En el mundo de la ciberseguridad, Wireshark es una de las herramientas más poderosas y accesibles para el análisis de tráfico de red. Gratuita, de código abierto y extremadamente versátil, permite a analistas y profesionales de seguridad inspeccionar lo que ocurre en una red en tiempo real o a través de capturas guardadas y por eso en este tutorial veremos cómo analizar tráfico de red con wireshark.
¿Qué es Wireshark?
Wireshark es un analizador de protocolos de red que permite capturar y examinar paquetes de datos que pasan por una red. Es utilizado para:
- Diagnóstico de redes
- Análisis de rendimiento
- Detección de intrusiones
- Investigación forense digital
- Análisis de paquetes
Instalación y primeros pasos
Wireshark está disponible para Windows, macOS y Linux, y puedes descargarlo desde su sitio oficial.
Además, viene preinstalado en Kali Linux, una distribución especializada en ciberseguridad. Te dejo el enlace donde explico cómo montar una máquina con Kali.
Una vez instalado, selecciona la interfaz de red que deseas monitorear (por ejemplo, Wi-Fi o Ethernet) y haz clic en «Start capturing packets» para comenzar la captura. Ahora bien vamos a ver unos ejemplos prácticos.
Detección de contraseñas en texto plano
Escenario: Un atacante está esnifando tráfico en una red pública donde un usuario accede a un sitio web sin HTTPS.
Pasos:
- Inicia la captura en Wireshark.
Filtra por protocolo HTTP:
http- Busca en los paquetes campos como
username= o password=en el contenido del paquete.
Si el sitio no usa cifrado, podrías ver las credenciales en texto plano. Esto demuestra la importancia del uso de HTTPS.
Identificación de escaneo de puertos
Escenario: Sospechas que alguien está escaneando tu red en busca de puertos abiertos.
Pasos:
Filtra por protocolo TCP:
tcp.flags.syn == 1 and tcp.flags.ack == 0- Observa si hay múltiples intentos de conexión a diferentes puertos desde una misma IP.
Un patrón de SYN sin ACK puede indicar un escaneo de puertos tipo SYN scan (común en herramientas como Nmap).
Análisis de DNS sospechoso
Escenario: Detectar si un malware está utilizando DNS para comunicarse con su servidor de comando y control (C2).
Pasos:
Filtra por protocolo DNS:
dns- Busca dominios extraños o generados aleatoriamente (DGA).
- Verifica si hay muchas consultas fallidas o a dominios no comunes.
Esto puede indicar actividad maliciosa o exfiltración de datos.
Otros posibles usos de Wireshark
- Usa filtros para reducir el ruido y enfocarte en lo relevante.
- Guarda capturas para análisis posterior o para compartir con tu equipo.
- Complementa Wireshark con herramientas como Snort, Suricata o Zeek para detección automatizada.
Conclusión
Wireshark es una herramienta esencial en el arsenal de cualquier profesional de ciberseguridad. Su capacidad para revelar lo que ocurre en la red en tiempo real lo convierte en un aliado poderoso para detectar amenazas, investigar incidentes y fortalecer la seguridad de los sistemas.
¿Has utilizado Wireshark en tus proyectos de ciberseguridad? Cuéntanos tu experiencia o comparte tus consejos en los comentarios. ¡Nos encantaría leerte!
