Qué es un sniffer: cómo funciona, herramientas y detección 2026

Un sniffer es una herramienta de software o hardware que captura, decodifica y analiza paquetes que circulan por una red para inspeccionar su contenido y metadatos. Existe desde los primeros días de Ethernet y sigue siendo pieza fundamental de cualquier equipo que toque redes en serio. Tiene usos defensivos legítimos como resolución de incidencias, análisis forense, threat hunting y baseline de rendimiento. También tiene usos ofensivos: interceptación de credenciales en redes mal configuradas, espionaje industrial y reconocimiento previo a un ataque más amplio.

Esta guía explica cómo funciona técnicamente, la diferencia entre captura pasiva y activa, las herramientas estándar, casos legítimos y maliciosos, el papel de TLS y cómo detectar sniffing en una red propia.

Lo esencial sobre sniffers

• Un sniffer captura paquetes en capa 2 o 3 del modelo OSI, normalmente poniendo la tarjeta de red en modo promiscuo.
• El sniffing pasivo solo escucha; el activo manipula tráfico (ARP spoofing, port stealing) para forzar que los paquetes lleguen al atacante.
• Wireshark, tcpdump, tshark, Bettercap, Ettercap, Scapy y Zeek cubren el 95% de los escenarios reales.
• TLS reduce el impacto del sniffing sobre el contenido, pero deja expuestos SNI, metadatos y patrones de tráfico.
• La detección defensiva pasa por monitorizar la tabla ARP, alertar sobre cambios de modo en NIC y aplicar reglas IDS específicas.

Qué es un sniffer y cómo funciona técnicamente

Un sniffer interactúa con la pila de red por debajo del nivel de aplicación. En una NIC en modo normal, la tarjeta descarta cualquier trama cuyo MAC destino no coincida con el suyo. Al activar modo promiscuo (cable) o modo monitor (WiFi), la NIC entrega al sistema operativo todas las tramas que detecta. El sniffer recoge esas tramas a través de una API del kernel: libpcap en Linux y macOS, npcap en Windows.

La captura se produce en capa 2 (Ethernet, WiFi) y capa 3 (IP). El sniffer decodifica los encabezados y reconstruye flujos de transporte (TCP, UDP) y aplicación (HTTP, DNS, SMB, TLS, QUIC). Para reducir volumen, se usan filtros BPF (Berkeley Packet Filter), compilados en kernel y aplicados antes de copiar paquetes a userspace. Un filtro típico es tcp port 443 and host 10.0.0.5.

El formato estándar de almacenamiento es pcap (y su sucesor pcapng), un contenedor binario que guarda paquetes con timestamp. Casi toda la cadena de herramientas (Wireshark, tcpdump, Zeek, Suricata, ntopng) lee y escribe pcap.

Sniffing pasivo vs activo

La distinción es crítica tanto para el atacante como para el defensor.

El sniffing pasivo se limita a escuchar. La NIC entra en modo promiscuo o monitor y absorbe lo que pasa sin emitir nada. En redes con hub (extintos en empresa) o WiFi sin cifrar, basta para ver todo el tráfico del segmento. Su ventaja para el atacante es la invisibilidad: no genera tráfico observable a nivel red. La detección requiere técnicas indirectas.

El sniffing activo aplica en redes conmutadas. Cada puerto del switch solo recibe tráfico destinado a la MAC conectada a él. Para capturar tráfico ajeno hay que manipular switch o hosts víctima. Técnicas habituales: ARP spoofing (envenenamiento de caché), MAC flooding (saturar la tabla CAM), DHCP spoofing y DNS spoofing. Todas dejan huella: tráfico ARP anómalo, cambios bruscos en CAM, conflictos de IP. Una red corporativa razonablemente vigilada detecta sniffing activo en minutos, mientras que el pasivo puede pasar inadvertido durante semanas.

Herramientas más usadas

Wireshark

Wireshark es la referencia indiscutible en análisis de paquetes. Interfaz gráfica multiplataforma, decodificador de más de 3000 protocolos y un sistema de filtros de visualización muy potente. Carga un pcap, aplica un filtro como http.request.method == "POST" && ip.dst == 192.168.1.10, y navegas paquete a paquete con la jerarquía de capas desplegada. Permite seguir streams TCP, reconstruir sesiones HTTP, extraer ficheros transferidos por SMB o FTP y exportar objetos descifrados.

Para tráfico TLS, Wireshark descifra sesiones si se le proporciona la clave premaster (SSLKEYLOGFILE en los navegadores) o las claves privadas del servidor en escenarios con RSA key exchange. Con TLS 1.3 y forward secrecy, la única vía práctica es el keylog. Wireshark vive principalmente en el escritorio del analista, no en producción; suele ser la herramienta final sobre capturas obtenidas con tcpdump.

tcpdump

tcpdump es el sniffer CLI canónico en Linux y macOS. Eficiente, ligero y disponible por defecto. Ideal para capturar volúmenes grandes en servidores de producción sin penalizar rendimiento. Sintaxis típica: tcpdump -i eth0 -w captura.pcap 'host 10.0.0.5 and port 443'. La opción -w escribe pcap binario; sin ella, decodifica a stdout.

Opciones útiles en operación real: -s 0 para no truncar paquetes, -G 3600 -W 24 para rotación horaria con 24 ficheros, -C 1000 para rotación por tamaño en megabytes. La sintaxis de filtros es BPF puro: se aprende una vez y se reutiliza en Wireshark, Zeek y otros. Es la primera elección para captura desatendida combinada con análisis posterior en Wireshark.

tshark

tshark es Wireshark sin interfaz gráfica. Comparte motor de disección y filtros, pero corre en terminal y se integra en pipelines. Útil cuando hace falta el detalle de Wireshark en una operación scriptable o en un servidor remoto sin X.

Ejemplo: tshark -r captura.pcap -Y 'http.request' -T fields -e ip.src -e http.host -e http.request.uri extrae hosts y URIs de cada request HTTP en formato tabular. Se usa en análisis forense automatizado, reports en CI y extracción de IoCs sobre pcaps históricos.

Bettercap

Bettercap es el framework moderno para sniffing activo y ataques MITM. Reemplazó a Ettercap como referencia en este nicho. Integra ARP spoofing, DHCP spoofing, DNS spoofing, SSL stripping, captura de credenciales, inyección HTML/JS en sesiones HTTP, ataques WiFi (deauth, captive portal) y Bluetooth Low Energy.

Funciona por módulos (caplets) cargados desde consola interactiva o API. Un caplet típico activa arp.spoof, net.sniff y https.proxy para MITM sobre una víctima. Bettercap es ofensiva pura: aparece en pentest interno, ejercicios de Red Team y también en manos de atacantes reales. Su uso fuera de un alcance autorizado es ilegal en prácticamente cualquier jurisdicción.

Ettercap

Ettercap es el framework MITM clásico, predecesor de Bettercap. Sigue vivo en Kali, pero su desarrollo es lento y muchos plugins están desactualizados. Mantiene base de usuarios por inercia y por plugins concretos (filtros en tiempo real, ataques STP) que Bettercap no replica con la misma comodidad. En auditorías nuevas, lo normal es ir directo a Bettercap.

Scapy

Scapy es una librería Python para construir, manipular, enviar y capturar paquetes. No es un sniffer convencional, pero su función sniff() cubre la captura pasiva y permite escribir lógica de análisis y respuesta a medida en pocas líneas. Útil para PoCs de ataques, fuzzers de protocolo, scripts de detección y testing de productos de red.

Ejemplo mínimo: sniff(filter="udp port 53", prn=lambda p: print(p[DNS].qd.qname)) imprime cada consulta DNS observada. Scapy brilla cuando hace falta capturar y reaccionar (responder con un paquete forjado, modificar y reenviar), terreno donde Wireshark se queda corto.

Zeek

Zeek (antes Bro) no es un sniffer al uso, sino un Network Security Monitor que genera logs estructurados a partir del tráfico observado. En lugar de pcaps gigantes, produce ficheros tabulares con un evento por línea: conn.log, http.log, dns.log, ssl.log, files.log y otros. Resume sesiones TCP con metadatos relevantes (duración, bytes, estado, certificados TLS, hashes de ficheros) y descarta el resto.

Zeek es base de muchas operaciones modernas de threat hunting. Conservar pcap completo es caro; conservar logs Zeek de meses o años es viable y permite búsquedas retroactivas cuando aparece un IoC nuevo. Se complementa con Suricata (IDS basado en firmas) y con SIEM/data lakes (Splunk, Elastic, ClickHouse) que ingieren sus logs.

Casos de uso legítimos

El sniffing pertenece al kit estándar del defensor.

En pentest de red, capturar durante el reconocimiento revela protocolos en uso, autenticaciones débiles (LLMNR, NBT-NS, NTLMv1), servicios expuestos, broadcast de credenciales y rutas de movimiento lateral. Es el primer paso para entender una red interna desconocida y se cruza con pentesting de infraestructura interna y externa.

En threat hunting, los logs Zeek o Suricata se buscan retroactivamente contra IoCs nuevos. Si aparece un dominio C2 en un report de Mandiant, una consulta sobre dns.log de 90 días dice si esa infraestructura tocó la red. Esto encaja con MITRE ATT&CK y el detection engineering basado en comportamiento.

En respuesta a incidentes, el análisis PCAP reconstruye el ataque: exfiltración por DNS tunneling, beaconing C2, transferencia de ficheros sospechosos, intentos de explotación. Sin captura previa, la investigación se queda en suposiciones.

En troubleshooting y baselining, Wireshark sigue siendo la herramienta más rápida para diagnosticar latencias, retransmisiones TCP, problemas MTU, fallos de handshake TLS o congestión de aplicación.

Casos de uso malicioso

El mismo arsenal sirve a un atacante. Los escenarios reales más frecuentes:

Credential harvesting en redes inseguras: WiFi abiertas en hoteles, aeropuertos o coworkings siguen siendo terreno fértil. Un atacante con Bettercap captura credenciales en claro o por protocolos rotos. Aunque HTTPS domina, sobreviven aplicaciones legacy, paneles internos y protocolos como FTP, Telnet o SMTP sin TLS.

ARP spoofing + SSL stripping: tras envenenar ARP, el atacante degrada HTTPS a HTTP cuando el usuario no escribe https:// explícitamente. La defensa pasa por HSTS preload, abordado en la guía de bastionado de redes y sistemas.

Evil twin WiFi: el atacante levanta un AP con el mismo SSID que el legítimo, fuerza desconexiones con deauth y captura el tráfico de las víctimas que se conectan al falso. Combinado con captive portal clonado, recolecta credenciales corporativas.

Packet injection en protocolos RF: en OT, IoT y SCADA, muchos protocolos viajan sin cifrar por radio. Un sniffer SDR permite escuchar y, con la cadena adecuada, inyectar paquetes forjados.

Por qué TLS hace al sniffer menos peligroso (pero no inútil)

La generalización de HTTPS ha cambiado el cálculo del atacante. Cuando una sesión está cifrada con TLS, el sniffer ve el handshake y paquetes cifrados, pero no el contenido en claro. HSTS hace que el navegador rechace HTTP a sitios marcados. Certificate pinning añade una capa más en apps móviles serias. Si todo encaja, el sniffing pierde gran parte de su valor contra usuarios finales.

La palabra clave es "gran parte". Lo que TLS no cifra son metadatos. El SNI viaja en claro en TLS 1.2 y revela qué hostname se visita, aunque no el path ni los datos. Esto basta para perfilar comportamiento. El análisis de tráfico, con tamaños de paquete, timings y patrones, identifica aplicaciones concretas e incluso acciones específicas dentro de ellas con técnicas estadísticas. Conexiones DNS sin DoH o DoT siguen filtrando qué dominios se resuelven.

TLS 1.3 cifra más partes del handshake, elimina algoritmos rotos y fuerza forward secrecy. ECH (Encrypted Client Hello), aún en despliegue durante 2026, cifra también el SNI. Sumado a DoH/DoT, la fuga de metadatos se reduce notablemente. No desaparece: el análisis de tráfico no necesita SNI y sigue siendo un vector de inteligencia válido.

Cómo detectar sniffing en tu red

Detectar sniffing pasivo es difícil por diseño; el activo es más asequible. Las técnicas que mejor funcionan en una red corporativa:

Monitorización ARP: alertar ante cambios anómalos (un MAC asociado de repente a una IP que no le corresponde, conflictos, cambios bruscos en gateway). Herramientas como arpwatch mantienen baseline histórico y notifican desviaciones.

Detección de modo promiscuo: en switches y NICs de gestión, exponer SNMP o NetFlow al SOC. En endpoints Windows, eventos de cambio de NIC a modo monitor pueden integrarse al EDR.

Reglas IDS específicas: Suricata y Snort tienen firmas para ARP, DHCP rogue, DNS spoofing y patrones de SSL stripping. Activarlas reduce la ventana de detección a minutos.

Sondeo activo: enviar un paquete IP con MAC destino fake y observar quién responde. Solo una NIC en promiscuo lo procesará a nivel ARP, delatándose. Funciona en redes pequeñas pero produce ruido.

Honey tokens: credenciales cebo en tráfico de bajo perfil. Si alguien las usa, sabes que hubo captura.

Sniffing en WiFi vs Ethernet vs Cloud

El medio cambia las reglas.

En Ethernet conmutado, el atacante necesita acceso al switch, ARP spoofing o MAC flooding. El defensor controla el switch: 802.1X, port security, DHCP snooping y Dynamic ARP Inspection son contramedidas estándar.

En WiFi, el medio es compartido por diseño. WPA2 y WPA3 cifran tráfico por cliente, pero un sniffer en monitor captura todas las tramas, y un atacante con la PSK descifra sesiones. WPA3 introduce SAE y forward secrecy por sesión. Para corporativo, WPA2/WPA3-Enterprise con certificados es mínimo aceptable.

En cloud (AWS, Azure, GCP) el modelo cambia. No hay NIC física propia: el hipervisor controla el switching virtual y bloquea el modo promiscuo por defecto. Para visibilidad se usan VPC Flow Logs (metadatos), Traffic Mirroring en AWS, vTAP en Azure, Packet Mirroring en GCP. El sniffing desde un EC2 comprometido contra un vecino es prácticamente imposible si la arquitectura está bien diseñada.

Preguntas frecuentes

¿Es ilegal usar Wireshark?

No. Wireshark es software legal en cualquier jurisdicción razonable. Sí puede ser ilegal capturar tráfico de redes ajenas sin autorización. En red propia, lab o auditoría contractual el uso es legítimo. En red de un tercero sin permiso, la captura no autorizada y la revelación de comunicaciones son delitos en España (Código Penal, art. 197) y en la mayoría de marcos europeos.

¿Puedo capturar tráfico TLS?

Capturar sí, descifrar depende. Sin clave, ves paquetes cifrados y metadatos (SNI, IPs, timings, tamaños). Con SSLKEYLOGFILE en Firefox o Chrome, Wireshark descifra sesiones en testing. Con clave privada del servidor solo funciona si el handshake no usa forward secrecy, condición rara en infraestructura moderna. Para descifrar en producción, una arquitectura con TLS termination en proxy reverso da control sin trucos.

¿Un sniffer detecta APT?

Por sí solo, no. Un sniffer captura. La detección de APT requiere análisis sobre lo capturado: Zeek y Suricata como sensores, SIEM como agregador y reglas de detection engineering basadas en MITRE ATT&CK. La visibilidad de red es uno de los pilares de detección de movimiento lateral, exfiltración y C2, pero exige inversión continua en ingeniería de detección.

¿Cómo usar tcpdump en producción?

Limita el filtro BPF al mínimo, configura rotación con -G y -W o -C, escribe a disco rápido y monitoriza el espacio. Evita capturas largas sin rotación: un pcap creciendo sin control llena el disco. Usa -s 96 si solo necesitas headers. Para captura prolongada, considera mover a Zeek logs.

¿Qué diferencia con un IDS?

Un sniffer captura y muestra. Un IDS analiza tráfico en tiempo real contra firmas o anomalías y alerta sobre matches. Suricata o Snort son IDS por firmas; Zeek es más un Network Security Monitor con lógica programable. Un sniffer es general; un IDS añade motor de detección y workflow de alerta.

¿Se necesita admin/root?

Sí, en prácticamente todos los sistemas. Poner una NIC en promiscuo o monitor exige privilegios elevados. En Linux se mitiga con capabilities CAP_NET_RAW y CAP_NET_ADMIN sobre el binario, sin exigir root completo. En Windows, npcap instala un servicio SYSTEM y permite captura a no admin si la instalación lo habilitó. En macOS, los BPF devices requieren permisos sobre /dev/bpf*.

Recursos relacionados

• Qué es el bastionado de redes y sistemas
• Qué es la ingeniería social
• Google Dorks: operadores, OSINT y Red Team
• Maltego: investigación OSINT
• Pentesting de infraestructura interna y externa
• Qué es MITRE ATT&CK: tácticas y técnicas

Auditorías de red con Secra

En Secra trabajamos sobre redes corporativas reales. Hacemos pentest de infraestructura interna y externa con captura controlada y validación de visibilidad, threat hunting sobre logs Zeek/Suricata y análisis forense de PCAP cuando hay un incidente que requiere reconstrucción completa. Si necesitas evaluar exposición real frente a sniffing y ataques MITM, o desplegar capacidad propia de detección sobre tráfico de red, contáctanos y planteamos el alcance adaptado a tu entorno.