¿Wireshark es legal?

Sí, en sí mismo Wireshark es una herramienta legítima ampliamente usada para diagnóstico de red. Lo que es ilegal es usarla para captar tráfico que no tienes autorización para leer. Igual que un destornillador es legal pero forzar una cerradura no.

¿HTTPS me protege completamente del sniffing?

Te protege del contenido del tráfico web — la URL completa, los datos enviados, las cookies — pero no oculta qué dominios estás visitando (el handshake TLS y el SNI son visibles). Para ocultar también eso, hace falta DNS sobre HTTPS/TLS y, en redes muy hostiles, VPN o Tor.

¿Es seguro usar WiFi público?

Razonable si confías en HTTPS y tienes el sistema actualizado. Peligroso si visitas sitios sin HTTPS, si te conectas a aplicaciones internas sin VPN, o si tu equipo tiene servicios escuchando. Una VPN corporativa elimina la mayoría del riesgo en WiFi público.

¿Cómo se detecta si alguien está esnifando mi red?

Es difícil detectar sniffing pasivo porque no genera tráfico. El sniffing activo (ARP spoofing) sí es detectable con herramientas como arpwatch, NDR o IDS configurados para buscar anomalías ARP. La mejor defensa es prevenir, no detectar — port security y DAI en switches eliminan el ataque antes de que ocurra.

¿Las redes con switches en lugar de hubs son inmunes al sniffing?

No completamente. Los switches dificultan el sniffing pasivo (cada puerto solo ve su propio tráfico por defecto), pero técnicas como ARP spoofing, MAC flooding o port mirroring no autorizado siguen permitiendo capturar tráfico. La inmunidad real viene del cifrado en todo el tráfico, no solo de la arquitectura de capa 2.

Sniffer | Qué es y cómo protegerse

Un sniffer es una herramienta — software o hardware — que captura y analiza el tráfico que circula por una red. Es legítimo cuando lo usa el equipo IT para diagnosticar; es un ataque cuando lo usa alguien sin autorización para robar información. La diferencia importa porque la defensa se hace de forma muy distinta en cada caso.

Qué es un sniffer exactamente

Un sniffer (también llamado packet analyzer o network analyzer) es una herramienta que captura los paquetes de datos que circulan por una red y los analiza para que un humano pueda leer su contenido. Wireshark, tcpdump, ettercap o Cain & Abel son ejemplos clásicos. Todos los administradores de red los usan habitualmente.

El sniffer aprovecha que cualquier dispositivo conectado a un segmento de red puede técnicamente leer todo el tráfico que pasa por su interfaz si se pone en "modo promiscuo". Ese modo está pensado para diagnóstico, pero un atacante con acceso a la red lo usa para captar credenciales, sesiones de web, contenido de emails y cualquier cosa que viaje sin cifrar.

El sniffing como ataque era devastador en los años 2000 cuando la mayoría del tráfico iba sin cifrar. Hoy, con HTTPS extendido y VPNs habituales, su impacto es menor — pero sigue siendo crítico en redes mal configuradas, entornos WiFi públicos y redes internas que confían demasiado en que "estamos detrás del firewall".

Sniffing legítimo vs sniffing como ataque

La misma herramienta puede ser defensiva u ofensiva. La diferencia está en la intención, el contexto y la autorización.

Sniffing legítimo (red team / IT)

Diagnóstico de latencia, análisis de protocolos, troubleshooting de aplicaciones, auditorías de seguridad autorizadas, formación. Siempre con consentimiento y desde una posición autorizada en la red.

Sniffing como ataque

Captura no autorizada de credenciales, sesiones, emails, datos personales. Habitualmente desde una posición que el atacante no debería tener: empleado deshonesto, dispositivo comprometido, atacante en WiFi pública.

En auditorías de pentesting, el sniffing siempre forma parte del checklist — porque sigue funcionando en muchas redes corporativas que no han endurecido la capa 2. Si tu red asume que el atacante "no puede llegar dentro", el sniffing pasivo le da las llaves.

Los 4 tipos de ataques de sniffing más habituales

No todos los ataques de sniffing son iguales. Cada uno aprovecha una debilidad distinta y requiere defensas distintas.

Sniffing pasivo en redes mal segmentadas

El atacante con acceso a la red conecta un equipo en modo promiscuo y captura todo lo que pasa. Funciona en redes planas con switches mal configurados o con hubs antiguos. Inservible si todo el tráfico va cifrado y la red está bien segmentada.

ARP spoofing (man-in-the-middle)

El atacante envenena las tablas ARP de los equipos cercanos para que crean que su MAC es la del router. Todo el tráfico pasa por él antes de salir a internet. Sin protección de port-security y dynamic ARP inspection en switches, este ataque sigue siendo trivial en muchas pymes.

Evil twin en WiFi (AP malicioso)

El atacante levanta un punto de acceso WiFi con el mismo SSID que el corporativo. Los dispositivos se conectan automáticamente y todo su tráfico pasa por el atacante. Habitual en eventos, hoteles y aeropuertos. Se mitiga con WPA3-Enterprise y autenticación de servidor.

Sniffing SSL stripping

El atacante intercepta la conexión HTTPS y la degrada a HTTP en el lado de la víctima sin que esta lo note. Captura contraseñas y sesiones en claro. HSTS preload listing y HSTS estricto son la defensa principal.

¿Cuánto resistiría tu red interna a un atacante con acceso físico?

Hacemos auditorías de pentesting interno que incluyen análisis de capa 2: ARP spoofing, segmentación, port security, cifrado real del tráfico interno.

Solicitar pentest interno

Cómo proteger tu red contra el sniffing

La protección contra sniffing es multicapa. Ninguna medida sola es suficiente — todas juntas convierten al sniffing en un ataque inviable.

01 Cifrado en todo el tráfico: HTTPS obligatorio (HSTS preload), VPN para acceso remoto, TLS en correo (STARTTLS, MTA-STS), SSH en lugar de telnet. Si todo va cifrado, lo que el sniffer captura no tiene valor.

02 Segmentación de red con VLANs: aislar usuarios, servidores, IoT y red de invitados. Cada VLAN limita lo que un atacante con acceso a un segmento puede capturar.

03 Port security en switches: limita el número de MACs por puerto, bloquea conexiones desconocidas, detecta cambios anómalos.

04 Dynamic ARP Inspection (DAI) y DHCP Snooping: bloquean ARP spoofing y rogue DHCP. Sin estas dos, los ataques MitM en LAN siguen siendo posibles.

05 WiFi con WPA3-Enterprise y autenticación de servidor: impide evil twin porque el cliente verifica la identidad del AP antes de conectarse.

06 Detección de tráfico anómalo con NDR/IDS: Suricata, Zeek o NDR comercial detectan patrones de sniffing activo y alertan.

Cuándo el sniffing forma parte de una auditoría legítima

En pentesting y red team operations, el sniffing es una técnica estándar para evaluar la postura de seguridad de capa 2 y de las conexiones cifradas. Estos son los escenarios típicos.

Pentest interno de red

El auditor se conecta a la red corporativa (con autorización) y comprueba si puede capturar tráfico relevante. Si sí, hay un problema serio de segmentación o de cifrado.

Auditoría WiFi

Evaluación de la robustez de la red inalámbrica: WPA usado, posibilidad de evil twin, segmentación entre SSIDs, detección de APs no autorizados.

Análisis de aplicaciones internas

Captura del tráfico entre cliente y servidor de aplicaciones internas para detectar credenciales en claro, tokens débiles o datos sensibles sin cifrar.

Cuándo el sniffing es legalmente un delito

En España y la UE, el sniffing sin autorización es un delito grave — independientemente de si se usa la información capturada o no.

El acceso no autorizado a sistemas informáticos está tipificado en el artículo 197 del Código Penal español (descubrimiento y revelación de secretos). El acceso ilegítimo a comunicaciones electrónicas tiene penas de 1 a 4 años de cárcel. En entornos corporativos, además, vulnera RGPD si se accede a datos personales.

Esto importa porque a veces un empleado con conocimientos técnicos quiere "probar" si la red está bien configurada. Aunque la intención sea buena, sin autorización formal por escrito de la dirección, es un delito. Los pentests siempre se hacen con contrato y autorización explícita.

¿Te ayudamos a endurecer la red contra ataques de sniffing?

Segmentación con VLANs, port security, DAI, DHCP snooping, cifrado de tráfico interno y monitorización con NDR. Implantación coordinada con tu equipo o llave en mano.

Solicitar análisis de seguridad de red

El sniffer no es el atacante. La red mal configurada que se lo permite, sí.

El sniffing sigue siendo eficaz en muchas redes corporativas porque la capa 2 no se endurece con el mismo rigor que el perímetro. La defensa contra sniffing no es "comprar más caja" — es aplicar disciplina arquitectónica: cifrar todo, segmentar bien, endurecer los switches y detectar lo anómalo.

En AO Data Cloud abordamos la ciberseguridad como un sistema multicapa donde la red interna es tan importante como el firewall perimetral. Si nunca has hecho un pentest interno, la primera vez suele tener sorpresas — y vale la pena descubrirlas antes que un atacante real.