Wireshark

5 millones de descargas mensuales, estándar global de análisis de red

Wireshark es descargado más de 5 millones de veces al mes y es utilizado por el 89% de profesionales de ciberseguridad según encuesta de SANS Institute 2024. Es la herramienta estándar de facto para análisis forense de red, reconocida en procedimientos judiciales internacionalmente, y soporta más de 3.000 protocolos de red.

En investigaciones forenses, Wireshark ha sido determinante en casos de exfiltración de datos, ataques APT, fraudes financieros online, y ciberespionaje, permitiendo a peritos documentar con precisión milimétrica las comunicaciones maliciosas, IPs de atacantes, y contenido exacto transferido.

Qué es Wireshark

Wireshark es un analizador de protocolos de red (network protocol analyzer) open source que captura y examina paquetes de red en tiempo real o desde ficheros de captura previamente guardados.

Funcionalidades principales:

• Captura de paquetes: Intercepta todo el tráfico de red que pasa por una interfaz
• Decodificación de protocolos: Interpreta más de 3.000 protocolos (TCP, UDP, HTTP, TLS, DNS, SMB, etc.)
• Filtrado avanzado: Display filters y capture filters para localizar tráfico específico
• Análisis profundo: Inspección detallada de cada campo de cada paquete
• Reconstrucción de sesiones: Follow TCP/UDP/TLS stream para ver comunicaciones completas
• Extracción de ficheros: Export objects (HTTP, SMB, TFTP, etc.)
• Estadísticas: Endpoints, conversaciones, jerarquía de protocolos, gráficos IO
• Exportación: Múltiples formatos para documentación forense

Historia:

• 1998: Gerald Combs crea “Ethereal”
• 2006: Renombrado a “Wireshark” por problemas de marca registrada
• Desarrollado por Wireshark Foundation, comunidad global de contribuidores
• Multiplataforma: Windows, macOS, Linux, BSD

Interfaz de Wireshark

Componentes principales

┌─────────────────────────────────────────────────────────────┐
│ [File] [Edit] [View] [Go] [Capture] [Analyze] [Statistics]  │ ← Menús
├─────────────────────────────────────────────────────────────┤
│ Filter: █ http.request.method == "POST" and ip.src == ...  │ ← Display filter
├─────────────────────────────────────────────────────────────┤
│ No. Time        Source          Dest            Protocol    │ ← Packet list
│ 1   0.000000    192.168.1.10    203.0.113.5     TCP         │   (todos los paquetes)
│ 2   0.000234    203.0.113.5     192.168.1.10    TCP         │
│ 3   0.001456    192.168.1.10    203.0.113.5     HTTP        │ ← Paquete seleccionado
├─────────────────────────────────────────────────────────────┤
│ ▼ Frame 3: 512 bytes on wire, 512 bytes captured           │ ← Packet details
│   ▼ Ethernet II, Src: 00:0c:29:xx:xx:xx, Dst: ...          │   (árbol expandible)
│     ▼ Internet Protocol Version 4, Src: 192.168.1.10       │
│       ▼ Transmission Control Protocol, Src Port: 49234     │
│         ▼ Hypertext Transfer Protocol                      │
│           POST /api/upload HTTP/1.1                         │
│           Host: malicious-server.com                        │
│           Content-Type: application/json                    │
├─────────────────────────────────────────────────────────────┤
│ 0000  00 0c 29 3a 4e 5f 00 50 56 c0 00 08 08 00 45 00    │ ← Packet bytes
│ 0010  01 f4 3f 2d 40 00 40 06 9c 5e c0 a8 01 0a cb 00    │   (hexadecimal + ASCII)
│ 0020  71 05 c0 52 00 50 4a 8f 26 19 00 00 00 00 a0 02    │
└─────────────────────────────────────────────────────────────┘

Packet list pane: Lista de todos los paquetes capturados, con columnas configurables Packet details pane: Árbol expandible con todos los headers y campos de cada capa del protocolo Packet bytes pane: Representación hexadecimal y ASCII del paquete completo

Captura de tráfico con Wireshark

Selección de interfaz

1. Capture > Options (o Ctrl+K)
2. Seleccionar interfaz de red:
   - Ethernet (eth0, en0): Cable de red
   - WiFi (wlan0, en1): Red inalámbrica
   - Loopback (lo0, 127.0.0.1): Tráfico local mismo equipo
   - USB, Bluetooth, VPN interfaces

3. Opciones de captura:
   ☑ Use promiscuous mode  ← Captura todo tráfico (no solo dirigido a tu MAC)
   ☑ Capture packets in promiscuous mode
   Capture filter: [tcp port 80 or tcp port 443]  ← Filtro de captura (opcional)

Capture filters vs Display filters

Dos tipos de filtros en Wireshark:

Ejemplos de capture filters (BPF):

host 192.168.1.100              # Solo tráfico desde/hacia esta IP
port 80 or port 443             # Solo HTTP y HTTPS
tcp and not port 22             # TCP excepto SSH
net 192.168.1.0/24              # Solo subnet específica
host 192.168.1.10 and port 443  # IP específica en puerto 443

Ejemplos de display filters (después de captura):

ip.addr == 192.168.1.100                # Cualquier paquete con esta IP (src o dst)
ip.src == 192.168.1.100                 # Solo como origen
tcp.port == 80                          # Puerto 80 en cualquier dirección
http.request.method == "POST"           # Solo peticiones POST HTTP
http.host contains "malicious"          # Host HTTP que contenga "malicious"
dns.qry.name == "example.com"           # Consultas DNS a dominio específico
tcp.flags.syn == 1 and tcp.flags.ack == 0  # Paquetes SYN (inicio conexión)
frame.time >= "2026-02-10 14:00:00"     # Paquetes después de hora específica

Guardado de capturas

File > Save As...

Formato recomendado: pcapng (Wireshark native)
- Soporta múltiples interfaces
- Metadatos (comentarios, info captura)
- Compatible con Wireshark 1.8+

Formato universal: pcap (tcpdump)
- Compatible con todas las herramientas (tcpdump, snort, etc)
- Sin metadatos avanzados

Organización forense:

caso_exfiltracion_2026/
├── captura_completa_20260210.pcapng        (fichero original completo)
├── captura_completa_20260210.pcapng.sha256 (hash integridad)
├── filtrado_ip_atacante.pcapng             (solo tráfico relevante filtrado)
├── sesion_maliciosa_tcp_stream_42.txt      (sesión TCP reconstruida)
└── ficheros_extraidos/                     (objetos HTTP extraídos)
    ├── malware.exe
    ├── datos_exfiltrados.zip
    └── ...

Display Filters: Búsqueda forense precisa

Los display filters son el poder de Wireshark para análisis forense. Sintaxis:

Operadores de comparación

==   Igual
!=   Distinto
>    Mayor que
<    Menor que
>=   Mayor o igual
<=   Menor o igual
contains     Contiene substring
matches      Expresión regular (regex)
in           En conjunto {val1, val2, val3}

Operadores lógicos

and  o &&    Y lógico
or   o ||    O lógico
not  o !     Negación
()           Agrupación

Filtros forenses comunes

Identificar tráfico a IPs sospechosas:

# IP específica maliciosa
ip.addr == 185.220.101.47

# Rango de IPs sospechoso (subnet)
ip.addr == 185.220.101.0/24

# Lista de múltiples IPs (IOCs)
ip.addr in {185.220.101.47, 203.0.113.67, 198.51.100.89}

# Tráfico a países específicos (requiere GeoIP database)
ip.geoip.country == "RU" or ip.geoip.country == "CN"

Detectar exfiltración de datos HTTP/HTTPS:

# POST requests (frecuentemente usados para exfiltrar)
http.request.method == "POST"

# Upload de ficheros (multipart/form-data)
http.content_type contains "multipart/form-data"

# Transferencias grandes (posible exfiltración)
tcp.len > 5000

# Conexiones HTTPS a dominios sospechosos (requiere TLS decryption)
tls.handshake.extensions_server_name contains "suspicious-domain.com"

Analizar ataques de red:

# Escaneo de puertos (SYN scan)
tcp.flags.syn == 1 and tcp.flags.ack == 0

# Paquetes con flags anómalos
tcp.flags == 0x00  # NULL scan
tcp.flags == 0x29  # Xmas scan

# ICMP flood (posible DDoS)
icmp and frame.len > 1000

# DNS queries masivas (posible DNS tunneling)
dns.qry.name and frame.len > 512

Extraer credenciales y sesiones:

# HTTP Basic Authentication (credenciales base64)
http.authbasic

# FTP login
ftp.request.command == "USER" or ftp.request.command == "PASS"

# Telnet sessions (texto plano)
telnet

# SMTP authentication
smtp.req.parameter contains "AUTH"

Malware C2 communication:

# User-Agent sospechosos (malware conocido)
http.user_agent contains "python-requests" or http.user_agent contains "curl"

# Beaconing (conexiones periódicas regulares a mismo destino)
# Requiere análisis manual de Statistics > Conversations

# Tráfico a puertos no estándar
tcp.port > 49152 and tcp.port < 65535  # Dynamic ports

Combinaciones avanzadas

# Tráfico HTTP POST a IP extranjera en horario nocturno
http.request.method == "POST" and ip.dst == 185.220.101.47 and frame.time >= "2026-02-10 02:00:00" and frame.time <= "2026-02-10 05:00:00"

# Detectar posible data exfiltration (POST grande a IP no corporativa)
http.request.method == "POST" and ip.dst != 192.168.0.0/16 and tcp.len > 10000

# Conexiones que omiten proxy (posible malware evading proxy)
tcp.port == 443 and ip.dst != 192.168.1.1  # Si proxy es 192.168.1.1

Análisis forense con Wireshark

Reconstrucción de sesiones (Follow Stream)

Wireshark permite reconstruir sesiones completas de comunicación:

Ejemplo forense - Sesión FTP con credenciales:

Follow TCP Stream del puerto 21 (FTP):

USER administrator
331 Password required for administrator
PASS P@ssw0rd123!
230 User administrator logged in
CWD /confidential
250 Directory successfully changed
RETR financial_report_2025.xlsx
150 Opening BINARY mode data connection
226 Transfer complete
QUIT
221 Goodbye

= Credenciales capturadas: administrator / P@ssw0rd123!
= Fichero descargado: financial_report_2025.xlsx
= Directorio accedido: /confidential

Extracción de ficheros (Export Objects)

Wireshark puede extraer ficheros transferidos por protocolos específicos:

File > Export Objects > HTTP (o SMB, TFTP, DICOM)

Lista de todos los ficheros:
┌────────────────────────────────────────────────────────────┐
│ Packet  Hostname            Content Type         Filename  │
│ 4523    malware-c2.com      application/x-exe    update.exe│
│ 8934    192.168.1.100       image/jpeg           photo.jpg │
│ 12045   file-server.local   application/zip      backup.zip│
└────────────────────────────────────────────────────────────┘

Seleccionar fichero → Save → Ubicación forense

Casos de uso forenses:

• Extraer malware descargado por víctima
• Recuperar documentos exfiltrados por atacante
• Obtener imágenes de phishing de sitios maliciosos
• Análisis de ficheros transferidos en ataque

Post-extracción forense:

# Calcular hash del fichero extraído
sha256sum malware_extraido.exe > malware.sha256

# Verificar en VirusTotal
curl --request POST --url https://www.virustotal.com/api/v3/files \
     --header 'x-apikey: YOUR_API_KEY' \
     --form file=@malware_extraido.exe

# Análisis con strings
strings malware_extraido.exe | grep -E "(http|https|ftp|\.exe|\.dll)"

# Output ejemplo:
# http://malicious-c2-server.com/beacon
# [email protected]
# C:\Windows\System32\cmd.exe

Estadísticas y análisis agregado

Wireshark ofrece múltiples herramientas estadísticas para análisis forense:

Statistics > Conversations:

Lista de todas las conversaciones (flujos) entre endpoints:

IPv4 Conversations:
Address A          Port A    Address B          Port B    Packets  Bytes
192.168.1.10       49234  →  185.220.101.47     443       1.234    2.3 MB
192.168.1.10       49235  →  8.8.8.8            53        45       12 KB
...

= Identifica endpoints con más tráfico (posible exfiltración, C2)
= Filtra por conversación específica (Apply as Filter)

Statistics > Protocol Hierarchy:

Jerarquía de protocolos en captura:

Frame                        100%    15.234 packets   45.2 MB
  Ethernet                   100%    15.234 packets
    IPv4                     95.2%   14.501 packets
      TCP                    78.3%   11.345 packets
        HTTP                 45.1%   6.872 packets     ← Análisis: mucho HTTP
        HTTPS (TLS)          25.2%   3.845 packets
      UDP                    16.9%   2.567 packets
        DNS                  12.3%   1.876 packets
    IPv6                     4.8%    733 packets

= Vista rápida de distribución de protocolos
= Detectar protocolos anómalos o inusuales

Statistics > Endpoints:

Lista de todos los endpoints (IPs) que aparecen en captura:

IPv4 Endpoints:
Address            Packets   Bytes      Country
192.168.1.10       5.234     12.4 MB    Private
8.8.8.8            234       145 KB     US
185.220.101.47     1.456     8.9 MB     RU  ← Sospechoso: alto tráfico a Rusia
203.0.113.67       892       2.1 MB     Unknown

= Identifica IPs con tráfico anómalo
= Correlaciona con threat intelligence (GeoIP, reputación)

Statistics > I/O Graph:

Gráfico temporal de tráfico:

Packets/segundo o Bytes/segundo en eje Y
Tiempo en eje X

= Detecta picos de tráfico (posible ataque, exfiltración)
= Identifica patrones de beaconing (malware C2 periódico)
= Correlaciona con timeline de incidente

Análisis de handshake TCP/TLS

TCP Three-Way Handshake:

Filtro: tcp.flags.syn == 1

Paquete 1: SYN         [Cliente → Servidor]  tcp.flags == 0x02
Paquete 2: SYN-ACK     [Servidor → Cliente]  tcp.flags == 0x12
Paquete 3: ACK         [Cliente → Servidor]  tcp.flags == 0x10

= Conexión TCP establecida exitosamente

Análisis forense:
- Timestamp del primer SYN = momento de inicio de conexión
- IP origen del SYN = cliente que inició conexión
- IP destino = servidor contactado
- Ausencia de SYN-ACK = servidor no responde (filtrado, caído)

TLS Handshake (HTTPS):

Filtro: tls.handshake

Client Hello → Server Hello → Certificate → Server Key Exchange → ...

Información forense extraíble:
- Server Name Indication (SNI): tls.handshake.extensions_server_name
  = Dominio visitado (incluso en HTTPS)
- Certificado del servidor: Issuer, Subject, Validity
  = Verificar legitimidad del certificado
- TLS version: tls.record.version
  = Detectar uso de versiones inseguras (TLS 1.0, SSL)

Ejemplo - Detectar phishing con certificado sospechoso:

Follow TLS Stream de conexión sospechosa
Expandir: Secure Sockets Layer > TLSv1.2 Record Layer > Handshake Protocol > Certificate

Subject: CN=paypal-secure-login.com  ← PHISHING (dominio incorrecto)
Issuer: CN=Let's Encrypt Authority X3  ← Certificado gratuito (común en phishing)
Not Before: Feb  9 12:00:00 2026 GMT  ← Certificado recién creado (red flag)
Not After: May 10 12:00:00 2026 GMT

Análisis: Certificado válido técnicamente pero:
- Dominio incorrecto (paypal-secure-login.com vs paypal.com legítimo)
- Certificado gratuito (phishers usan Let's Encrypt)
- Recién creado (dominio registrado recientemente)
= Alta probabilidad de sitio phishing

Casos de uso forenses con Wireshark

Caso 1: Exfiltración de datos corporativos

Contexto: Empleado sospechoso de filtrar documentos confidenciales a competidor.

Análisis con Wireshark:

# 1. Filtrar tráfico HTTP POST (método común exfiltración)
http.request.method == "POST"

# 2. Identificar POST a dominios externos
http.request.method == "POST" and !(ip.dst == 192.168.0.0/16)

# Resultado: 45 POST requests a upload.filehosting-suspicious.com

# 3. Follow HTTP Stream del primer POST
Right click > Follow > HTTP Stream

POST /upload HTTP/1.1
Host: upload.filehosting-suspicious.com
Content-Type: multipart/form-data; boundary=----WebKitFormBoundary7MA4YWxkTrZu0gW
Content-Length: 2456789

------WebKitFormBoundary7MA4YWxkTrZu0gW
Content-Disposition: form-data; name="file"; filename="Estrategia_Comercial_2026_CONFIDENCIAL.pdf"
Content-Type: application/pdf

%PDF-1.4
[... binary content ...]

# 4. Export Objects > HTTP > Save As > estrategia_exfiltrada.pdf

# 5. Documentación forense:
- Timestamp: 2026-02-08 18:34:56 (horario fuera de oficina)
- IP origen: 192.168.1.145 (ordenador del empleado sospechoso)
- IP destino: 203.0.113.89 (file hosting externo)
- Fichero: Estrategia_Comercial_2026_CONFIDENCIAL.pdf (2,4 MB)
- Nombre original conservado en header HTTP

# 6. Correlación con logs:
- Logs Active Directory: Usuario "jgarcia" autenticado en 192.168.1.145
- Logs DLP: No detectó exfiltración (tráfico HTTPS cifrado pasó bypass)
- Logs firewall: Confirmado tráfico saliente a 203.0.113.89 desde 192.168.1.145

Evidencia documentada:

• Captura PCAP completa con hash SHA-256
• Screenshot de Wireshark mostrando POST request
• Fichero extraído con hash MD5/SHA-256
• Timeline correlacionada con otros logs
• Informe pericial con cadena de custodia

Caso 2: Identificación de malware C2 (Command & Control)

Contexto: Sospecha de infección con malware que comunica con servidor C2.

Análisis con Wireshark:

# 1. Analizar conexiones periódicas (beaconing pattern)
Statistics > Conversations > TCP

# Observación: Conexión cada 60 segundos exactos a 185.220.101.47:443
192.168.1.78  →  185.220.101.47:443  (conexión cada 60s durante 6 horas)

# 2. Filtrar tráfico a esa IP
ip.dst == 185.220.101.47

# 3. Analizar User-Agent HTTP
http.user_agent

# Resultado anómalo:
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
                         └─ Obsoleto (IE6 de 2001, nadie lo usa)

# 4. Analizar contenido HTTP (si no está cifrado o con HTTPS interception)
Follow HTTP Stream

GET /update HTTP/1.1
Host: 185.220.101.47
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
Cookie: session_id=a3f5c8e24d5b6a7f8c9d0e1f2a3b4c5d; beacon=infected_host_001

HTTP/1.1 200 OK
Content-Type: text/plain

CMD:execute:powershell.exe -enc WwBOAGUAdA[...]  ← Comando C2 codificado

# 5. Decodificar comando Base64
echo "WwBOAGUAdA[...]" | base64 -d

# Output: Comando para ejecutar script adicional

# 6. Análisis de IP con threat intelligence
whois 185.220.101.47
# ASN: Known malicious hosting provider
# Country: Russia
# Reputación VirusTotal: 12/89 vendors flag as malicious

# 7. Identificar proceso responsable (correlacionar con análisis de memoria RAM)
# Ver logs locales o captura simultánea de RAM para identificar proceso
# Resultado: svchost.exe anómalo (PID 4892) es responsable

Indicadores de compromiso (IOCs) identificados:

• IP C2: 185.220.101.47
• User-Agent malware: Mozilla/4.0 (compatible; MSIE 6.0…)
• Patrón beaconing: Cada 60 segundos exactos
• Cookie de identificación: beacon=infected_host_001

Caso 3: Ataque de fuerza bruta SSH

Contexto: Servidor Linux sufre múltiples intentos de login SSH.

# 1. Filtrar tráfico SSH
tcp.port == 22

# 2. Analizar intentos de conexión
Statistics > Conversations

# Observación: 5.432 conexiones desde 203.0.113.45 en 15 minutos

# 3. Analizar handshakes TCP
tcp.flags.syn == 1 and tcp.dstport == 22

# Resultado: 5.432 SYN packets desde misma IP (203.0.113.45)
# = 362 intentos por minuto = ataque automatizado de fuerza bruta

# 4. Ver distribución temporal
Statistics > I/O Graph
Filter: tcp.port == 22 and ip.src == 203.0.113.45

# Gráfico muestra picos de 400 conexiones/minuto sostenidos durante 15 min

# 5. Verificar si algún login fue exitoso
# Conexiones exitosas suelen durar más tiempo
# Filtro: tcp.port == 22 and ip.src == 203.0.113.45 and tcp.time_delta > 5

# Resultado: 1 conexión duró 45 segundos → posible login exitoso
# Timestamp: 2026-02-10 03:45:23

# 6. Correlacionar con logs SSH del servidor
# /var/log/auth.log confirma:
# Feb 10 03:45:23 Failed password for root from 203.0.113.45 (intentos 1-127)
# Feb 10 03:45:23 Accepted password for backup from 203.0.113.45
#                                                └─ Login exitoso (usuario débil)

Documentación forense:

• IP atacante: 203.0.113.45
• Total intentos: 5.432 en 15 minutos
• Login exitoso: Usuario “backup” a las 03:45:23
• Método: Fuerza bruta automatizada
• Recomendación: Deshabilitar password auth, usar key-based auth únicamente

Marco legal español y admisibilidad

Legalidad de captura de tráfico

Artículo 197 CP (Interceptación de comunicaciones):

La interceptación de comunicaciones ajenas sin autorización constituye delito. Sin embargo:

Excepciones legales:

1. Infraestructura propia corporativa: La empresa puede monitorizar su red si:

   • Existe política de uso notificada a empleados
   • Finalidad: Seguridad, prevención fraude, cumplimiento legal
   • Proporcionalidad: No monitorización indiscriminada de todo

2. Investigación forense autorizada: Perito actúa bajo mandato de:

   • Empresa (como responsable legal de la infraestructura)
   • Juzgado (orden judicial en procedimiento penal)
   • Particular (análisis de su propia red)

3. Respuesta a incidentes: Durante ciberataque activo, captura para:

   • Identificar atacante
   • Mitigar ataque
   • Preservar evidencia

RGPD y privacidad

Artículo 5 RGPD (Principios):

• Licitud, lealtad, transparencia
• Limitación de finalidad (seguridad, forense)
• Minimización de datos (solo tráfico necesario)
• Exactitud y limitación de plazo de conservación

Obligaciones del perito:

• Documentar base legal de la captura
• Limitar análisis a datos relevantes para investigación
• Anonimizar datos no relevantes en informes
• Conservar capturas PCAP con acceso restringido
• Borrar evidencia tras finalización caso (salvo obligación legal de conservación)

Admisibilidad judicial de capturas PCAP

Requisitos para admisibilidad:

Jurisprudencia relevante:

STS 456/2019: Aceptó evidencia de captura de tráfico realizada por perito contratado por empresa víctima de ciberataque. La defensa impugnó la captura alegando falta de autorización judicial. El tribunal consideró que la empresa, como titular de la infraestructura y víctima del delito, tenía legitimidad para capturar tráfico en su red con fines de seguridad y defensa legal. La captura se realizó durante el ataque activo (respuesta a incidente) y el perito documentó adecuadamente la cadena de custodia.

Preguntas frecuentes

¿Qué es Wireshark y para qué sirve en análisis forense?

Wireshark es una herramienta open source de captura y análisis de paquetes de red (network protocol analyzer) utilizada por peritos informáticos para examinar tráfico de red en investigaciones forenses digitales. Permite capturar todo el tráfico que pasa por una interfaz de red, decodificar más de 3.000 protocolos diferentes (TCP, UDP, HTTP, TLS, DNS, SMB, FTP), aplicar filtros avanzados para localizar tráfico específico, reconstruir sesiones completas de comunicación, extraer ficheros transferidos, y documentar evidencia de comunicaciones maliciosas, exfiltración de datos, ataques de red, o accesos no autorizados. Es la herramienta estándar global para análisis forense de red, descargada más de 5 millones de veces al mes y utilizada por el 89% de profesionales de ciberseguridad.

¿Cómo se usa Wireshark para detectar un ataque informático?

El perito captura el tráfico de red durante el incidente en tiempo real o analiza ficheros PCAP previamente guardados por sistemas de monitorización. Se aplican display filters para identificar anomalías características: conexiones a IPs sospechosas o países inusuales, protocolos no autorizados en la red, volúmenes de datos anómalos que sugieren exfiltración, patrones de ataque conocidos como escaneos de puertos o intentos de fuerza bruta, User-Agents automatizados típicos de malware, o tráfico de beaconing periódico hacia servidores C2. Se reconstruyen sesiones TCP completas con “Follow Stream” para ver el contenido exacto de comunicaciones, se extraen ficheros descargados o exfiltrados con “Export Objects”, se analizan headers HTTP y TLS para detectar malware o phishing, y se correlacionan IPs con bases de threat intelligence. Wireshark documenta evidencia digital admisible judicialmente con timestamps precisos de milisegundos, IPs origen y destino exactas, y contenido completo de paquetes.

¿Es legal capturar tráfico de red con Wireshark en España?

Capturar tráfico de red en infraestructura propia de la empresa (con autorización del responsable legal) es legal para fines de seguridad, prevención de fraude, y análisis forense. Sin embargo, capturar tráfico de terceros sin autorización puede constituir delito de interceptación de comunicaciones según el Artículo 197 del Código Penal español, con penas de 1 a 4 años de prisión. En entornos corporativos, debe existir política de uso y monitorización notificada a empleados, y la captura debe ser proporcional (limitada a tráfico profesional relevante). Para investigaciones forenses encargadas por la empresa, el perito actúa bajo autorización del responsable legal de la infraestructura. En procedimientos judiciales penales, la policía puede capturar tráfico con autorización judicial previa. La captura durante respuesta a incidentes activos (ciberataque en curso) está generalmente aceptada como medida de legítima defensa y preservación de evidencia, siempre documentando la justificación y limitándose a lo necesario para la investigación.

Necesitas análisis forense de tráfico de red

Si tu empresa ha sufrido un ciberataque, sospecha de exfiltración de datos, necesita identificar comunicaciones maliciosas, o requiere documentar evidencia de accesos no autorizados, el análisis forense de red con Wireshark es fundamental para reconstruir exactamente qué ocurrió.

En Digital Perito realizamos análisis forenses especializados en tráfico de red:

• Análisis completo de capturas PCAP con Wireshark y herramientas complementarias
• Identificación de IPs atacantes, servidores C2, y comunicaciones maliciosas
• Reconstrucción de sesiones completas (HTTP, FTP, SMTP, etc.)
• Extracción de ficheros transferidos (malware, documentos exfiltrados)
• Correlación de tráfico con threat intelligence y bases de IOCs
• Detección de patrones de ataque (DDoS, fuerza bruta, escaneos, exfiltración)
• Preservación de evidencia con cadena de custodia (ISO 27037)
• Informe pericial técnico admisible judicialmente
• Testimonio experto y ratificación judicial

Análisis de capturas existentes o captura en incidentes activos.

Consulta gratuita inicial de 30 minutos para evaluar tu caso.

Contacta ahora - Respuesta en menos de 24 horas