tutoriales.com

Análisis Forense de Redes con Wireshark: Captura y Decodificación de Tráfico

Este tutorial te guiará a través del uso de Wireshark para el análisis forense de redes. Aprenderás a capturar paquetes, aplicar filtros avanzados y decodificar el tráfico para detectar actividades sospechosas o solucionar problemas de red. Ideal para quienes se inician en la ciberseguridad y el forense digital.

Intermedio20 min de lectura6 views19 de marzo de 2026Reportar error

El análisis forense de redes es una disciplina crucial dentro de la ciberseguridad, enfocada en la recolección, preservación, análisis y documentación de evidencias digitales provenientes del tráfico de red. Su objetivo principal es reconstruir eventos, identificar intrusiones, detectar malware y comprender el alcance de un incidente de seguridad.

Wireshark es la herramienta por excelencia para esta tarea. Es un analizador de protocolos de red gratuito y de código abierto que permite examinar el tráfico en tiempo real o analizar archivos de captura (.pcap) previamente guardados. Su interfaz gráfica intuitiva y sus potentes capacidades de filtrado y decodificación lo hacen indispensable para cualquier profesional de la seguridad.

🛠️ Instalación de Wireshark

Antes de sumergirnos en el análisis, necesitamos instalar Wireshark en nuestro sistema operativo. Es compatible con Windows, macOS y Linux.

Instalación en Windows

  1. Descarga: Visita el sitio web oficial de Wireshark (www.wireshark.org/download.html) y descarga el instalador para Windows (64-bit o 32-bit según tu sistema).
  2. Ejecuta el instalador: Abre el archivo .exe descargado.
  3. Sigue los pasos: Acepta los términos de licencia, elige los componentes a instalar (asegúrate de incluir Npcap, que es esencial para la captura de tráfico).
  4. Finaliza: Completa la instalación y Wireshark estará listo para usar.

Instalación en macOS

  1. Descarga: Descarga el instalador .dmg desde el sitio oficial de Wireshark.
  2. Monta la imagen: Abre el archivo .dmg.
  3. Arrastra: Arrastra el icono de Wireshark a tu carpeta de Aplicaciones.
  4. Instala Npcap: Es probable que Npcap ya esté incluido, pero si no, asegúrate de instalarlo por separado o a través del instalador de Wireshark.

Instalación en Linux (ejemplo para Debian/Ubuntu)

La instalación en Linux suele ser muy sencilla a través del gestor de paquetes.

sudo apt update
sudo apt install wireshark
🔥 Importante: Durante la instalación en Linux, se te preguntará si deseas permitir que usuarios que no sean superusuarios capturen paquetes. Es **altamente recomendable** seleccionar 'Sí' (Yes) para evitar tener que ejecutar Wireshark con `sudo` constantemente, lo cual es una mala práctica de seguridad. Si elegiste 'No' o quieres cambiarlo, puedes ejecutar: `sudo dpkg-reconfigure wireshark-common` y luego `sudo usermod -aG wireshark $USER` (reemplaza `$USER` con tu nombre de usuario). Reinicia tu sesión para que los cambios surtan efecto.

🎯 Conceptos Fundamentales de Redes para el Forense

Para realizar un análisis forense efectivo, es fundamental comprender cómo se organiza la comunicación en red. El modelo OSI y TCP/IP son pilares.

Modelo OSI (Open Systems Interconnection)

El modelo OSI divide la comunicación de red en siete capas, cada una con funciones específicas:

Capa OSIFunción PrincipalEjemplos de Protocolos
7. AplicaciónInteracción con el usuario y aplicacionesHTTP, FTP, SMTP, DNS
6. PresentaciónFormato y cifrado de datosJPEG, MPEG, SSL/TLS
5. SesiónMantenimiento de sesiones de comunicaciónNetBIOS, RPC
4. TransporteConexión de extremo a extremo, fiabilidadTCP, UDP
3. RedDireccionamiento lógico y enrutamientoIP, ICMP
2. Enlace de DatosAcceso al medio, direccionamiento físico (MAC)Ethernet, Wi-Fi
1. FísicaTransmisión de bits, medios físicosCableado, señales eléctricas

Modelo TCP/IP

El modelo TCP/IP es más práctico y ampliamente utilizado, condensando el modelo OSI en cuatro capas:

  • Aplicación: Combina las capas 5, 6 y 7 de OSI (HTTP, FTP, DNS).
  • Transporte: Capa 4 de OSI (TCP, UDP).
  • Internet: Capa 3 de OSI (IP, ICMP).
  • Acceso a la Red: Combina las capas 1 y 2 de OSI (Ethernet, Wi-Fi).
💡 Consejo: Wireshark muestra los protocolos apilados de abajo hacia arriba (Física -> Aplicación) en el panel de detalles del paquete, lo que te permite ver cómo los datos de una capa son encapsulados por la capa inferior.

🚀 Captura de Tráfico con Wireshark

Una vez instalado, podemos empezar a capturar.

Selección de la Interfaz

Al abrir Wireshark, verás una pantalla de bienvenida con una lista de interfaces de red. Necesitas seleccionar la interfaz por la que pasa el tráfico que quieres analizar.

  • Ethernet: Para conexiones por cable.
  • Wi-Fi: Para conexiones inalámbricas.
  • Loopback: Para tráfico local de tu propia máquina (ej. localhost).

Las interfaces activas mostrarán un pequeño gráfico de actividad.

Wireshark · Analizador de Red Seleccione una interfaz para comenzar la captura: Ethernet Conectado - 1 Gbps Tráfico alto Wi-Fi (802.11ac) Señal excelente Tráfico bajo Adapter for Loopback lo0 - Tráfico local Sin tráfico
📌 Nota: Si no ves ninguna interfaz, o las interfaces no muestran tráfico, asegúrate de que `Npcap` esté correctamente instalado y de tener los permisos necesarios (especialmente en Linux).

Inicio y Parada de la Captura

  1. Selecciona la interfaz: Haz clic en la interfaz que deseas monitorizar.
  2. Inicia la captura: Haz clic en el icono de la aleta de tiburón azul (Start capturing packets) o ve a Capture > Start.
  3. Genera tráfico: Navega por la web, envía un ping, o realiza cualquier actividad de red para generar paquetes.
  4. Detén la captura: Haz clic en el icono del cuadrado rojo (Stop capturing packets) o ve a Capture > Stop.

Guardar y Abrir Capturas

Es fundamental guardar las capturas para análisis posteriores y para preservar la evidencia.

  • Para guardar: File > Save o File > Save As.... El formato por defecto es .pcapng o .pcap.
  • Para abrir: File > Open y selecciona un archivo de captura existente.
💡 Consejo: Guarda las capturas con nombres descriptivos que incluyan la fecha, hora y una breve descripción del evento. Ej: `20231027_1430_AtaqueSQLi_Webserver.pcapng`

🔍 Filtrado de Tráfico para Análisis Forense

Una de las características más potentes de Wireshark son sus filtros. Sin ellos, navegar por miles o millones de paquetes sería imposible.

Hay dos tipos principales de filtros:

  1. Filtros de Captura (Capture Filters): Se aplican antes de que los paquetes sean guardados en el archivo .pcapng. Reducen el tamaño del archivo y el procesamiento. Se usan con la sintaxis de pcap (o libpcap/WinPcap).
  2. Filtros de Visualización (Display Filters): Se aplican después de que los paquetes han sido capturados y guardados. No alteran el archivo original, solo cambian lo que ves en la interfaz. Se usan con la sintaxis de Wireshark.

Sintaxis Básica de Filtros de Captura

Se escriben en el campo "Capture filter for selected interfaces..." antes de iniciar la captura.

Filtro de CapturaDescripción
host 192.168.1.100Tráfico hacia o desde la IP especificada
src host 192.168.1.100Tráfico originado desde la IP especificada
dst host 192.168.1.100Tráfico destinado a la IP especificada
port 80Tráfico en el puerto 80 (HTTP)
src port 80Tráfico originado desde el puerto 80
dst port 80Tráfico destinado al puerto 80
tcpSolo tráfico TCP
udpSolo tráfico UDP
icmpSolo tráfico ICMP (ping)
ether host 00:11:22:33:44:55Tráfico con la MAC especificada
net 192.168.1.0/24Tráfico dentro de la red 192.168.1.0 con máscara 24
host 192.168.1.100 and port 80Combinación de filtros

Sintaxis Básica de Filtros de Visualización

Se escriben en la barra de "Apply a display filter" en la parte superior de la ventana principal de Wireshark.

Filtro de VisualizaciónDescripción
ip.addr == 192.168.1.100Tráfico con la IP especificada (origen o destino)
ip.src == 192.168.1.100Tráfico con la IP de origen especificada
ip.dst == 192.168.1.100Tráfico con la IP de destino especificada
tcp.port == 80Tráfico en el puerto TCP 80
udp.port == 53Tráfico en el puerto UDP 53 (DNS)
httpMuestra solo tráfico HTTP
dnsMuestra solo tráfico DNS
ftpMuestra solo tráfico FTP
tcp.flags.syn == 1Muestra paquetes TCP SYN (inicio de conexión)
http.request.method == "GET"Solicitudes HTTP GET
ip.addr == 192.168.1.100 && tcp.port == 80Combinación de filtros (AND)
`tcp.port == 80
!arpMuestra todo excepto tráfico ARP
💡 Consejo: La barra de filtros de visualización de Wireshark cambia de color: **verde** si el filtro es válido, **rojo** si es inválido.

🕵️‍♂️ Decodificación y Análisis de Protocolos

Una vez que tienes el tráfico capturado y filtrado, el siguiente paso es entender lo que ves.

La Interfaz de Wireshark

Wireshark se divide en tres paneles principales:

  1. Panel de Lista de Paquetes (Packet List Pane): Muestra un resumen de cada paquete capturado (número, tiempo, origen, destino, protocolo, longitud, información).
  2. Panel de Detalles del Paquete (Packet Details Pane): Desglosa el paquete seleccionado en sus capas de protocolo (Ethernet, IP, TCP/UDP, HTTP, etc.), mostrando los campos y valores de cada protocolo.
  3. Panel de Bytes del Paquete (Packet Bytes Pane): Muestra el contenido binario sin procesar del paquete seleccionado, con su representación ASCII/Hexadecimal.
Wireshark: Analizador de Protocolos Panel Superior: Lista de Paquetes (Packet List) No. Tiempo Origen Destino Protocolo Info 128 4.521024 192.168.1.15 172.217.1.1 TLSv1.2 Application Data 129 4.522135 172.217.1.1 192.168.1.15 TCP 443 → 51221 [ACK] 130 4.523450 192.168.1.15 172.217.1.1 TCP 51221 → 443 [ACK] Panel Central: Detalles (Packet Details) ▸ Frame 128: 105 bytes on wire ▸ Ethernet II, Src: Apple_f2:8a:11, Dst: Router_01:5c ▾ Internet Protocol Version 4, Src: 192.168.1.15, Dst: 172.217.1.1 ▸ Transmission Control Protocol, Src Port: 51221, Dst Port: 443 Panel Inferior: Bytes (Packet Bytes) 0000 00 0c 29 4b f2 8a 00 50 56 c0 00 08 08 00 45 00 ..)K...PV.....E. 0010 00 5b 1f 11 40 00 40 06 b6 b3 c0 a8 01 0f ac d9 .[..@.@......... 0020 01 01 c8 15 01 bb d4 f7 24 c3 57 2a 3a 4a 80 18 ........$.W*:J.. Selección actualiza detalles

Siguiedo Streams TCP/UDP

En un análisis forense, a menudo queremos ver la conversación completa entre dos puntos. Wireshark permite seguir un "stream" (flujo) de conversación TCP o UDP.

  1. Selecciona un paquete: Elige cualquier paquete dentro de la conversación que te interese.
  2. Clic derecho: Haz clic derecho sobre el paquete.
  3. Sigue el flujo: Selecciona Follow > TCP Stream (o UDP Stream).

Esto abrirá una nueva ventana que muestra todo el tráfico de la conversación en formato legible (ASCII, EBCDIC, Hex, etc.), con la posibilidad de guardar el contenido. Esto es invaluable para extraer credenciales, datos transferidos o comandos ejecutados.

Identificación de Anomalías

El análisis forense busca desviaciones del comportamiento normal de la red. Aquí hay algunas anomalías comunes que Wireshark puede ayudar a detectar:

  • Scaneos de Puertos: Múltiples intentos de conexión a diferentes puertos en una máquina. Filtros como tcp.flags.syn == 1 && tcp.analysis.flags.retransmission && tcp.len == 0 o simplemente tcp.flags.syn==1 && !tcp.flags.ack (para SYN-ACK faltantes).
  • Inundaciones (Floods): Un gran volumen de tráfico de un tipo específico (ej. udp.port == 53 && ip.src == <attacker_ip>).
  • Conexiones no Autorizadas: Tráfico a puertos o IPs inusuales (ej. ip.dst == <internal_ip> && !(tcp.port == 80 || tcp.port == 443 || tcp.port == 22)).
  • Transferencia de Archivos Sospechosos: Inspeccionar flujos HTTP o FTP en busca de archivos ejecutables inesperados.
  • Uso de Protocolos no Encriptados: Captura de credenciales en texto plano en protocolos como FTP, Telnet o HTTP.
  • Reintentos y Errores: Un alto número de retransmisiones TCP, sumas de comprobación erróneas (tcp.checksum.status == 2), o errores ICMP (icmp.type == 3 - Destino inalcanzable) pueden indicar problemas o ataques.
⚠️ Advertencia: El análisis forense de redes requiere contexto. Lo que parece anómalo en un entorno puede ser normal en otro. Conoce tu red.

📈 Estadísticas y Herramientas Adicionales

Wireshark ofrece varias herramientas para obtener una visión general y profundizar en el análisis.

Estadísticas de la Captura

  • Statistics > Summary: Muestra un resumen general de la captura (paquetes totales, bytes, tiempo, etc.).
  • Statistics > Protocol Hierarchy: Una visión en árbol de los protocolos presentes en la captura y el porcentaje de tráfico que representan. Muy útil para identificar protocolos inusuales o predominantes.
  • Statistics > Conversations: Muestra las conversaciones entre pares de IPs y/o puertos (Ethernet, IPv4, IPv6, TCP, UDP). Permite ordenar por número de paquetes, bytes, etc. y aplicar filtros directamente desde aquí.
  • Statistics > Endpoint List: Lista todas las direcciones IP, MAC o puertos únicos que aparecen en la captura, con sus estadísticas.

Exportar Objetos HTTP/SMB

Si sospechas que se han transferido archivos a través de HTTP o SMB, Wireshark puede extraerlos directamente de la captura.

  1. File > Export Objects > HTTP (o SMB).
  2. Selecciona los archivos que deseas guardar y la ubicación.

Esto es increíblemente útil para recuperar malware, documentos o cualquier otro archivo que haya sido transmitido por estos protocolos.

Gráficos de E/S (IO Graphs)

Statistics > IO Graphs permite visualizar el tráfico de red a lo largo del tiempo. Puedes aplicar filtros específicos a los gráficos para ver patrones de tráfico, picos de actividad, o periodos de inactividad. Esto es excelente para identificar momentos específicos de un ataque o cambios repentinos en el comportamiento de la red.

📝 Documentación y Reporte

El último paso en cualquier análisis forense es la documentación exhaustiva de los hallazgos. Un buen informe debe incluir:

  • Contexto del Incidente: Qué ocurrió, cuándo se detectó, qué sistemas se vieron afectados.
  • Herramientas Utilizadas: Wireshark, versiones, filtros aplicados.
  • Evidencia Recopilada: Descripciones de los paquetes clave, capturas de pantalla de Wireshark, flujos TCP/UDP extraídos, objetos exportados.
  • Análisis Detallado: Explicación de las anomalías encontradas, interpretación de los datos, reconstrucción de la línea de tiempo del incidente.
  • Conclusiones y Recomendaciones: Cuál fue la causa raíz, el alcance del incidente, cómo prevenir futuros ataques.
📌 Nota: Siempre preserva las capturas originales (`.pcapng`) sin modificaciones. Trabaja con copias para el análisis.
FAQ: ¿Qué diferencia hay entre tcpdump y Wireshark? `tcpdump` es una herramienta de línea de comandos para capturar y analizar tráfico de red. Es muy potente para scripting y para entornos donde no hay interfaz gráfica. Wireshark es una herramienta gráfica que utiliza `libpcap` (la misma librería que `tcpdump`) para la captura, pero ofrece una interfaz de usuario mucho más rica para la visualización, filtrado avanzado y decodificación de protocolos, lo que la hace ideal para análisis interactivos y profundos.

El análisis forense de redes con Wireshark es una habilidad indispensable en ciberseguridad. Dominar sus filtros, la decodificación de protocolos y el uso de sus herramientas estadísticas te permitirá desentrañar los misterios del tráfico de red y fortalecer tus capacidades de respuesta a incidentes. La práctica constante con escenarios reales o simulados es clave para desarrollar esta experiencia.

Tutoriales relacionados

Comentarios (0)

Aún no hay comentarios. ¡Sé el primero!