Wireshark en Kali Linux es una de las herramientas más útiles para aprender análisis de tráfico de red, diagnosticar fallos, revisar conexiones, entender protocolos y apoyar auditorías de seguridad autorizadas.
Sin embargo, Wireshark debe usarse con responsabilidad. Capturar paquetes puede revelar direcciones IP, nombres de dominio, metadatos de conexión, cabeceras, cookies, credenciales inseguras, consultas DNS y otra información sensible. Por eso, este artículo explica cómo usar Wireshark en Kali Linux paso a paso y de manera segura, evitando malas prácticas.
La regla principal es simple: captura únicamente tráfico propio, de laboratorio o de una red donde tengas autorización expresa. Wireshark es una herramienta profesional de análisis, no una excusa para espiar comunicaciones de terceros.
Idea clave: Wireshark sirve para aprender, diagnosticar y auditar redes autorizadas. La seguridad empieza por limitar la captura, proteger los archivos PCAP y no analizar tráfico ajeno sin permiso.
¿Qué es Wireshark?
Wireshark es un analizador de protocolos de red. Permite capturar tráfico en vivo desde una interfaz de red o abrir archivos de captura, normalmente en formato PCAP o PCAPNG, para analizar los paquetes con detalle.
Con Wireshark puedes ver qué protocolos se están usando, qué equipos se comunican, qué puertos intervienen, qué errores aparecen, si hay retransmisiones, si existen conexiones sospechosas o si un servicio está respondiendo como debería.
Wireshark ayuda a:
- Analizar tráfico DNS, TCP, UDP, HTTP, TLS, ICMP y otros protocolos.
- Diagnosticar lentitud, pérdida de paquetes o problemas de conexión.
- Revisar qué servicios se comunican en una red autorizada.
- Estudiar protocolos en un laboratorio de aprendizaje.
- Apoyar investigaciones defensivas y auditorías de seguridad.
Antes de empezar: reglas de uso seguro
Antes de abrir Wireshark, define claramente qué vas a capturar, por qué, durante cuánto tiempo y dónde guardarás el archivo resultante.
Reglas básicas
- Captura solo tráfico propio, de laboratorio o con autorización.
- No captures tráfico de redes públicas o de terceros.
- No compartas archivos PCAP sin revisar si contienen datos sensibles.
- No ejecutes Wireshark como root si puedes evitarlo.
- Usa filtros para reducir la cantidad de datos capturados.
- Guarda capturas en carpetas protegidas y elimínalas cuando ya no sean necesarias.
- Documenta el objetivo de cada análisis.
Un buen laboratorio inicial puede ser tu propia máquina Kali, una máquina virtual, un servidor de pruebas, una red doméstica controlada o archivos PCAP de ejemplo.
Paso 1: verificar si Wireshark está instalado en Kali Linux
Kali Linux suele incluir muchas herramientas de análisis y pruebas de seguridad, pero conviene verificar si Wireshark está instalado y actualizado.
Si no aparece instalado, puedes instalarlo desde los repositorios oficiales de Kali:
También puedes abrirlo desde el menú de Kali Linux buscando Wireshark en la sección de herramientas de análisis de red.
Paso 2: configurar permisos de captura sin ejecutar todo como root
En Linux, capturar paquetes requiere privilegios especiales. La mala práctica es abrir Wireshark completo como root. La práctica más segura es permitir que el componente de captura tenga los permisos necesarios y usar Wireshark como usuario normal.
En Debian, Ubuntu, Kali y derivados, puedes configurar permisos con:
Cuando aparezca la pregunta sobre permitir que usuarios no root capturen paquetes, selecciona Sí. Luego agrega tu usuario al grupo wireshark:
Cierra sesión y vuelve a entrar para que el cambio de grupo se aplique. Después verifica tus grupos:
Precaución: evita usar sudo wireshark como rutina. Wireshark es una aplicación grande y lo recomendable es no ejecutarla completa con privilegios elevados.
Paso 3: abrir Wireshark y elegir la interfaz correcta
Al abrir Wireshark verás una lista de interfaces de red. Cada una representa una vía por donde puede circular tráfico.
| Interfaz | Uso habitual |
|---|---|
| eth0 | Red cableada Ethernet. |
| wlan0 | Red inalámbrica Wi-Fi conectada como cliente. |
| lo | Interfaz local de la propia máquina. |
| docker0, tun0, virbr0 | Interfaces virtuales, VPN, contenedores o máquinas virtuales. |
Para un primer ejercicio seguro, puedes usar la interfaz lo o capturar tráfico propio generado por tu navegador, una consulta DNS o una conexión a un servicio de laboratorio.
Paso 4: realizar una captura simple y controlada
Abre Wireshark, selecciona la interfaz que quieres analizar y presiona el botón azul de inicio. Luego genera tráfico simple, por ejemplo abriendo una página web o haciendo una consulta DNS.
Para generar tráfico DNS desde Kali, puedes usar:
También puedes generar tráfico ICMP hacia un destino permitido:
Luego detén la captura con el botón rojo. Una captura corta y enfocada es más segura y más fácil de analizar que una captura larga con miles de paquetes innecesarios.
Tip: para aprender, captura 30 segundos o menos. Primero entiende pocos paquetes antes de intentar analizar una red completa.
Paso 5: entender la interfaz de Wireshark
Wireshark organiza la información capturada en tres zonas principales. Comprenderlas te ayudará a analizar tráfico sin perderte.
Partes principales
- Lista de paquetes: muestra cada paquete capturado con hora, origen, destino, protocolo y descripción.
- Detalles del paquete: permite expandir capas como Ethernet, IP, TCP, UDP, DNS, HTTP o TLS.
- Bytes del paquete: muestra la representación hexadecimal y ASCII del contenido.
Para un principiante, lo más importante es revisar origen, destino, protocolo, puerto, tiempo y descripción del paquete. No necesitas entender cada byte desde el primer día.
Paso 6: usar filtros de visualización básicos
Los filtros de visualización permiten mostrar solo los paquetes que te interesan, sin borrar el resto de la captura. Son una de las funciones más poderosas de Wireshark.
| Filtro | Qué muestra |
|---|---|
| dns | Consultas y respuestas DNS. |
| http | Tráfico HTTP no cifrado. |
| tls | Tráfico TLS usado por conexiones cifradas. |
| tcp | Paquetes TCP. |
| udp | Paquetes UDP. |
| icmp | Pings y mensajes ICMP. |
| ip.addr == 192.168.1.10 | Tráfico donde aparece esa IP como origen o destino. |
| tcp.port == 443 | Tráfico TCP asociado al puerto 443. |
También puedes combinar condiciones:
Paso 7: usar filtros de captura para reducir datos desde el inicio
Los filtros de captura se aplican antes de iniciar la captura. A diferencia de los filtros de visualización, aquí Wireshark solo guarda lo que coincide con el filtro.
Diferencia importante: el filtro de visualización oculta o muestra paquetes ya capturados. El filtro de captura decide qué paquetes se guardan desde el inicio.
| Filtro de captura | Uso |
|---|---|
| port 53 | Capturar solo DNS. |
| host 192.168.1.10 | Capturar tráfico de una IP concreta. |
| tcp port 443 | Capturar tráfico TCP del puerto 443. |
| icmp | Capturar solo tráfico ICMP. |
Para aprender de manera segura, usa filtros de captura simples. Así evitas capturar tráfico innecesario y reduces el riesgo de almacenar información sensible.
Paso 8: analizar una consulta DNS
Un buen primer ejercicio es analizar una consulta DNS. Este tipo de tráfico permite ver cómo un nombre de dominio se traduce a una dirección IP.
- Inicia una captura en tu interfaz autorizada.
- Ejecuta nslookup somoslibres.org.
- Detén la captura.
- Aplica el filtro dns.
- Revisa la consulta y la respuesta.
Qué observar
- Dirección IP de origen.
- Servidor DNS consultado.
- Nombre de dominio solicitado.
- Tipo de consulta.
- Respuesta recibida.
- Tiempo entre consulta y respuesta.
Este ejercicio es seguro porque trabaja con tráfico generado por ti mismo y te permite comprender un protocolo fundamental para Internet.
Paso 9: analizar conexiones HTTPS sin intentar romper el cifrado
La mayoría del tráfico web moderno usa HTTPS/TLS. Wireshark puede mostrar información útil como IP de origen, IP de destino, puertos, negociación TLS, tiempos y volumen de paquetes. Pero no debes intentar acceder al contenido privado de comunicaciones ajenas.
Para revisar tráfico HTTPS propio, puedes aplicar:
Enfoque seguro: usa Wireshark para entender metadatos, tiempos, errores de conexión y protocolos. No lo uses para interceptar información privada de otras personas.
Paso 10: guardar y proteger archivos PCAP
Los archivos PCAP pueden contener información sensible. Incluso si no ves contraseñas directamente, pueden incluir IP internas, dominios visitados, nombres de equipos, rutas, cookies inseguras, tokens o detalles de infraestructura.
Para guardar una captura en Wireshark, usa File > Save As y elige una carpeta protegida. También puedes exportar solo paquetes específicos si no necesitas toda la captura.
Buenas prácticas con PCAP
- Guarda capturas solo el tiempo necesario.
- No las subas a servicios públicos sin revisar su contenido.
- Anonimiza datos antes de compartir con terceros.
- Cifra capturas si contienen información interna.
- Etiqueta cada archivo con fecha, objetivo y alcance autorizado.
Paso 11: practicar con capturas de ejemplo
Si estás aprendiendo, no siempre necesitas capturar tráfico real. Wireshark mantiene capturas de ejemplo para practicar análisis sin tocar redes de terceros.
Esto es ideal para estudiantes, docentes y usuarios que desean entender protocolos sin exponerse a problemas legales o de privacidad.
Ventajas de practicar con PCAP de ejemplo
- No capturas tráfico real de otras personas.
- Puedes repetir el análisis varias veces.
- Aprendes filtros sin presión.
- Exploras protocolos como DNS, HTTP, TLS, ICMP o TCP.
- Reduces riesgos de privacidad.
Paso 12: usar TShark cuando no tienes entorno gráfico
TShark es la versión orientada a terminal de Wireshark. Es útil en servidores, laboratorios remotos o entornos donde no tienes interfaz gráfica.
Para listar interfaces disponibles:
Para capturar una cantidad limitada de paquetes en una interfaz autorizada:
Para guardar una captura limitada en un archivo:
Usa TShark con el mismo criterio: capturas cortas, autorizadas y con objetivo claro.
Errores comunes al usar Wireshark en Kali Linux
Evita estos errores
- Capturar tráfico sin autorización.
- Ejecutar Wireshark completo como root.
- Guardar capturas enormes sin necesidad.
- Compartir archivos PCAP sin revisar si contienen datos sensibles.
- Confundir filtros de captura con filtros de visualización.
- Analizar tráfico de terceros en redes públicas.
- Creer que todo paquete extraño significa ataque.
- No documentar objetivo, fecha, interfaz y alcance de la captura.
Checklist seguro para usar Wireshark
| Paso | Acción segura |
|---|---|
| 1 | Definir objetivo y alcance autorizado. |
| 2 | Verificar instalación y permisos sin usar sudo wireshark como rutina. |
| 3 | Elegir la interfaz correcta. |
| 4 | Usar filtros para limitar la captura. |
| 5 | Capturar poco tiempo y detener cuando ya tengas evidencia suficiente. |
| 6 | Analizar con filtros de visualización. |
| 7 | Guardar PCAP solo si es necesario. |
| 8 | Proteger, anonimizar o eliminar capturas sensibles. |
Preguntas clave sobre Wireshark en Kali Linux
¿Wireshark es legal?
Sí, Wireshark es una herramienta legítima de análisis de red. Lo que puede ser ilegal o indebido es capturar tráfico de terceros sin autorización.
¿Debo ejecutar Wireshark como root en Kali?
No como práctica habitual. Lo recomendable es configurar permisos de captura para el usuario y evitar ejecutar toda la aplicación con privilegios elevados.
¿Wireshark puede ver contraseñas?
Puede mostrar información sensible si el tráfico no está protegido adecuadamente. Por eso se debe usar solo en entornos autorizados y proteger los archivos de captura.
¿Puedo analizar HTTPS con Wireshark?
Sí, puedes analizar metadatos, conexión, tiempos, IP, puertos y negociación TLS. El contenido cifrado no debe intentar inspeccionarse si no es tráfico propio y autorizado.
¿Cuál es la diferencia entre filtro de captura y filtro de visualización?
El filtro de captura decide qué se guarda desde el inicio. El filtro de visualización solo muestra u oculta paquetes que ya fueron capturados.
¿Cómo practicar sin capturar tráfico real?
Puedes usar archivos PCAP de ejemplo y laboratorios propios. Es una forma segura de aprender filtros, protocolos y análisis sin tocar redes de terceros.
¿Wireshark detecta ataques automáticamente?
No es un antivirus ni un IDS completo. Wireshark muestra tráfico con gran detalle; la interpretación depende del analista, del contexto y de la evidencia disponible.
Recomendamos
En resumen
Wireshark en Kali Linux es una herramienta poderosa para aprender redes, diagnosticar problemas y apoyar auditorías autorizadas. Su valor está en mostrar con detalle qué ocurre en una comunicación, qué protocolos intervienen y qué señales pueden indicar errores o riesgos.
Para usarlo bien, empieza con capturas pequeñas, filtros simples, tráfico propio y archivos PCAP de laboratorio. Configura permisos de captura correctamente, evita ejecutar la aplicación completa como root y protege los archivos generados.
La ciberseguridad profesional no consiste en capturar todo, sino en capturar lo necesario, dentro de un alcance autorizado, con respeto por la privacidad y con capacidad de interpretar la evidencia de manera responsable.
Conclusión editorial
Wireshark es una excelente puerta de entrada al análisis de redes en Kali Linux, siempre que se use con autorización, límites claros y buenas prácticas de seguridad. Aprender a observar paquetes también es aprender a respetar la privacidad y proteger mejor los sistemas.
