Wireshark muestra qué paquetes atraviesan la interfaz de red, con qué direcciones se comunica el equipo, dónde se pierden las respuestas, por qué un sitio no carga y qué conexiones parecen sospechosas. La herramienta no «arregla la red» ni ofrece un diagnóstico listo con un solo botón, pero ayuda a comprobar hipótesis concretas: si responde el DNS, si se estableció la sesión TCP, si hay retransmisiones o si la solicitud llega al servidor correcto.
Antes de empezar hay que entender la diferencia entre dos tipos de filtros. Los capture filters se establecen antes de iniciar la captura para que Wireshark registre solo una parte del tráfico. Los display filters se aplican tras la captura para mostrar los paquetes deseados en el archivo ya recogido. Estos filtros usan sintaxis distinta.
Trabaje solo con su propio tráfico, una red de pruebas o una red donde tenga permiso para analizar. Interceptar datos de terceros puede violar la ley, las políticas internas de la empresa y las normas de protección de datos personales. En Rusia, tenga en cuenta la legislación de la Federación Rusa y no utilice Wireshark para acceso no autorizado, vigilancia o recopilación de información confidencial.
Instalación de Wireshark y captura básica de paquetes
Descargue Wireshark desde la web oficial del proyecto. En Windows el instalador suele ofrecer Npcap, sin el cual la aplicación no podrá capturar paquetes correctamente. En Linux el paquete suele instalarse mediante el gestor de paquetes, pero puede que el usuario necesite permisos para capturar tráfico. En macOS Wireshark se instala como una aplicación normal, pero el acceso a las interfaces de red también depende de los permisos.
La frase «iniciar la captura» significa una acción concreta: abra Wireshark, seleccione la interfaz de red por la que circula el tráfico y empiece a grabar paquetes. En la pantalla de inicio junto a la interfaz activa se mueve un pequeño gráfico. Para un portátil por Wi‑Fi normalmente se necesita la interfaz Wi‑Fi, para conexión por cable – Ethernet. Haga doble clic en la interfaz o selecciónela y pulse el botón azul con la aleta de tiburón. Después de reproducir el problema pulse el botón rojo Stop. Luego guarde el archivo vía File – Save As en formato pcapng.
No inicie la captura «por si acaso» en todas las interfaces ni mantenga la grabación mucho tiempo. Cuanto más breve sea el fragmento, más fácil encontrar la causa. Un buen orden de trabajo: cierre programas innecesarios, pulse Start, reproduzca el problema, pulse Stop, aplique un display filter y examine la secuencia de paquetes.
Escenarios paso a paso de Wireshark para DNS, HTTP, TCP, latencias y seguridad
Sitio no carga: comprobar DNS
Primero inicie la captura. Para ello abra Wireshark, seleccione la interfaz activa Wi‑Fi o Ethernet y pulse el botón azul Start. No abra más sitios por ahora para que el archivo tenga menos ruido. Tras iniciar la captura abra el sitio problemático en el navegador y espere el error o la carga prolongada. Después vuelva a Wireshark y pulse el botón rojo Stop.
En la barra de display filter escriba dns y pulse Enter. Busque la consulta al dominio correspondiente. Compruebe si hay respuesta del servidor DNS, qué dirección IP devolvió y si hay error NXDOMAIN. Si las consultas DNS salen pero no hay respuestas, el problema puede estar en el servidor DNS, la VPN, el cortafuegos, el enrutamiento o la filtración del proveedor.
Si hay respuesta DNS, copie la dirección IP obtenida y aplique el filtro ip.addr == 203.0.113.10 sustituyendo la dirección real. Así comprobará si la conexión fue hacia el servidor tras la respuesta DNS. Cuando DNS funciona pero no se inicia la conexión TCP, hay que buscar la causa fuera de la resolución de nombres.
Comprobar si se establece la conexión TCP
Inicie la captura del mismo modo: seleccione la interfaz con el gráfico activo, pulse Start, reproduzca inmediatamente el problema en la aplicación o el navegador y luego pulse Stop. Si conoce la dirección IP del servidor, puede antes de empezar indicar un capture filter host 203.0.113.10 para que Wireshark registre solo el tráfico de esa dirección. Si no está seguro, es mejor no usar capture filter y filtrar los paquetes después.
Tras detener la captura aplique el display filter ip.addr == 203.0.113.10 and tcp. El inicio normal de una conexión TCP aparece como SYN, SYN/ACK, ACK. Si ve SYN repetidos sin SYN/ACK, el cliente envía la petición pero no recibe respuesta. Posibles causas: el servidor está inaccesible, el puerto está bloqueado por un filtro, el paquete se pierde en el trayecto o la ruta está mal configurada.
Si en lugar de SYN/ACK llega un RST, la conexión la rechaza el servidor o un dispositivo cercano a él. Para comprobar un puerto concreto use tcp.port == 443, tcp.port == 80 u otro puerto necesario. No saque conclusiones por un solo paquete: revise toda la secuencia desde el primer SYN hasta el error.
Página o aplicación lenta
Inicie la captura antes de abrir la página lenta o repetir la acción en la aplicación. En la práctica esto significa: pulse Start en Wireshark, inmediatamente realice la acción o abra la página, espere a que termine la carga o se produzca el bloqueo y luego pulse Stop. Para este tipo de tareas es especialmente perjudicial una captura larga, porque las conexiones en segundo plano ocultan el problema.
Primero aplique el filtro dns y compruebe si se consume tiempo en la resolución de nombres. Luego aplique tcp.analysis.retransmission. Las retransmisiones indican pérdidas, sobrecarga del canal, problemas de Wi‑Fi o una ruta inestable. El filtro tcp.analysis.lost_segment ayuda a ver segmentos omitidos, y tcp.analysis.ack_rtt es útil para evaluar las latencias en el intercambio TCP.
Abra Statistics – Conversations y ordene las conexiones TCP por Duration o Bytes. Así resulta más fácil encontrar la conexión que tardó más o transmitió más datos. Seleccione un paquete de la conexión sospechosa, haga clic con el botón derecho y elija Follow – TCP Stream. Wireshark reunirá el flujo en un diálogo si el protocolo permite leerlo.
Ver solicitudes HTTP
Use este escenario solo en un entorno de pruebas o con su propio tráfico. Inicie la captura: seleccione la interfaz, pulse Start, abra un sitio de prueba por HTTP, realice la acción necesaria y detenga la grabación con Stop. Para HTTPS este método no mostrará la URL completa, las cookies ni el cuerpo de la solicitud sin las claves de descifrado, porque el contenido está protegido por TLS.
Tras detener la captura escriba en el display filter http.request. En la tabla de paquetes se verán las solicitudes HTTP. En el panel intermedio despliegue Hypertext Transfer Protocol y consulte el método, Host, Request URI, User-Agent y otros encabezados. Para HTTP sin cifrar puede hacer clic con el botón derecho sobre el paquete y elegir Follow – HTTP Stream o Follow – TCP Stream.
Si el sitio funciona por HTTPS use los filtros tls, tls.handshake o tcp.port == 443. Wireshark suele mostrar direcciones IP, el apretón de manos TLS, parte de los datos del certificado y, en algunos casos, el nombre del servidor mediante SNI. El contenido de una solicitud HTTPS sin condiciones especiales no será visible, y eso es un comportamiento normal.
Actividad de red sospechosa
Antes de empezar obtenga permiso del propietario del sistema o del administrador. Inicie una captura breve: seleccione la interfaz, pulse Start, espere 1–3 minutos en el momento de la actividad sospechosa y luego pulse Stop. Si la actividad es rara, es mejor consultar simultáneamente los registros EDR, proxy, DNS o del cortafuegos, porque un solo pcap no siempre registra el evento relevante.
Abra Statistics – Endpoints y Statistics – Conversations. Busque direcciones IP externas desconocidas, puertos inusuales, conexiones demasiado frecuentes, grandes volúmenes de datos salientes o consultas regulares a dominios extraños. Luego aplique filtros como dns, http.request, tls.handshake.extensions_server_name, icmp, tcp.flags.syn == 1 and tcp.flags.ack == 0.
Wireshark no prueba por sí solo una infección. La traza de paquetes debe correlacionarse con los procesos en la máquina, los registros de seguridad y los datos de DNS, proxy y EDR. Un dominio desconocido puede ser una CDN o telemetría legítima, y los SYN frecuentes pueden ser resultado de un escaneo normal dentro de una red corporativa.
Enviar pcap a un colega sin datos innecesarios
Si el problema ya está registrado, no es necesario iniciar una nueva captura. Abra el archivo existente vía File – Open. Si hace falta repetir la recolección, inicie la captura de forma habitual: seleccione la interfaz, pulse Start, reproduzca el problema y pulse Stop. Luego aplique un display filter lo más restrictivo posible, por ejemplo ip.addr == 192.168.1.25 and dns o tcp.port == 443 and ip.addr == 203.0.113.10.
Tras filtrar, elija File – Export Specified Packets y guarde solo los displayed packets. Antes de enviar, compruebe que el archivo no contiene datos personales, direcciones internas, tokens, cookies, logins, contraseñas o contenido de protocolos sin cifrar. Para publicación pública o envío fuera de la empresa conviene anonimizar el archivo con herramientas específicas y coordinar la transferencia con las personas responsables de seguridad.
Errores frecuentes
Los principiantes suelen introducir un capture filter en la barra de display filter. Por ejemplo, tcp port 80 es adecuado para capture filter, mientras que después de la captura se necesita tcp.port == 80. Otro error común es grabar durante demasiado tiempo. Para diagnóstico normalmente basta una grabación corta en la que se vea claramente la acción del usuario y la reacción de la red.
| Tarea | Display filter | Qué revisar |
|---|---|---|
| Consultas DNS |
dns
|
Dominio, respuesta, código de error, servidor DNS |
| Tráfico de un único host |
ip.addr == 192.168.1.10
|
Todos los paquetes entrantes y salientes del equipo |
| HTTPS |
tcp.port == 443 or tls
|
Negociación TLS, SNI, errores de conexión |
| Pérdidas y retransmisiones |
tcp.analysis.retransmission
|
Retransmisiones y signos de un canal inestable |
| Solicitudes HTTP |
http.request
|
Método, Host, URI, encabezados |
Preguntas frecuentes
¿Qué significa «capturar tráfico» en Wireshark?
Capturar tráfico significa seleccionar una interfaz de red y grabar los paquetes que pasan por ella. En Wireshark se elige Wi‑Fi o Ethernet y se pulsa Start. Tras la acción necesaria se detiene la grabación con Stop y se analizan los paquetes recogidos.
¿Por qué Wireshark no muestra el tráfico de otros dispositivos en Wi‑Fi?
El modo normal del adaptador de red muestra sobre todo el tráfico de su máquina, broadcast y multicast. Para ver tráfico Wi‑Fi de otros equipos hacen falta condiciones especiales: un adaptador compatible, modo monitor, claves de la red y autorización legal. En redes corporativas se usan con más frecuencia puertos mirror del switch, TAP o sensores de red.
¿Se pueden ver contraseñas con Wireshark?
En protocolos sin cifrar como HTTP, FTP o Telnet, los datos sensibles pueden aparecer en el pcap en texto claro. En HTTPS el contenido está protegido por TLS, por lo que Wireshark normalmente no mostrará contraseñas, cookies ni el cuerpo de la solicitud sin las claves de descifrado. Interceptar credenciales ajenas es ilegal y peligroso.
¿Qué formato es mejor: pcap o pcapng?
Para el trabajo habitual en Wireshark resulta más cómodo pcapng, porque el formato almacena más metadatos. pcap se elige cuando el archivo debe abrirse en herramientas antiguas o cuando el receptor lo solicita.
