Wireshark — Cheatsheet 2026

Todos los filtros y atajos de Wireshark que necesitas — filtros de visualización, filtros de captura (BPF), seguir flujos, análisis de protocolos, extracción de credenciales y tshark. Para análisis de red, CTF y auditorías autorizadas.

Última actualización:

¿Principiante? Lee nuestra guía completa para empezar y sitúa el análisis de paquetes en la metodología.

Navegación rápida

01 Visualización vs captura 02 Filtros de visualización 03 Filtros de protocolo 04 Filtros de captura (BPF) 05 Seguir flujos 06 Atajos de teclado 07 Extraer credenciales & archivos 08 Estadísticas 09 tshark (CLI) 10 Descifrar TLS

# Filtros de visualización vs de captura

La distinción más importante en Wireshark. Los filtros de captura deciden qué se graba; los de visualización refinan lo que ves después — sintaxis distinta, propósito distinto.

Filtro de capturaFiltro de visualización
SintaxisBPF (tcpdump)Wireshark
Ejemplohost 10.0.0.1 and port 80ip.addr==10.0.0.1 && tcp.port==80
CuándoEn la capturaDespués de capturar
ModificableNo (fijo)Sí, en cualquier momento
💡 Consejo: usa los filtros de captura para mantener pequeñas las capturas grandes; los de visualización para el análisis. NO son intercambiables — tcp.port==80 es inválido como filtro de captura.

# Filtros de visualización — esenciales

Escríbelos en la barra de filtro. Combina con && (y), || (o), ! (no).

ip.addr == 10.0.0.1
Tráfico hacia O desde una IP
ip.src == 10.0.0.1 && ip.dst == 10.0.0.2
Origen y destino concretos
tcp.port == 443
Tráfico TCP en un puerto (cualquier dirección)
tcp.flags.syn == 1 && tcp.flags.ack == 0
Solo paquetes SYN — detectar intentos de conexión / escaneos
tcp.analysis.retransmission
Encontrar retransmisiones (diagnosticar pérdida/latencia)
frame contains "password"
Coincidir cualquier paquete que contenga una cadena
tcp matches "(?i)pass"
Regex sin distinción de mayúsculas sobre la carga TCP
!(arp || icmp || dns)
Ocultar ruido — excluir ARP, ICMP y DNS

# Filtros de protocolo

Enfoca rápido un solo protocolo.

http.request.method == "POST"
Peticiones HTTP POST — suelen llevar los logins
http.response.code == 200
Respuestas HTTP exitosas
dns.qry.name contains "example"
Consultas DNS de un dominio
tls.handshake.type == 1
TLS Client Hello — ver el SNI/host negociado
ftp || telnet
Protocolos en texto plano — probable fuga de credenciales
smb2 || smb
Tráfico SMB — recursos compartidos y autenticación
kerberos
Kerberos — detectar AS-REQ/TGS para ataques a AD
http.request.uri contains ".php"
Filtrar por patrón de URI

# Filtros de captura (BPF)

Configúralos antes de capturar para limitar lo que se graba. Misma sintaxis que tcpdump.

host 10.0.0.1
Solo tráfico hacia/desde un host
net 10.0.0.0/24
Toda una subred
port 80 or port 443
Solo tráfico web
tcp port 22 and host 10.0.0.5
SSH hacia un host concreto
not arp and not broadcast
Descartar ruido ARP y broadcast en la captura
ether host 00:11:22:33:44:55
Filtrar por dirección MAC

# Seguir flujos

Reensambla toda una conversación en texto legible — la forma más rápida de leer un intercambio.

Clic derecho paquete → Seguir → Flujo TCP
Reensamblar toda la conversación TCP (Ctrl+Alt+Shift+T)
Seguir → Flujo HTTP
Leer la petición/respuesta HTTP como texto
Seguir → Flujo UDP
Para protocolos basados en UDP (DNS, syslog…)
tcp.stream == 3
Filtrar a un solo flujo por su índice

# Atajos de teclado

Acelera la navegación y el marcado.

AtajoAcción
Ctrl+EIniciar / detener la captura
Ctrl+KOpciones de captura
Ctrl+/Ir a la barra de filtro
Ctrl+Alt+Shift+TSeguir el flujo TCP
Ctrl+MMarcar / desmarcar un paquete
Ctrl+GIr al número de paquete
Ctrl+FBuscar un paquete
Ctrl+TDefinir/formatear la visualización del tiempo
💡 Consejo: clic derecho en un campo del panel de detalle → Aplicar como columna para añadirlo como columna ordenable, y Aplicar como filtro para construir un filtro al instante.

# Extraer credenciales & archivos

Los protocolos en texto plano te dan las credenciales; HTTP te da los archivos.

Archivo → Exportar objetos → HTTP
Guardar todos los archivos transferidos por HTTP
Archivo → Exportar objetos → SMB / TFTP
Extraer archivos de transferencias SMB o TFTP
ftp.request.command == "USER" || ftp.request.command == "PASS"
Credenciales FTP en texto plano
http.authorization
Cabecera HTTP Basic Auth (base64 user:pass)
Herramientas → Credenciales (Wireshark 3.1+)
Listar automáticamente las credenciales encontradas en la captura

# Estadísticas & visión general

Entiende una captura de un vistazo antes de sumergirte en los paquetes.

Estadísticas → Jerarquía de protocolos
Ver el desglose de protocolos de toda la captura
Estadísticas → Conversaciones
Top talkers por IP/puerto — encontrar los mayores flujos
Estadísticas → Endpoints
Todos los hosts vistos, con conteos de paquetes/bytes y geo-IP
Estadísticas → Gráfico E/S
Tráfico a lo largo del tiempo — detectar picos y beacons
Estadísticas → HTTP → Peticiones
Cada host y URL solicitados

# tshark — línea de comandos

El CLI de Wireshark para scripting, captura remota y archivos grandes. Misma sintaxis de filtro de visualización.

tshark -D
Listar las interfaces de captura disponibles
tshark -i eth0 -w out.pcap
Capturar en eth0 a un archivo
tshark -r capture.pcap -Y "http.request" -T fields -e http.host -e http.request.uri
Imprimir los hosts y URI solicitados de una captura
tshark -r capture.pcap -q -z conv,tcp
Estadísticas de conversaciones TCP en la línea de comandos
tshark -r capture.pcap -Y "ftp.request.command==PASS" -T fields -e ftp.request.arg
Extraer contraseñas FTP de una captura
ssh user@host "tcpdump -i eth0 -U -w -" | wireshark -k -i -
Captura remota en vivo por SSH hacia Wireshark

# Descifrar TLS/HTTPS

Necesitas las claves de sesión — el cifrado por sí solo no se puede descifrar.

export SSLKEYLOGFILE=~/tls-keys.log
Establecer antes de lanzar Chrome/Firefox para registrar las claves TLS
Preferencias → Protocolos → TLS → (Pre)-Master-Secret log filename
Apuntar Wireshark al archivo de claves para descifrar el TLS
tshark -r capture.pcap -o tls.keylog_file:tls-keys.log -Y http2
Descifrar desde tshark usando el archivo de claves

❓ FAQ Wireshark

Los filtros de captura (BPF, ej. host 10.0.0.1 and port 80) deciden qué se graba y no cambian después. Los de visualización (ip.addr==10.0.0.1 && tcp.port==80) ocultan/muestran paquetes capturados y cambian libremente.

Clic derecho en un paquete → Seguir → Flujo TCP (o Ctrl+Alt+Shift+T). Wireshark reensambla la conversación como texto legible y coloreado — lo más rápido para leer HTTP o extraer credenciales.

ip.addr == 10.0.0.1 (hacia/desde), ip.src == (origen), ip.dst == (destino). Combina con &&, ||, !.

Archivos: Archivo → Exportar objetos → HTTP/SMB/TFTP. Credenciales: filtro http.request.method == POST o Seguir el flujo TCP. FTP, Telnet, HTTP y SNMP suelen filtrar en texto plano.

El CLI de Wireshark — ideal para scripting y archivos grandes. Ej. tshark -r cap.pcap -Y 'http.request' -T fields -e http.host. Misma sintaxis de filtro que la GUI.

En un switch solo ves tu tráfico + broadcasts. Para ver el de otros: puerto SPAN/espejo, tap, o técnica activa como ARP spoofing (solo pruebas autorizadas). El modo promiscuo por sí solo no basta en un switch.

Establece SSLKEYLOGFILE antes de lanzar el navegador, luego apunta Wireshark a ese archivo de claves (Preferencias → Protocolos → TLS). Sin las claves no puedes descifrar — capturar el cifrado no basta.

📚 Recursos relacionados

Informe de pentest asistido por IA

Convierte tus hallazgos de captura en un informe PDF profesional. La IA rellena CVE, CVSS y severidad.

Probar gratis →

¿Quieres los 12 020+ comandos?

Esta cheatsheet de Wireshark es solo una rama del mapa. Pentest Mindmap organiza 12 020+ comandos en 34 categorías — de recon a post-explotación — con búsqueda instantánea y copia en un clic.

Empezar gratis →