Wireshark es una herramienta gratuita y de código abierto utilizada para el análisis y monitoreo del tráfico de red en tiempo real. Permite capturar y examinar paquetes de datos que circulan por una red, facilitando la identificación de problemas, análisis forense y estudios de seguridad. Es uno de los analizadores de protocolos más utilizados a nivel mundial.

Wireshark

Sumario

¿Qué es Wireshark?

¿Para qué sirve?

Análisis de tráfico de red

Diagnóstico de problemas

Auditorías de seguridad

Análisis forense

Herramienta educativa

¿Cómo funciona?

Captura de paquetes

Análisis detallado

Filtros de captura y visualización

Reconstrucción de sesiones

¿Cómo se instala?

Instalación en Windows

Instalación en Linux

Instalación en macOS

Configuración básica después de la instalación

Interfaz principal

Protocolos compatibles

Ventajas de Wireshark

¿Qué es Wireshark?

Wireshark es un analizador de protocolos de red (packet sniffer) que permite capturar paquetes que viajan a través de una interfaz de red y examinarlos en detalle. Proporciona información profunda sobre cada paquete, incluyendo origen, destino, protocolo, contenido y tiempos de transmisión.

¿Para qué sirve?

Análisis de tráfico de red

• Permite ver en tiempo real qué datos circulan por la red.
• Identificar congestión, latencia o pérdida de paquetes.

Diagnóstico de problemas

• Detectar fallas de conexión.
• Analizar errores en protocolos como HTTP, DNS, TCP, UDP.

Auditorías de seguridad

• Detectar tráfico sospechoso.
• Analizar intentos de ataques.
• Examinar comunicaciones no cifradas.

Análisis forense

• Revisar capturas guardadas (.pcap).
• Investigar incidentes de seguridad.

¿Cómo funciona?

Captura de paquetes

Wireshark se conecta a una interfaz de red (Ethernet, WiFi, etc.) y captura los paquetes que circulan por ella.

Análisis detallado

Cada paquete capturado muestra:

• Dirección IP origen y destino
• Puertos utilizados
• Protocolo (TCP, UDP, HTTP, DNS, etc.)
• Contenido del paquete (si no está cifrado)

Filtros de captura y visualización

Permite aplicar filtros como:

• http
• dns
• ip.addr == 192.168.1.1
• tcp.port == 80

Esto facilita encontrar información específica dentro de grandes volúmenes de tráfico.

Reconstrucción de sesiones

Wireshark puede reconstruir conversaciones completas TCP para analizar intercambios cliente-servidor.

¿Cómo se instala?

Wireshark está disponible para Windows, macOS y Linux.

1. Instalación en Windows

• Descargar desde la página oficial: https://www.wireshark.org/download.html
• Ejecutar el instalador (.exe).
• Durante la instalación, aceptar la instalación de Npcap (necesario para capturar tráfico).
• Finalizar instalación y abrir el programa.

2. Instalación en Linux (Debian/Ubuntu/Kali)

Desde terminal:

Durante la instalación preguntará si los usuarios no-root pueden capturar paquetes. Seleccionar Sí.

Luego agregar el usuario al grupo wireshark:

Reiniciar sesión.

3. Instalación en macOS

• Descargar el paquete desde el sitio oficial.
• Abrir el archivo .dmg.
• Arrastrar Wireshark a Aplicaciones.
• Instalar el paquete adicional de captura si lo solicita.

Configuración básica después de la instalación

Abrir Wireshark.

• Seleccionar la interfaz de red (ejemplo: eth0 o wlan0).
• Hacer clic en Start Capturing Packets.
• Navegar por una web o realizar actividad en red.
• Detener la captura cuando se desee analizar.

Interfaz principal

La interfaz se divide en tres paneles:

1. Lista de paquetes – muestra todos los paquetes capturados.
2. Detalles del paquete – muestra la estructura interna del paquete seleccionado.
3. Datos en bruto – muestra el contenido en formato hexadecimal y ASCII.

Protocolos compatibles

Wireshark soporta miles de protocolos, entre ellos:

• HTTP / HTTPS
• DNS
• TCP / UDP
• FTP
• SMTP
• ARP
• ICMP
• SSH

Ventajas de Wireshark

• ✅ Gratis y de código abierto.
• ✅ Compatible con múltiples sistemas operativos.
• ✅ Soporta miles de protocolos.
• ✅ Permite análisis profundo y detallado.
• ✅ Amplia documentación y comunidad.