Reciban un saludo. Hoy quiero compartirles algo que a mí mismo me hacía falta: una metodología paso a paso para analizar tráfico de red con Wireshark. Busqué mucho una guía así —ese “por dónde arranco” cuando abres una captura— y no la encontré. Hay cientos, quizá miles de documentos sobre cómo usar Wireshark y filtrar tráfico, pero no sobre el método. Así que decidí crear uno que beneficie a la comunidad. Son 8 pasos, sencillos pero efectivos. Vamos a verlos.
Importante: si vas a analizar tráfico de malware, hazlo siempre en una máquina virtual aislada y desconectada de tu red. Las muestras son peligrosas; protégete.
¿Qué es Wireshark?
Wireshark (wireshark.org) es un sniffer: una herramienta que captura y disecciona el tráfico de una red, mostrándote cada paquete que circula. Para mí es la herramienta por excelencia del análisis de tráfico (también existe su versión de consola, tshark). Se usa para threat hunting, análisis de malware y cómputo forense. El problema es que, cuando abres una captura con miles de paquetes, no siempre sabes por dónde empezar. Para eso nació esta metodología.
De dónde sacar tráfico para practicar
Para practicar uso malware-traffic-analysis.net: tiene capturas reales de todo tipo de malware. Los archivos vienen protegidos con contraseña (normalmente infected_AAAAMMDD), precisamente para que no te infectes por error. En el video trabajo con una muestra reciente de Latrodectus.
La metodología: 8 pasos
1. Captura del tráfico
Wireshark puede capturar en tiempo real (doble clic en la interfaz, por ejemplo eth0) o abrir una captura ya hecha desde File → Open. Para análisis forense, lo normal es abrir un .pcap existente.
2. Analiza la jerarquía de protocolos
Ve a Statistics → Protocol Hierarchy. Aquí entiendes qué protocolos dominan: ¿es tráfico DNS, HTTP, cifrado (TLS), compartición de archivos (SMB)…? Esto importa porque una repetición constante de cierto tipo de tráfico puede ser un indicador de ataque (IOA): una denegación de servicio, un ataque de fuerza bruta o un escaneo de puertos.
3. Resuelve las direcciones
Statistics → Resolved Addresses. Wireshark te muestra las direcciones MAC de las máquinas y las URLs/dominios del tráfico. Ordena y busca dominios raros o externos: si conoces tus dominios internos, los externos sospechosos saltan a la vista (puedes filtrar por .com, por ejemplo).
4. Conversaciones y primeros filtros (el paso clave)
Statistics → Conversations te muestra la interacción entre cada par de direcciones. Y aquí va el consejo que más me ha funcionado en toda mi trayectoria: ordena por tamaño (bytes). ¿Por qué? Porque si te enviaron un malware, normalmente será un archivo relativamente grande que resalta entre el resto. Cuando identifiques ese paquete grandote, mira de dónde viene (interna ↔ externa) y aplícalo como filtro con clic derecho.
5. Filtra por protocolos y puertos específicos
Continúa afinando: filtra por dns, http, o por puertos (tcp.port == 443 para TLS). Busca puertos inusuales. Sobre cualquier paquete, clic derecho → Follow → TCP Stream para ver la conversación completa. Los filtros de Wireshark son lo más potente y flexible de la herramienta.
6. Exporta los objetos
File → Export Objects → HTTP (también IMF, FTP, etc.). Wireshark extrae los artefactos —los archivos que viajaron en el tráfico—. Guárdalos en una carpeta para analizarlos.
7. Analiza los artefactos (malware)
Pasa los objetos extraídos por sandboxes y motores de reputación: VirusTotal, Any.Run o Hybrid Analysis. Saca el hash y búscalo; revisa la sección de relations para obtener las IPs y dominios con los que contacta el malware (sus IOCs). Verifica la reputación de IPs y dominios con Cisco Talos o MalwareBazaar. Así fue como, en el ejemplo, confirmé que un par de dominios sospechosos estaban relacionados con Latrodectus.
8. Tareas finales: actualiza tus IOCs
Con todo lo encontrado, actualiza tus indicadores de compromiso (IOC) e indicadores de ataque (IOA) y aliméntalos a tus monitoreos. Eso es, en esencia, el threat hunting.
Conclusión
Cuando abres una captura con miles de paquetes, el problema no es Wireshark: es no tener un método. Con estos 8 pasos —jerarquía, direcciones, conversaciones por tamaño, filtros, exportar objetos y analizarlos— pasas del “por dónde arranco” a encontrar lo que de verdad importa. Es una metodología sencilla, pero a mí me ha funcionado durante años.
👉 ¿Quieres dominar el análisis de tráfico, el threat hunting y el análisis de malware con Wireshark? Tengo un curso completo en Academia SecPro. ¡Nos vemos en el próximo!
