Wireshark para Principiantes: Capturas, Filtros y Análisis de Red [2026]

Adentrarse en el mundo del análisis de redes puede parecer complejo, pero con las herramientas adecuadas, se convierte en una habilidad esencial. En esta guía completa de Wireshark para principiantes, desglosaremos todo lo que necesitas saber para empezar a capturar, filtrar y analizar el tráfico de red como un profesional. Desde la instalación hasta los filtros más potentes y el análisis paso a paso de protocolos, te equiparemos para dominar esta herramienta fundamental. Comprender el flujo de datos en tu red es crucial, ya sea para solucionar problemas de rendimiento, verificar la seguridad o simplemente entender cómo interactúan tus dispositivos.

¿Qué es Wireshark y por qué es esencial en el análisis de redes?

Wireshark, anteriormente conocido como Ethereal, es mucho más que una simple aplicación; es un microscopio digital para tu red. Su función principal es interceptar paquetes de datos que viajan a través de una interfaz de red, ya sea una tarjeta Ethernet, Wi-Fi o incluso una interfaz virtual. Una vez capturados, estos paquetes se pueden examinar en detalle, revelando información crucial sobre los protocolos utilizados, las direcciones de origen y destino, los datos transferidos y mucho más. Su importancia radica en la visibilidad que proporciona sobre lo que realmente está ocurriendo a nivel de la capa de enlace de datos y superiores del modelo OSI.

Desde la solución de problemas de conectividad intermitente hasta la identificación de cuellos de botella en la red o la detección de actividades maliciosas, Wireshark es la herramienta de facto para cualquier profesional de TI. Permite a los administradores de sistemas y a los equipos de seguridad entender la dinámica del tráfico, depurar aplicaciones de red, y asegurar que las políticas de seguridad se estén implementando correctamente. En esencia, te da el poder de ver y entender el lenguaje binario que tus dispositivos usan para comunicarse.

Instalación de Wireshark

La instalación de Wireshark es un proceso sencillo, compatible con la mayoría de los sistemas operativos, incluyendo Windows, macOS y Linux. Te explicamos cómo:

• Windows/macOS: Descarga el instalador desde el sitio web oficial de Wireshark (www.wireshark.org/download.html). Sigue las instrucciones del asistente de instalación. Durante el proceso, se te pedirá instalar Npcap (en Windows) o ChmodBPF (en macOS), que son los controladores necesarios para la captura de paquetes. ¡Asegúrate de instalarlos!
• Linux: En distribuciones basadas en Debian (como Ubuntu), puedes instalarlo con sudo apt install wireshark. En Fedora o CentOS, usa sudo dnf install wireshark o sudo yum install wireshark. Después de la instalación, es buena práctica agregar tu usuario al grupo 'wireshark' para poder capturar paquetes sin necesidad de usar sudo: sudo usermod -aG wireshark $USER y luego reinicia tu sesión.

Consejo: Si tienes problemas para capturar tráfico después de la instalación, verifica que Npcap (Windows) o ChmodBPF (macOS) estén correctamente instalados y que tu usuario tenga los permisos adecuados en Linux. Reiniciar el sistema a menudo soluciona problemas de permisos.

Un vistazo a la interfaz principal

Al abrir Wireshark, verás una interfaz intuitiva pero con muchas opciones. Aquí están los componentes clave:

• Lista de interfaces: En la pantalla de bienvenida, verás una lista de todas las interfaces de red disponibles en tu sistema (Ethernet, Wi-Fi, Loopback, etc.). Para empezar una captura, selecciona la interfaz por la que esperas que pase el tráfico y haz clic en el icono de aleta de tiburón azul (Start capturing packets) o doble clic sobre la interfaz.
• Panel de lista de paquetes: Una vez iniciada la captura, este panel superior mostrará una lista de todos los paquetes capturados, con información resumida como el número de paquete, tiempo, dirección IP de origen y destino, protocolo, longitud y una breve descripción.
• Panel de detalles del paquete: Seleccionando un paquete en la lista, este panel central desplegará la estructura del paquete en las diferentes capas del modelo OSI (Física, Enlace, Red, Transporte, Aplicación). Puedes expandir cada capa para ver los detalles específicos del protocolo.
• Panel de bytes del paquete: En la parte inferior, se muestra la representación hexadecimal y ASCII del contenido del paquete seleccionado. Esto es útil para el análisis forense y la depuración a bajo nivel.
• Barra de filtros de visualización: Una de las características más potentes, permite aplicar filtros para mostrar solo los paquetes que te interesan.

Filtros de captura vs. filtros de visualización: la clave para la eficiencia

Para usar Wireshark de manera efectiva, es fundamental entender la diferencia entre los filtros de captura y los filtros de visualización. Ambos tienen el mismo objetivo: ayudarte a encontrar lo que buscas, pero operan en diferentes etapas del proceso de análisis de red.

Filtros de captura (BPF)

Los filtros de captura se aplican antes de que los paquetes sean procesados por Wireshark y guardados en el archivo de captura. Utilizan la sintaxis de Berkeley Packet Filter (BPF) y son cruciales para reducir el volumen de datos capturados. Esto es especialmente útil en redes con mucho tráfico, donde capturar todo podría consumir rápidamente recursos del sistema y generar archivos gigantes. Al aplicar un filtro de captura, solo los paquetes que cumplen con las reglas especificadas se guardarán.

Ejemplos de sintaxis BPF:

• host 192.168.1.1: Captura solo el tráfico hacia o desde la IP 192.168.1.1.
• port 80: Captura solo el tráfico del puerto 80 (HTTP).
• tcp and port 443: Captura solo el tráfico TCP en el puerto 443 (HTTPS).
• src host 10.0.0.5 and dst port 22: Captura tráfico SSH desde 10.0.0.5.

Filtros de visualización (Wireshark)

Los filtros de visualización se aplican después de que los paquetes ya han sido capturados y guardados. Estos filtros modifican lo que se muestra en el panel de lista de paquetes de Wireshark, permitiéndote navegar por un gran conjunto de datos sin afectar el archivo de captura original. Utilizan la propia sintaxis de Wireshark, que es más rica y flexible que BPF, permitiendo filtrar por campos específicos de protocolo, expresiones regulares y mucho más. Son ideales para refinar tu análisis sin tener que reiniciar la captura.

Ejemplos de sintaxis de Wireshark:

• ip.addr == 192.168.1.1: Muestra paquetes con origen o destino en 192.168.1.1.
• tcp.port == 80: Muestra paquetes con origen o destino en el puerto TCP 80.
• http.request: Muestra todas las solicitudes HTTP.
• dns and !(dns.response): Muestra solo las consultas DNS, excluyendo las respuestas.

Tabla comparativa: filtros de captura vs. filtros de visualización

Característica	Filtros de Captura (BPF)	Filtros de Visualización (Wireshark)
Momento de aplicación	Antes de capturar y guardar.	Después de capturar (sobre los datos ya guardados).
Propósito principal	Reducir el tamaño del archivo de captura y la carga del sistema.	Navegar y buscar información específica en un archivo de captura existente.
Sintaxis	Berkeley Packet Filter (BPF).	Sintaxis propia de Wireshark.
Complejidad	Más limitada, enfocada en cabeceras de red.	Más rica y compleja, permite filtrar por campos internos de protocolos.
Rendimiento	Mejora el rendimiento de la captura, reduce recursos.	Puede ralentizar la interfaz al filtrar grandes capturas, pero no afecta la captura.
Modificación de datos	Los paquetes no filtrados no se guardan.	Solo oculta paquetes; la captura original permanece intacta.

Los 10 filtros de visualización de Wireshark más útiles para principiantes

Dominar los filtros de visualización de Wireshark es el primer paso para desbloquear su verdadero potencial. Aquí tienes una lista de 10 filtros esenciales que te ayudarán a acotar rápidamente tu análisis y encontrar la información que necesitas:

1. ip.addr == 192.168.1.100: Muestra todo el tráfico de entrada y salida hacia o desde la dirección IP 192.168.1.100. Ideal para aislar la actividad de un host específico.
2. tcp.port == 80: Filtra el tráfico del protocolo de control de transmisión (TCP) que utiliza el puerto 80, comúnmente asociado con HTTP. Cambia el número de puerto según el servicio que quieras analizar (ej. 21 para FTP, 22 para SSH, 443 para HTTPS).
3. http: Muestra únicamente el tráfico HTTP, útil para ver solicitudes web, respuestas y cabeceras. Si quieres ver solo las solicitudes, usa http.request.
4. dns: Filtra todo el tráfico del Sistema de Nombres de Dominio (DNS). Fundamental para diagnosticar problemas de resolución de nombres. Puedes refinarlo a dns.query para solo consultas o dns.response para solo respuestas.
5. icmp: Muestra los paquetes del Protocolo de Mensajes de Control de Internet (ICMP), que se usan para mensajes de error y operaciones de diagnóstico como ping y traceroute.
6. arp: Filtra los paquetes del Protocolo de Resolución de Direcciones (ARP), esenciales para ver cómo las direcciones IP se mapean a direcciones MAC en tu red local.
7. !arp and !icmp and !dns: Utiliza el operador "not" (!) para excluir el tráfico de ARP, ICMP y DNS. Útil para eliminar el "ruido" de la red y concentrarte en el tráfico de aplicaciones.
8. tcp.flags.syn == 1: Muestra los paquetes TCP que tienen el bit SYN activado, lo que te permite ver el inicio de las conexiones TCP (parte del 3-Way Handshake).
9. http.request.method == "POST": Filtra específicamente las solicitudes HTTP que utilizan el método POST, a menudo asociadas con el envío de datos de formularios.
10. len > 1000: Muestra paquetes con una longitud total mayor a 1000 bytes. Útil para identificar transferencias de datos grandes o paquetes fragmentados.

Análisis de protocolos fundamentales: DNS y TCP Handshake

Una vez que sabes cómo capturar y filtrar, el siguiente paso es comprender cómo funcionan los protocolos clave. Wireshark te permite desglosar estos procesos complejos en pasos digeribles, esenciales para la solución de problemas y el aprendizaje.

Desglosando una consulta DNS paso a paso

El Sistema de Nombres de Dominio (DNS) es la agenda telefónica de Internet. Cuando escribes una URL como www.ejemplo.com, tu computadora necesita traducir ese nombre a una dirección IP numérica para poder conectarse. Así es como Wireshark te ayuda a visualizar este proceso:

1. Captura de tráfico: Inicia una captura en tu interfaz de red.
2. Genera tráfico DNS: Abre tu navegador y navega a un sitio web que no hayas visitado recientemente (o borra la caché de DNS de tu sistema).
3. Aplica el filtro: En la barra de filtros de visualización, escribe dns y presiona Enter.
4. Análisis de la consulta (Query): Busca un paquete DNS con el "Opcode" como "Standard query" y el "Type" como "A" (para IPv4) o "AAAA" (para IPv6). En el panel de detalles del paquete, expande "Domain Name System (query)" para ver el nombre de dominio que se está buscando.
5. Análisis de la respuesta (Response): Busca el paquete de respuesta correspondiente. Verás que tiene "Opcode" como "Standard query response". Al expandir "Answers", encontrarás la dirección IP resuelta para el nombre de dominio.

Este análisis te permite verificar si tu cliente DNS está enviando las consultas correctamente, si el servidor DNS está respondiendo, si hay retrasos en la respuesta o si se están resolviendo nombres incorrectos.

Consejo: Para un análisis más profundo de DNS, busca el campo dns.time en los detalles de la respuesta para ver cuánto tardó el servidor DNS en responder a la consulta.

Entendiendo el TCP 3-Way Handshake

El Protocolo de Control de Transmisión (TCP) es un protocolo orientado a la conexión que garantiza la entrega fiable de datos. Antes de que los datos puedan ser transferidos, se establece una conexión mediante un proceso de tres pasos conocido como el "3-Way Handshake" (apretón de manos de tres vías). Wireshark te permite visualizarlo perfectamente:

1. Captura de tráfico: Inicia una captura.
2. Genera tráfico TCP: Abre una conexión TCP (ej. navega a un sitio web, conéctate vía SSH).
3. Aplica el filtro: Usa un filtro como tcp.port == 80 or tcp.port == 443 para aislar el tráfico web, o tcp.port == 22 para SSH.
4. Identifica el SYN (Sincronizar): Busca el primer paquete en la secuencia con el bit SYN activado (tcp.flags.syn == 1). Este es el cliente iniciando la conexión. Verás un número de secuencia (Seq) y un número de acuse de recibo (Ack) iniciales.
5. Identifica el SYN-ACK (Sincronizar-Acknowledge): El servidor responde con un paquete donde los bits SYN y ACK están activados (tcp.flags.syn == 1 and tcp.flags.ack == 1). El número de Seq del servidor será su propio número inicial, y el número de Ack será el número de Seq del cliente más uno.
6. Identifica el ACK (Acknowledge): Finalmente, el cliente envía un paquete con solo el bit ACK activado (tcp.flags.ack == 1). El número de Ack del cliente será el número de Seq del servidor más uno.

Si alguna parte de este proceso falla (por ejemplo, solo ves SYN pero no SYN-ACK), Wireshark te alertará con códigos de color o estados en el panel de detalles, indicando posibles problemas de conectividad o cortafuegos.

Diagnóstico avanzado con Wireshark: identificando problemas de rendimiento y seguridad

Wireshark no solo te ayuda a entender cómo funcionan los protocolos, sino que es una herramienta insuperable para diagnosticar problemas de rendimiento de red y detectar posibles amenazas de seguridad. Su capacidad para visualizar la comunicación en detalle te proporciona la información necesaria para tomar decisiones informadas.

¿Cómo encontrar respuestas lentas (tcp.analysis.ack_rtt)?

Una de las quejas más comunes en redes es el "lentitud". Wireshark puede ayudarte a pinpointar si la lentitud está en la red o en el servidor. El filtro tcp.analysis.ack_rtt es tu mejor amigo aquí. Este campo mide el "Round Trip Time" (RTT) estimado, que es el tiempo entre el envío de un segmento de datos y la recepción de su acuse de recibo (ACK) correspondiente.

Pasos para identificar respuestas lentas:

1. Captura de tráfico: Realiza una captura mientras se experimenta la lentitud (ej. al cargar una página web lenta o interactuar con una aplicación).
2. Aplica el filtro: Utiliza tcp.analysis.ack_rtt. Wireshark te mostrará los valores RTT para los paquetes TCP.
3. Ordena por RTT: Haz clic en la columna "Time" o busca la columna tcp.analysis.ack_rtt en los detalles del paquete y ordena los resultados para encontrar los valores más altos.
4. Analiza los picos: Valores consistentemente altos de tcp.analysis.ack_rtt (por ejemplo, >100ms o más, dependiendo de la tolerancia de tu red) indican que la aplicación o el servidor está tardando en responder, o que hay congestión significativa en el camino de la red.

Si los RTT son altos, el problema podría estar en el servidor (aplicación lenta, servidor sobrecargado) o en la propia red (congestión, latencia). Si los RTT son bajos, la lentitud percibida podría deberse a otros factores no relacionados directamente con la red (ej. procesamiento local del cliente).

Detectando patrones de tráfico sospechosos

Wireshark es una herramienta formidable para la detección temprana de anomalías que podrían indicar una brecha de seguridad o actividad maliciosa. Aquí algunos ejemplos:

• Escaneo de puertos: Un atacante puede escanear tu red para encontrar puertos abiertos. Busca múltiples conexiones SYN hacia diferentes puertos en el mismo host destino desde una única IP de origen (tcp.flags.syn == 1 and ip.src == [posible atacante]). Un gran número de paquetes ICMP de destino inalcanzable (Type 3) también puede indicar un escaneo.
• Tráfico no autorizado: Filtra por protocolos o puertos inusuales. Por ejemplo, si una máquina de tu red corporativa intenta conectarse al puerto 53 (DNS) de un servidor externo para una conexión TCP, cuando DNS debería ser UDP, podría ser un túnel de datos.
• Conexiones a IPs sospechosas: Si tienes una lista de direcciones IP de reputación dudosa, puedes filtrar ip.addr == [IP sospechosa] para ver si alguno de tus hosts se está comunicando con ellas.
• Exfiltración de datos: Busca transferencias de datos inusualmente grandes a destinos externos, especialmente si el protocolo es común como HTTP o DNS, que pueden ser usados para "tunelizar" datos robados.

Wireshark para verificar HTTPS y detectar credenciales en texto plano

La seguridad es paramount. Wireshark te permite verificar si las conexiones están debidamente cifradas y, lamentablemente, también puede usarse para detectar vulnerabilidades.

• Verificar HTTPS: Filtra por ssl.handshake.type == 1 (Client Hello) o ssl.handshake.type == 2 (Server Hello) para ver los inicios de las conexiones TLS/SSL. Si un sitio que debería ser HTTPS muestra tráfico HTTP sin cifrar, hay un problema. Deberías ver el tráfico en el puerto 443 pero el contenido real estará cifrado y no será legible.
• Detectar credenciales en texto plano: Esta es una de las aplicaciones más críticas y peligrosas de Wireshark. Si un servicio (como FTP, Telnet, HTTP sin SSL, SMTP) envía credenciales sin cifrar, Wireshark las revelará. Filtra por ftp.request.command == "USER" or ftp.request.command == "PASS", o busca http.request.method == "POST" and http contains "password". Si encuentras un nombre de usuario y contraseña en el panel de bytes del paquete o en los detalles del protocolo, significa que las credenciales están viajando en texto plano y la comunicación es vulnerable a la intercepción.

Es crucial que nunca uses servicios que transmitan credenciales sin cifrar en redes no confiables.

Exportar, guardar y compartir tus capturas de Wireshark

Una vez que has realizado una captura y un análisis exhaustivo, a menudo necesitarás guardar tu trabajo para futuras referencias, compartirlo con colegas o documentar hallazgos. Wireshark ofrece varias opciones para exportar y guardar tus datos.

Formatos de guardado

La forma más común de guardar una captura es en el formato nativo de Wireshark, que es el formato PCAP (Packet Capture) o su variante PCAPNG (Next Generation Packet Capture).

• Archivo .pcap: Es el formato estándar y el más compatible. Guarda todos los paquetes capturados. Puedes guardarlo desde Archivo > Guardar o Archivo > Guardar como....
• Archivo .pcapng: La versión "Next Generation" de PCAP. Ofrece más características, como la capacidad de incluir comentarios para la captura, registrar la interfaz de red y el hardware utilizado, o guardar estadísticas específicas junto con los paquetes. Es preferible cuando se necesita más metadatos o la captura es compleja.

Además de guardar la captura completa, puedes exportar partes específicas:

• Exportar paquetes seleccionados: Si solo necesitas un subconjunto de los paquetes, puedes seleccionarlos en el panel de lista de paquetes y luego ir a Archivo > Exportar paquetes especificados.... Esto es útil para aislar la información relevante y reducir el tamaño del archivo compartido.
• Exportar objetos HTTP/SMB/DNS: Wireshark puede reconstruir y exportar objetos de protocolos de aplicación, como archivos transferidos vía HTTP o SMB. Ve a Archivo > Exportar objetos > HTTP (o el protocolo correspondiente). Esto puede ser crucial para recuperar archivos maliciosos o datos sensibles de una captura.
• Exportar como texto plano: Para documentación o si solo necesitas un resumen textual, puedes exportar la lista de paquetes o los detalles del paquete como texto. Archivo > Exportar > Como texto plano....

Consejo: Al compartir archivos .pcap/.pcapng con otros, asegúrate de que no contengan información sensible que no debería ser expuesta, como credenciales o datos personales. Si es necesario, edita la captura para eliminar esa información antes de compartirla.

Compartiendo información clave

Cuando colaboras con un equipo o necesitas presentar tus hallazgos, no siempre es práctico compartir el archivo de captura completo. Wireshark te permite generar informes y gráficos que resumen la información más importante:

• Estadísticas: El menú Estadísticas ofrece una gran cantidad de opciones para generar gráficos y resúmenes de alto nivel, como jerarquías de protocolos, conversaciones (endpoints), flujos de TCP, tasas de E/S, etc. Estos gráficos son excelentes para presentaciones.
• Flujo de seguimiento de TCP/UDP/HTTP: Para entender la secuencia completa de una conversación específica, selecciona un paquete dentro de esa conversación, haz clic derecho y elige Seguir > Flujo TCP (o UDP/HTTP). Esto abre una ventana que muestra todos los datos de la conversación en orden cronológico, a menudo en formato ASCII, lo que facilita su lectura y copia.

Al dominar estas funciones de exportación y resumen, podrás no solo realizar análisis potentes sino también comunicar tus hallazgos de manera efectiva a otros, consolidando tu rol como un experto en redes.