
Un escritor de XDA esta semana argumentó a favor de usar pktmon integrado en Windows 11 como herramienta de captura de paquetes de primera línea en lugar de abrir Wireshark para cada triaje. Eso es justo. Wireshark es el estándar de oro para análisis profundo de protocolos y se lo merece en el tramo final de una investigación difícil. También es pesado, orientado a GUI, incómodo en un servidor sin cabeza, y a menudo la herramienta incorrecta cuando la pregunta es “¿hay algún tráfico llegando a este puerto?” Estas alternativas de Wireshark cubren los casos donde la aplicación completa es excesiva o no está disponible: un cuadro Windows que ya viene con pktmon, una máquina virtual Linux donde tcpdump está a un comando de distancia, una sesión de dev de navegador donde un proxy te dice más que una captura cruda.
Probamos 7 herramientas en Windows, macOS y Linux, juzgadas por lo que capturan, qué tan rápido revelan una respuesta y qué tan bien manejan situaciones donde Wireshark en sí es un mal ajuste.
Por qué los ingenieros de redes van más allá de Wireshark
La GUI completa de Wireshark es la herramienta correcta para una autopsia de protocolo lenta. Es la herramienta incorrecta para:
- Capturas sin cabeza en servidores. Instalar una GUI solo para registrar tráfico desperdicia disco y tira de dependencias que quizás no quieras en un host endurecido.
- Triaje de primera línea. Cuando la pregunta es “¿hay paquetes en absoluto?”, un filtro tcpdump de dos líneas es más rápido que la pantalla de inicio de Wireshark.
- Depuración de carga HTTPS. Wireshark puede descifrar TLS con claves, pero un proxy dedicado te muestra el cuerpo de solicitud y respuesta directamente.
- Capturas de larga duración. El búfer de anillo de Wireshark funciona pero los turnos de gigabytes de pcap son más cómodos en tcpdump o registros de Zeek.
- Análisis post hoc de IR. Zeek y NetworkMiner extraen sesiones, archivos y metadatos de un pcap de una manera que un filtro de visualización sin formato no hace.
Comparación rápida
| Aplicación | Mejor para | Plan gratuito | Precio de inicio | Característica destacada |
|---|---|---|---|---|
| pktmon | Capturas de Windows integradas sin instalación | Sí | Gratis con Windows | Se envía con Windows 10/11 |
| tcpdump | Capturas sin cabeza de Linux/macOS en un comando | Sí | Gratis | Omnipresente, pequeña huella |
| termshark | Filtros de Wireshark en una terminal | Sí | Gratis | IU de Wireshark en TTY |
| TShark | El motor de Wireshark sin GUI | Sí | Gratis | Biblioteca de disector completa |
| Fiddler Everywhere | Depuración de sesión HTTP/S con IU moderna | Nivel gratuito | Suscripción para funciones avanzadas | Reglas de reescritura y soporte de scripts |
| Zeek | Monitoreo de red de comportamiento y registros | Sí | Gratis | Registros estructurados, no pcap |
| NetworkMiner | Extrayendo archivos, sesiones, credenciales de un pcap | Nivel gratuito | Nivel profesional de pago opcional | IU de forense pasivo-primero |
Las alternativas
Windows 10/11 pktmon — Mejor para captura de Windows sin instalar nada
pktmon es el monitor de paquetes que Microsoft envía con Windows 10 y 11 de forma predeterminada. pktmon start --etw --pkt-type all registra en un archivo ETL que puedes convertir a pcap con una bandera y abrir en Wireshark más tarde. Para cualquiera que esté triando un cuadro de Windows Server o una computadora portátil donde instalar Wireshark es una solicitud lenta a través de TI, pktmon hace el lado de captura del trabajo con herramientas que ya están en la máquina.
Donde se queda corto: la sintaxis CLI no es amigable a primera vista, y el paso ETL-a-pcap es un movimiento adicional. Solo captura, sin análisis en vivo; Wireshark o TShark abre el archivo.
Precio:
- Gratis: sí, se envía con Windows
- Pagado: no aplica
- vs Wireshark: la misma biblioteca de protocolos en el lado del análisis; el lado de la captura está más cerca de tcpdump que de Wireshark
Migración desde Wireshark: no migras; te emparejas. Usa pktmon para capturar en el host Windows, envía el pcap, abre en Wireshark o TShark en otro lugar.
Descargar: pktmon docs
Resumen: la opción cuando el cuadro es Windows e instalar Wireshark no es el primer movimiento.
tcpdump — Mejor para capturas sin cabeza de Linux y macOS
tcpdump es la herramienta que ya ejecuta todo ingeniero de redes serio. tcpdump -i eth0 -w capture.pcap 'tcp port 443' registra en un pcap que puedes entregar a Wireshark, TShark o cualquiera de las herramientas a continuación. Se ejecuta en cada distribución de Linux y en macOS sin restricciones, su lenguaje de filtro es la misma sintaxis BPF que Wireshark usa para filtros de captura, y su huella es un error de redondeo en cualquier disco.
Donde se queda corto: sin análisis interactivo; el lado de visualización es trabajo de Wireshark. El lenguaje del filtro es BPF del lado de la captura, no el lenguaje del filtro de visualización más amigable.
Precio:
- Gratis: sí
- Pagado: no aplica
- vs Wireshark: el mismo formato pcap, el mismo espíritu del motor de captura, sin GUI
Migración desde Wireshark: los filtros de captura son iguales. tcp port 443 and host 10.0.0.1 funciona en ambos.
Descargar: tcpdump.org
Resumen: la alternativa de Wireshark predeterminada en cualquier host Unix sin cabeza.
termshark — Mejor para filtros de Wireshark en una terminal
termshark envuelve el motor de Wireshark en una IU de texto. Los filtros de visualización, la navegación de la lista de paquetes y la vista del disector en capas están todos allí, solo se representan en TTY. A través de SSH en un servidor, hace lo que antes solía hacer tirar de un pcap de vuelta a un portátil, sin el viaje de ida y vuelta.
Donde se queda corto: TTY tiene límites; las capturas complejas aún se benefician de la GUI completa de Wireshark. El color y la densidad de paneles dependen de la terminal.
Precio:
- Gratis: sí
- Pagado: no aplica
- vs Wireshark: el mismo motor, interfaz TTY
Migración desde Wireshark: los filtros de visualización se transfieren directamente. http.request.method == "POST" se comporta igual.
Descargar: termshark.io
Resumen: la opción para análisis interactivo sobre SSH sin tirar del pcap a casa primero.
TShark — Mejor para el motor de Wireshark sin GUI
TShark es la contraparte CLI de Wireshark, se envía como parte del mismo paquete. Es la herramienta para alcanzar cuando un script necesita extraer campos de un pcap: tshark -r capture.pcap -T fields -e ip.src -e ip.dst -e tcp.dstport. Todo disector que soporta Wireshark, TShark lo soporta. Eso lo convierte en la herramienta de canalización elegida para flujos de trabajo de pcap-a-análisis.
Donde se queda corto: es una CLI, por lo que la investigación exploratoria es más lenta que en la GUI. No es una herramienta de triaje de primera línea.
Precio:
- Gratis: sí
- Pagado: no aplica
- vs Wireshark: la misma base de código, sin GUI
Migración desde Wireshark: los filtros y los nombres de disector se comparten. Los scripts que usan TShark mantienen las mismas referencias de campo que las columnas de visualización de Wireshark.
Descargar: wireshark.org
Resumen: el compañero de automatización de Wireshark, no un reemplazo en el sentido de GUI.
Fiddler Everywhere — Mejor para depuración de sesión HTTP y HTTPS
Fiddler Everywhere es la reconstrucción moderna del proxy clásico de Fiddler. En lugar de una captura de paquete cruda, actúa como un proxy que termina HTTPS que te muestra los cuerpos de solicitud y respuesta directamente, con reglas de reescritura, puntos de interrupción y scripting. Para depurar una API, una aplicación móvil o un flujo de webhook, responde preguntas que Wireshark necesitaría un archivo keylog para tocar.
Donde se queda corto: es una herramienta enfocada en HTTP. Los protocolos que no son HTTP, la inspección de TCP de bajo nivel y las capturas pasivas están fuera de su alcance. El nivel pagado contiene características más avanzadas.
Precio:
- Gratis: nivel limitado
- Pagado: suscripción mensual para funciones avanzadas
- vs Wireshark: complementa en lugar de reemplazar
Migración desde Wireshark: para depuración HTTP, Fiddler muestra los cuerpos legibles directamente; la migración es pasar de descifrado y decodificación a solo decodificación.
Descargar: telerik.com/fiddler
Resumen: la opción cuando el tráfico es HTTP o HTTPS y la carga es la respuesta.
Zeek — Mejor para registros estructurados sobre pcap crudo
Zeek (anteriormente Bro) es una plataforma de monitoreo de red de comportamiento. En lugar de almacenar cada paquete, emite registros estructurados: consultas DNS, protocolos de enlace TLS, solicitudes HTTP, transferencias de archivos, tuplas de conexión. Para monitoreo de larga duración o trabajo de IR durante días de tráfico, el formato de registro de Zeek es lo que realmente quieres grep, no gigabytes de pcap.
Donde se queda corto: es una plataforma de monitoreo, no una herramienta de hacer clic y ver. La configuración y el scripting de eventos son trabajo real.
Precio:
- Gratis: sí
- Pagado: soporte comercial a través de Corelight
- vs Wireshark: forma completamente diferente; registros estructurados vs análisis a nivel de paquete
Migración desde Wireshark: si la pregunta es “qué pasó en la última semana de tráfico”, Zeek es más rápido que buscar archivos pcap.
Descargar: zeek.org
Resumen: la opción cuando el análisis es por sesión en lugar de por paquete.
NetworkMiner — Mejor para extraer sesiones y archivos de un pcap
NetworkMiner es una herramienta de forense pasivo que lee un pcap y reconstruye sesiones, archivos, imágenes, credenciales e inventarios de hosts en una IU orientada a artefactos, no a paquetes. Para una revisión de IR de un pcap que capturó otra persona, revela respuestas en segundos que tomaría filtros de Wireshark y clics de seguimiento de flujo para alcanzar.
Donde se queda corto: es una herramienta enfocada en Windows, aunque la versión gratuita se ejecuta bajo Mono en Linux y macOS. Algunas características de enriquecimiento son de pago.
Precio:
- Gratis: aplicación básica completa
- Pagado: nivel profesional opcional
- vs Wireshark: complemento, no reemplazo
Migración desde Wireshark: carga el mismo pcap; la herramienta te proporciona una vista de sesión y artefacto en lugar de una lista de paquetes.
Descargar: netresec.com
Resumen: la opción cuando el pcap es la entrada y la respuesta es un archivo, credenciales o inventario de hosts.
Cómo elegir
- Elige pktmon si estás en un cuadro Windows y quieres capturar sin instalación.
- Elige tcpdump si estás en un host Linux o macOS y necesitas una captura rápida y pequeña.
- Elige termshark si quieres la experiencia de Wireshark sobre SSH.
- Elige TShark si estás escribiendo análisis de pcap.
- Elige Fiddler Everywhere si el tráfico es HTTP o HTTPS y te importa la carga.
- Elige Zeek si monitorizas redes continuamente y quieres registros estructurados.
- Elige NetworkMiner si clasificas pcaps que te entregan y necesitas sesiones, archivos y hosts rápidamente.
- Mantente en Wireshark para análisis de protocolo exploratorio y trabajo de disector profundo; sigue siendo la herramienta de referencia.
FAQ
¿Sigue siendo Wireshark el mejor analizador de paquetes en 2026?
Para análisis profundo de protocolos, sí. Para cada tarea alrededor de los bordes de ese trabajo (captura sin cabeza, depuración de carga HTTPS, monitoreo de larga duración, triaje IR) otras herramientas hacen el trabajo específico más rápido. La mayoría de los ingenieros terminan ejecutando Wireshark más una o dos de las herramientas anteriores, no intercambiando completamente.
¿Puede pktmon reemplazar a Wireshark en Windows?
Reemplaza el lado de la captura, no el lado del análisis. Registra con pktmon, convierte a pcap, luego abre en Wireshark o TShark. Ese flujo de trabajo es por qué la herramienta integrada de Windows es útil.
¿Cuál es la diferencia entre tcpdump y TShark?
tcpdump es una herramienta de captura esbelta y enfocada con visualización básica. TShark es el motor de Wireshark como CLI: biblioteca de disector completa, filtros de visualización, extracción de campos con scripts. Alcanza tcpdump cuando el trabajo es “capturar y almacenar”; alcanza TShark cuando el trabajo es “leer el pcap y dame campos.”
¿Alguno de estos descifra HTTPS?
Wireshark y TShark pueden descifrar TLS cuando se les proporciona SSLKEYLOGFILE. Fiddler Everywhere termina TLS como proxy, por lo que el descifrado es inherente. tcpdump, termshark y NetworkMiner no descifran TLS.
¿Cuál es la herramienta de captura más pequeña para un contenedor Docker?
tcpdump es pequeño y está disponible en casi todas las imágenes base. Para una alternativa aún más delgada, compilaciones estáticas de tshark o una imagen scratch con un volumen pcap capturado montado funcionan ambas. Zeek es la respuesta incorrecta para un solo contenedor.