ES EN    Do you have an active incident? Contact DFIR

Análisis de Tráfico con Wireshark

Dec 30, 2025 | Uncategorized

Inspección profunda de paquetes (DPI) para detección avanzada de amenazas

Autor: Erick Israel Aguilar Paau

Introducción

El análisis de tráfico de red es una de las competencias más prácticas y útiles para un analista de ciberseguridad. A diferencia de otras fuentes de información más abstractas, el tráfico de red muestra “lo que realmente está pasando” entre sistemas, usuarios, servicios y aplicaciones. Desde esa perspectiva, trabajar con capturas de paquetes permite detectar amenazas de forma temprana, reconstruir incidentes con precisión y validar hipótesis forenses con un nivel de detalle que pocas herramientas pueden ofrecer.

Para el profesional certificado en CompTIA CySA+, dominar una herramienta como Wireshark resulta casi obligatorio. No se trata únicamente de “abrir un .pcap”, sino de saber interpretar patrones, filtrar ruido, detectar TTPs (Tactics, Techniques and Procedures) de actores maliciosos y, sobre todo, traducir esos hallazgos en decisiones accionables dentro del SOC.

Wireshark es un analizador de protocolos que realiza análisis profundo de paquetes. Esto significa que no se queda en la información superficial de cabeceras, sino que permite ver, hasta donde el cifrado lo permite, qué está ocurriendo en las diferentes capas del modelo OSI. Combinado con marcos como MITRE ATT&CK y con plataformas XDR y SOAR, se convierte en una pieza clave para operaciones de seguridad modernas.

Este artículo recorre los fundamentos del análisis de tráfico, las buenas prácticas para capturar paquetes, el uso eficaz de filtros, varios casos de uso habituales y su integración con la recolección y enriquecimiento de evidencias en apoyo a soluciones como XDR y SOAR, todo ello desde el punto de vista de un analista CySA+ que necesita resultados prácticos en el día a día.

Fundamentos del análisis de tráfico

El tráfico de red está compuesto por paquetes que viajan encapsulados en diferentes capas (física, enlace, red, transporte, aplicación). Cada una aporta pistas sobre el tipo de comunicación, su origen, su destino y su posible intención. Analizar ese tráfico permite, entre otras cosas:

  1. Detectar conexiones no autorizadas o no documentadas.

Por ejemplo, servicios expuestos sin aprobación, túneles improvisados o conexiones hacia destinos de alto riesgo.

  1. Identificar técnicas de reconocimiento.

Escaneos de puertos, fingerprinting de sistemas operativos, barridos de servicios o consultas DNS inusuales suelen dejar rastros evidentes en una captura.

  1. Correlacionar eventos con indicadores de compromiso (IoCs).

Una IP, un dominio o un patrón de tráfico observado en Wireshark puede confirmarse contra feeds de Threat Intelligence, reforzando el análisis.

  1. Reconstruir ataques complejos.

Exfiltración de datos, túneles cifrados, beaconing persistente, uso de protocolos inusuales o abuso de servicios legítimos quedan reflejados en patrones temporales y de volumen.

Wireshark actúa como un analizador pasivo: no altera el tráfico ni interviene en el flujo, simplemente escucha, captura y decodifica. Esto lo hace ideal para análisis forense, revisiones post incidente y ejercicios de threat hunting. Además del detalle puro de los paquetes, Wireshark permite detectar:

  • Beaconing C2 (T1071.001, T1041) mediante intervalos repetitivos y constantes de comunicación.
  • Anomalías en TLS, como JA3 hashes atípicos (T1573), que pueden revelar uso de librerías o clientes TLS poco comunes.
  • Reconocimiento pasivo (T1046) usando campos como TTL, MSS, opciones TCP u otros indicadores propios de ciertos sistemas operativos.

Cuando se combina esa información con datos del SIEM o del XDR, el análisis de tráfico deja de ser algo puntual y pasa a formar parte de un contexto mucho más amplio.

Captura de tráfico con Wireshark

Procedimiento básico

Aunque Wireshark ofrece muchas opciones avanzadas, un flujo de trabajo típico para capturar tráfico suele seguir estos pasos:

  1. Seleccionar la interfaz adecuada.
    Puede ser una interfaz física (eth0, wlan0), un adaptador virtual o una interfaz dedicada a un SPAN/mirror port.
  2. Definir filtros de captura (opcional pero recomendable).
    Esto ayuda a limitar el volumen de datos y enfocarse en lo que realmente interesa (por ejemplo, un puerto, una IP o un rango de direcciones).
  3. Iniciar la captura durante el periodo relevante.
    El tiempo dependerá del tipo de incidente o comportamiento sospechoso que se quiera observar.
  4. Detener la captura y guardar el resultado.
    Normalmente en formato .pcap o .pcapng para permitir análisis posteriores, intercambio con otros analistas o almacenamiento como evidencia.

Recomendaciones prácticas

Para evitar problemas y obtener capturas útiles, conviene tener presentes algunas buenas prácticas:

  • Ejecutar Wireshark con privilegios adecuados (administrador/root), siguiendo siempre las políticas de la organización.
  • Realizar capturas en entornos controlados o segmentados si se trata de pruebas, laboratorios o ejercicios de entrenamiento.
  • Asegurar la sincronización horaria con NTP; esto facilita la correlación de eventos entre Wireshark, SIEM, XDR y otras fuentes.
  • Utilizar modo promiscuo para ver tráfico no dirigido específicamente a la interfaz, cuando el diseño de la red lo permita.
  • En redes WiFi, utilizar monitor mode para capturar tráfico 802.11 completo y no sólo tráfico ya asociado.

La calidad del análisis dependerá en gran medida de la calidad de la captura: una buena elección de interfaz, filtros razonables y tiempos adecuados suelen marcar la diferencia.

Filtros y análisis eficiente

Quien haya abierto alguna vez un .pcap sin filtros sabe lo fácil que es perderse entre miles o millones de paquetes. Por eso, el uso de filtros es una habilidad esencial para un analista.

Wireshark admite dos tipos principales de filtros:

Filtros de captura (Capture Filters)

Se aplican antes de almacenar paquetes. Su objetivo es limitar desde el inicio qué tipo de tráfico se quiere guardar, evitando que el archivo crezca innecesariamente.

Ejemplo:

Prompt

tcp port 443

Con este filtro solo se almacenará tráfico TCP que use el puerto 443, típicamente HTTPS.

Filtros de visualización (Display Filters)

Se aplican después, durante el análisis interactivo. No modifican el archivo, solo cambian qué paquetes se muestran en pantalla.

Ejemplos útiles:

Prompt

·       ip.addr == 192.168.1.1  // tráfico hacia o desde una IP específica.

·       http.request.method == “POST” // posible envío de datos.

·       tcp.flags.syn == 1 && tcp.flags.ack == 0 // detección de escaneo SYN.

·       tls.handshake.type == 1 // detección de inicio de handshake

·       frame.time_delta_displayed > 1 && frame.time_delta_displayed < 2 // Detección de comunicaciones periódicas (C2 beaconing)

·       dns.qry.name contains “xyz” && dns.qry.name.len > 50 // Detección de DNS tunneling

Usar filtros de manera estratégica reduce la carga cognitiva, acelera el análisis y mejora la probabilidad de identificar comportamientos maliciosos sin perderse en el ruido.

Casos de uso

Escenario 1: Exfiltración de datos vía HTTP

Un equipo del SOC recibe alerta de posible exfiltración desde un endpoint comprometido. Se realiza una captura en el host o en el segmento de red relevante.

  • Filtro clave:

Prompt

http.request.method == “POST”
  • Observaciones típicas en Wireshark:
    • Múltiples peticiones POST hacia un mismo dominio o IP.
    • Tamaños de payload crecientes o poco habituales para el uso normal de la aplicación.
  • Análisis profundo:
    • Uso de “Follow TCP Stream” para reconstruir las conversaciones y revisar el contenido (cuando no está cifrado).
    • Identificación de patrones, nombres de archivo, estructuras de datos o indicadores de compresión/ofuscación.
  • Correlación:
    • Verificación de dominio/IP en el XDR y en plataformas de Threat Intelligence como MISP o VirusTotal.
    • Revisión de si ese dominio aparece en otros eventos del SIEM o en otros endpoints.
  • Respuesta automatizada (SOAR):
    • Crear una regla que bloquee el dominio en el proxy o firewall.
    • Aislar el host comprometido.
    • Abrir un caso en el ITSM con la evidencia adjunta y notificar al equipo de respuesta a incidentes.

Escenario 2: Ataque de ARP Spoofing

Durante una auditoría interna, se identifican múltiples conflictos en la tabla ARP, evidenciando manipulación de las direcciones MAC.

  • Filtro clave:

Prompt

arp.opcode == 2
  • Lo que suele mostrar Wireshark:
    • Múltiples ARP Reply que asocian una misma IP a diferentes direcciones MAC.
    • Comportamientos que difieren de lo habitual en la red, o procedentes de hosts que no deberían responder a ARP.
  • Correlación con XDR:
    • Identificación del host que envía las tramas sospechosas.
    • Verificación de si el mismo equipo muestra otras actividades anómalas (escaneos, conexiones externas inusuales, etc.).
  • Playbook SOAR típico:
    • Habilitar o revisar DHCP snooping, dynamic ARP inspection y port security en los switches.
    • Notificar a redes e infraestructura.
    • Documentar el hallazgo y ajustar políticas de segmentación si corresponde.

Escenario 3: Beaconing C2 sobre HTTPS

Se sospecha que un endpoint está comunicándose con un servidor de Comando y Control (C2) a través de HTTPS para evadir controles.

Indicadores frecuentes:

  1. Conexiones salientes a intervalos regulares (cada 60–120 segundos).
  2. JA3 hash inusual o no reconocido en el entorno.
  3. Dominio creado recientemente o con reputación baja (posible DGA o infraestructura temporal).

Filtro útil:

Prompt
tls.handshake.extensions_server_name == “dominio-sospechoso.com”
  • Acciones del analista:
    • Revisar la periodicidad en “Statistics → I/O Graph” para confirmar el patrón de beaconing.
    • Consultar el dominio en fuentes de inteligencia de amenazas.
    • Coordinar con SOAR para:
    • Bloquear el dominio.
    • Aislar el endpoint.
    • Abrir un incidente formal y adjuntar la captura como evidencia.

Incorporar con plataformas XDR y SOAR

XDR

La incorporación de Wireshark en el análisis lleva la investigación al siguiente nivel. En lugar de ver únicamente paquetes, el analista puede:

  • Enlazar tráfico con dispositivos específicos, usuarios y sesiones.
  • Correlacionar patrones encontrados en capturas con otros eventos de red, endpoint o nube.
  • Priorizar alertas usando información de UEBA y Threat Intelligence.

Esto permite, por ejemplo, tomar un hallazgo puntual en Wireshark (un dominio, una IP, un patrón o huellas TLS tipo JA3) y verificar rápidamente si aparece en otros equipos o en otros segmentos de la red.

SOAR

Las plataformas SOAR (Security Orchestration, Automation and Response) permiten automatizar respuestas a partir de hallazgos confirmados por fuentes de detección estructuradas, como SIEM, XDR o soluciones de Network Detection and Response (NDR). Su objetivo principal es reducir el tiempo de respuesta y estandarizar acciones frente a incidentes recurrentes o de alto impacto.

En un SOC moderno, el SOAR puede:

  • Ejecutar acciones automáticas o semiautomáticas, como aislamiento de hosts, bloqueo de direcciones IP o dominios en firewalls, y creación o actualización de tickets, una vez que una alerta ha sido validada o enriquecida.
  • Integrarse mediante APIs, conectores o scripts con plataformas que generan eventos de forma continua y estructurada (SIEM, XDR, NDR), permitiendo que estos hallazgos disparen playbooks de respuesta predefinidos.
  • Orquestar flujos de análisis complementarios, como la recolección automática de artefactos (logs, capturas de red, dumps de memoria) asociados a una alerta, adjuntándolos al caso para análisis posterior.

En este contexto, Wireshark no actúa como una fuente directa de eventos, sino como una herramienta de apoyo para análisis profundo. Las capturas de red pueden ser generadas por sensores, taps o soluciones NDR y posteriormente analizadas manualmente con Wireshark cuando se requiere inspección detallada a nivel de paquete. El valor del SOAR reside en automatizar la obtención y el manejo de estas evidencias, no en convertir a Wireshark en un sistema de detección.

Sinergia Wireshark + XDR + SOAR

En conjunto, se consigue:

  • Visibilidad detallada en paquetes.
  • Contexto operativo a través de XDR.
  • Respuesta automatizada y orquestada mediante SOAR.

En la práctica, esto se traduce en menos tiempo invertido en tareas repetitivas, mejor calidad de las investigaciones y una mayor capacidad para contener amenazas antes de que escalen.

6. Buenas prácticas profesionales para el análisis de tráfico

Para aprovechar al máximo Wireshark en un entorno profesional, es recomendable:

  1. Capturas eficientes.

Aplicar filtros desde el inicio evita archivos inmanejables y se enfoca en el problema real.

  1. Documentación clara.

Guardar los .pcap con nombres significativos, fecha, rango horario, origen/destino o referencia al caso facilita el trabajo posterior.

  1. Establecer un baseline de tráfico.

Conocer cómo se ve el tráfico “normal” de la red ayuda a identificar desviaciones sospechosas.

  1. Mantener entornos de análisis aislados.

Realizar pruebas y análisis en máquinas o laboratorios controlados disminuye el riesgo de fugas o contaminación de datos.

  1. Correlacionar siempre con otras fuentes.

Lo visto en Wireshark debe compararse con información de SIEM, XDR, EDR o registros de aplicaciones para construir una visión completa.

  1. Generar reportes estructurados.

Incluir capturas de pantalla, filtros utilizados, línea de tiempo, hallazgos clave, IoCs y recomendaciones facilita la comunicación con otros equipos (SOC, redes, gestión, auditoría).

Conclusión

Wireshark es mucho más que un visor de paquetes: es una herramienta que conecta el mundo del monitoreo con el threat hunting, el análisis forense y la respuesta a incidentes. Para un analista CySA+, saber usarlo de forma estratégica marca una diferencia clara en la capacidad para detectar patrones avanzados como beaconing C2, túneles DNS, manipulación ARP o exfiltración encubierta.

Cuando sus hallazgos se integran con plataformas SIEM, XDR y SOAR, el análisis de tráfico deja de ser una tarea aislada y se convierte en un componente central de la defensa moderna. El resultado es una operación de seguridad más informada, más rápida y mejor preparada para enfrentar amenazas complejas y persistentes.