark también soporta filtros de captura, de forma que sólo se graben ciertos paquetes desde el inicio. Un caso típico es capturar únicamente tráfico UDP o tráfico TCP. Por ejemplo, puedes arrancar una captura en la que sólo entren paquetes UDP si estás interesado en juegos online o servicios de streaming, o limitar la captura a TCP cuando quieres estudiar sesiones HTTP, TLS, FTP, etc.

Una vez tengas lo que necesitas, puedes guardar el resultado en un fichero con extensión .pcap o .pcapng, por ejemplo como “ejemplo_tcp.pcap”, y cerrar Wireshark. Después, puedes volver a abrir el programa, cargar el archivo y analizarlo con calma, sin que el tráfico siga moviéndose en tiempo real y sin riesgo de perder nada.

Trabajar con el tiempo: marcas, diferencias y análisis temporal

El campo de tiempo es uno de los más poderosos en Wireshark. En la lista de paquetes ves cuándo se capturó cada uno, pero también puedes medir cuánto ha pasado entre el inicio de la captura y un paquete concreto, o entre dos paquetes específicos. Por ejemplo, puedes fijarte en el tiempo que transcurre hasta llegar al paquete 300 para ver cómo evoluciona una comunicación.

Una función muy práctica es la de establecer un paquete como referencia de tiempo cero. Esto te permite redefinir el momento “0” en cualquier punto de la captura, de forma que todos los demás tiempos se midan respecto a ese paquete. Es ideal cuando quieres estudiar un intercambio concreto y no toda la sesión completa.

Combinando marcas de tiempo con filtros y seguimiento de flujo (follow TCP stream, follow UDP stream), puedes ver con bastante precisión la latencia, los retrasos, los reenvíos y las retransmisiones que se producen en la red. Esto es especialmente útil para diagnosticar problemas de lag, cuellos de botella o pérdidas de paquetes.

Análisis por capas: de la MAC a la aplicación

Una de las grandes fortalezas de Wireshark es que te deja ver cada paquete desglosado por capas del modelo OSI o TCP/IP. Empezando por abajo, puedes ver qué medio físico o tipo de enlace se está usando (por ejemplo Ethernet) y el tipo de interfaz que lo soporta.

En la capa 2 (enlace de datos) podrás comprobar qué protocolo se está utilizando, normalmente Ethernet II en redes modernas. Aquí es donde cobra importancia el campo “EtherType”, donde pueden aparecer valores como 0x0800 (que indica IPv4) o otros identificadores menos comunes. Puedes buscar si existe algún paquete con un determinado valor, como 0x0800 o 0xEBF2, mediante filtros o búsquedas dentro de la captura.

Subiendo a la capa 3, encontrarás el protocolo de red, por lo general IPv4 o IPv6. Aquí se muestran las direcciones IP de origen y destino, y puedes desplegar el árbol de campos para ver otros detalles como el TTL, fragmentación, opciones, etc. Identificar la IP de origen y la IP de destino es una de las tareas más elementales, pero también más frecuentes al investigar problemas.

En la capa 4, Wireshark te indica si estás tratando con TCP, UDP u otros protocolos de transporte. Es aquí donde se ven los puertos de origen y destino, los flags de TCP (SYN, ACK, FIN, RST), los números de secuencia y de acuse de recibo, y detalles clave para entender si una conexión es estable, si hay retransmisiones, si se están perdiendo paquetes o si se ha cerrado de forma abrupta.

Por último, en la capa de aplicación, Wireshark intenta interpretar el contenido según el protocolo detectado: HTTP, HTTPS (TLS/SSL), DNS, DHCP, FTP, RTP, SIP y muchos otros. Cuando el tráfico no está cifrado, es posible incluso ver el contenido en texto claro, lo que incluye cabeceras HTTP, comandos FTP e incluso credenciales si se están enviando de forma insegura.

Búsquedas, filtros y cadenas de texto dentro de los paquetes

Trabajar con capturas grandes obliga a usar filtros y búsquedas potentes. En la parte superior de Wireshark tienes la barra de filtros de visualización, que permite mostrar sólo los paquetes que cumplan ciertas condiciones: por ejemplo, ip.addr == 192.168.1.50 para centrarte en un dispositivo concreto, o http para ver únicamente tráfico web.

Si sospechas que en una captura se están transmitiendo contraseñas o datos sensibles sin cifrar, puedes buscar cadenas de texto en el contenido de los paquetes. Es posible localizar si existe algún paquete que contenga, por ejemplo, la palabra “pass” o “content” en los datos capturados. También puedes comprobar si esas cadenas aparecen en el resumen o la información del paquete, no sólo en el cuerpo.

Esto es especialmente útil al analizar protocolos inseguros como HTTP o FTP. En entornos de formación tipo TryHackMe, una de las tareas típicas es extraer credenciales enviadas en claro a través de estos servicios, o detectar formularios que mandan información sin cifrar, lo que representa un riesgo de seguridad evidente.

Más allá de las cadenas de texto, puedes utilizar filtros mucho más finos combinando campos de protocolo, operadores lógicos y comparaciones. Así podrás, por ejemplo, quedarte sólo con las peticiones DNS que fallan, los paquetes TCP con errores o los mensajes de un flujo RTP concreto.

Colores y reglas de resaltado para ver mejor el tráfico

Wireshark incluye un sistema de colores para los paquetes que ayuda a distinguir de un vistazo rápido diferentes tipos de tráfico. Normalmente, el verde se asocia a tráfico TCP “normal”, el azul a tráfico UDP o DNS, y el negro o el rojo marcan errores o anomalías. Con sólo mirar la pantalla puedes intuir si todo va razonablemente bien o si hay demasiadas líneas problemáticas.

Desde el menú de configuración puedes activar o desactivar la vista por colores. Si lo necesitas, también es posible modificar el color de fondo de reglas específicas, por ejemplo crear una regla que resalte todas las sesiones TCP en un tono concreto, o que marque en otro color las retransmisiones o los paquetes malformados.

Además de cambiar colores, tienes la opción de deshabilitar una regla concreta sin borrarla, de forma que deje de colorear paquetes pero puedas volver a activarla más adelante. Esto viene muy bien cuando estás probando diferentes esquemas y no quieres perder la configuración que ya tenías.

Otra técnica interesante es colorear todos los paquetes que pertenecen a una misma conversación TCP o UDP. De este modo, sigues visualmente todo el flujo entre dos extremos, incluso cuando está mezclado con otros cientos de conexiones en paralelo. Luego podrás moverte entre esos paquetes resaltados con mucha más facilidad.

Diagnóstico de problemas de red en casa y en la empresa

Aunque Wireshark es una herramienta de nivel profesional, también puede ayudar a usuarios domésticos a entender qué pasa con su conexión. Por ejemplo, si en tus juegos online notas tirones o interferencias WiFi, puedes analizar el tráfico para ver si se están perdiendo paquetes, si llegan fuera de orden o si hay retrasos excesivos en cierta parte del recorrido.

En ese contexto, es habitual centrarse en tráfico UDP, que es el que usan muchos juegos y aplicaciones de tiempo real. Si al filtrar por UDP ves muchas líneas marcadas en colores de error, paquetes out of order o retransmisiones, sabrás que el problema no es sólo un ping alto en un test, sino algo más profundo relacionado con la estabilidad de la ruta o la saturación de algún nodo.

Wireshark también es muy útil cuando una página web no carga, una impresora desaparece de la red o un servicio interno falla. Con la captura delante podrás ver en qué punto exacto se corta la comunicación: si la petición sale de tu equipo pero nunca recibe respuesta, si hay errores DNS, si el servidor responde con un código de error, etc.

Desde el punto de vista de la privacidad, la herramienta sirve para ver qué datos envían tus dispositivos a Internet. Es posible detectar si un aparato “habla demasiado” con la nube, si mantiene conexiones a servidores desconocidos, o si envía información en claro que preferirías que estuviera cifrada. Todo esto te ayuda a auditar el comportamiento de dispositivos IoT, móviles, cámaras IP, televisores inteligentes y cualquier cacharro conectado.

En redes domésticas con muchos aparatos, puedes ir aislando la IP de cada dispositivo y observar a qué servidores se conecta, con qué frecuencia y qué tipo de contenido transmite. De esta forma, entiendes mejor el tráfico bruto de tu red y puedes tomar decisiones, como segmentar dispositivos, bloquear dominios o cambiar configuraciones.

Análisis avanzado: HTTP, DNS, escaneos y ataques de red

En entornos más avanzados, Wireshark se convierte en un aliado clave para el análisis de seguridad y la investigación de incidentes. Es posible estudiar con detalle tráfico HTTP, consultas y respuestas DNS, escaneos de puertos con Nmap, intentos de envenenamiento ARP, túneles SSH y mucho más.

Con HTTP, puedes revisar cabeceras, códigos de respuesta, URLs solicitadas y, cuando no hay cifrado, incluso el contenido de formularios o archivos. En DNS, verás qué dominios se resuelven, qué servidores se consultan, si hay respuestas sospechosas o dominios que no te cuadran con el uso normal de los equipos.

Los escaneos Nmap dejan patrones característicos en la red: múltiples intentos de conexión a muchos puertos, uso de determinadas flags TCP, etc. Con los filtros adecuados puedes detectar estas actividades y confirmar si alguien está mapeando servicios expuestos en tu infraestructura.

El envenenamiento ARP (ARP spoofing/poisoning) también se puede rastrear observando cómo se modifican las asociaciones entre direcciones IP y MAC en la red local. Y con túneles SSH, aunque el contenido vaya cifrado, todavía puedes analizar los patrones de conexión, la duración de las sesiones y el volumen de datos transferido.

Muchos de estos ejercicios forman parte de laboratorios prácticos como los de TryHackMe orientados al análisis de tráfico malicioso o sospechoso. Se trabaja con capturas ya generadas para que aprendas a reconocer indicadores de compromiso, vectores de ataque y comportamientos anómalos usando sólo Wireshark.

Wireshark 4.6.0 en macOS: metadatos pktap y análisis por procesos

Una de las mejoras más interesantes para usuarios de Mac llega con la versión Wireshark 4.6.0, que introduce soporte nativo para los metadatos pktap de macOS. Esto permite asociar cada paquete de red con el proceso del sistema que lo ha generado, ofreciendo un nivel de detalle muy potente.

Gracias a esta integración, Wireshark puede mostrar información como el PID (identificador de proceso) y el nombre de la aplicación que origina el tráfico, junto con otros metadatos relevantes. Esto facilita muchísimo el debugging de aplicaciones, ya que sabes exactamente qué componente está abriendo conexiones, consumiendo ancho de banda o provocando errores.

Los metadatos incluyen, además, datos sobre identificadores de flujo y estadísticas de paquetes descartados, lo que hace posible un análisis más fino de problemas de rendimiento. La captura de esta información se suele realizar a través de tcpdump con las opciones -k y -K, y después se importa a Wireshark, que interpreta y muestra esos bloques dentro del formato pcap-ng.

Para equipos de desarrollo y seguridad en el ecosistema Apple, esto supone un salto importante: pueden investigar incidentes con una atribución muy precisa a procesos concretos, detectar comportamientos anómalos dentro de sus propias apps y validar que las políticas de seguridad y privacidad se cumplen realmente.

Además, el instalador de Wireshark 4.6.0 para macOS es universal para arquitecturas Arm64 e Intel, por lo que se simplifica la instalación en Mac modernos con Apple Silicon y en equipos algo más antiguos con procesador Intel.

Wireshark como herramienta profesional: cursos, libros y entornos modernos

El uso avanzado de Wireshark es un tema recurrente en formaciones especializadas, donde se muestran sus funciones más potentes para tareas de debugging, auditoría y seguridad. En estos cursos se enseña a configurar la herramienta desde cero, personalizarla y analizar los protocolos de red más comunes en entornos corporativos.

Normalmente se dedica mucho tiempo a protocolos como HTTP, FTP, SSL/TLS, DNS, DHCP, RTP, SIP y otros habituales en voz sobre IP, servicios web y comunicaciones cifradas. Se trabajan casos prácticos de diagnóstico de lentitud, pérdida de calidad en llamadas, cortes de servicio o configuraciones erróneas.

En paralelo, han ido apareciendo libros y recursos avanzados enfocados en profesionales de redes, especialistas en ciberseguridad y estudiantes que quieren dominar Wireshark en escenarios modernos. Estos materiales suelen combinar teoría de TCP/IP, TLS, análisis de paquetes y filtros avanzados con ejercicios prácticos y laboratorios guiados.

Un enfoque frecuente es integrar el uso de Wireshark con otras herramientas de seguridad y monitoreo, como Snort, Suricata, Zeek o el stack ELK (Elasticsearch, Logstash, Kibana) dentro de plataformas SIEM. La idea es utilizar Wireshark para la inspección de detalle a bajo nivel, mientras el resto de herramientas proporcionan correlación, alertas y paneles de alto nivel.

También se tratan aplicaciones específicas en redes de IoT y sistemas que utilizan inteligencia artificial, donde la visibilidad del tráfico es crucial para detectar vulnerabilidades, dispositivos mal configurados o comunicaciones inesperadas. Dominar Wireshark en estos entornos convierte la herramienta en un recurso estratégico para la seguridad y la optimización de redes complejas.

En conjunto, Wireshark pasa de ser un simple sniffer a convertirse en una pieza fundamental en tareas de monitoreo avanzado, diagnóstico de fallos, análisis de amenazas y comprensión profunda de cómo se comportan las aplicaciones y servicios en la red.

Con todo lo que ofrece, desde las funciones básicas de captura y filtrado hasta las capacidades avanzadas de análisis por protocolo, colores, tiempos y metadatos de procesos, queda claro que Wireshark es una herramienta imprescindible para cualquiera que necesite entender qué ocurre realmente en su red, ya sea en casa, en una pequeña empresa o en una gran organización.