PCAP (Packet Capture)
Formato estándar de archivo que almacena capturas de tráfico de red en bruto. En forense digital, los archivos PCAP son evidencia primaria que contiene las comunicaciones originales sin procesar, esencial para demostrar integridad en investigaciones judiciales.
Sentencia Valencia SKY ECC: sin PCAP original, prueba nula
En enero de 2026, la Audiencia Provincial de Valencia dicto una sentencia que sacudio la practica forense en toda Europa. En el marco de la operacion contra la red de comunicaciones cifradas SKY ECC, el tribunal declaro nulas las pruebas digitales presentadas por la acusacion. La razon: los archivos PCAP originales —las capturas de trafico de red en bruto interceptadas en los servidores de OVH en Roubaix, Francia— nunca fueron proporcionados a la defensa. Lo que se entrego fueron archivos JSON derivados, datos ya filtrados, convertidos y procesados. Sin acceso al PCAP original, resulto imposible verificar la integridad de la evidencia, y el tribunal determino que se habia vulnerado el derecho de defensa.
Este caso ilustra una verdad fundamental del analisis forense de red: el archivo PCAP es la evidencia primaria. Todo lo demas —logs, exportaciones, resumenes, JSON— son derivados. Si no existe el PCAP original con su hash de integridad, la cadena probatoria se rompe.
Leccion clave de Valencia SKY ECC
La Sentencia 24/2026 de la Audiencia Provincial de Valencia establece un precedente critico: la conversion de datos PCAP a formatos derivados (JSON, CSV, logs) sin conservar el archivo original puede invalidar la prueba digital. El PCAP es al analisis de red lo que la imagen forense bit a bit es al analisis de disco: la fuente primaria e irremplazable.
Que es PCAP: definicion tecnica
PCAP (Packet Capture) es un formato de archivo binario que almacena una copia exacta, paquete por paquete, del trafico de red capturado en un punto de la infraestructura. Cada paquete se guarda con su cabecera completa (direccion IP origen y destino, puertos, protocolo, flags TCP, longitud) y su carga util (payload), junto con un timestamp de alta precision que registra el momento exacto de captura.
El formato fue definido originalmente por la biblioteca libpcap (Unix/Linux) y su equivalente en Windows WinPcap/Npcap, utilizada por herramientas como tcpdump y Wireshark. Es el estandar de facto en la industria para el intercambio de capturas de red entre herramientas forenses.
PCAP vs PCAPNG
Existen dos versiones principales del formato:
PCAP clasico (formato libpcap):
- Extension:
.pcapo.cap - Definido por la especificacion libpcap
- Soporta una unica interfaz de captura por archivo
- Sin soporte para metadatos adicionales (comentarios, informacion del sistema)
- Maxima compatibilidad con todas las herramientas de analisis
PCAPNG (PCAP Next Generation):
- Extension:
.pcapng - Definido por el IETF (draft-tuexen-opsawg-pcapng)
- Soporta multiples interfaces de captura en un unico archivo
- Permite comentarios en paquetes individuales y en el archivo global
- Almacena metadatos del sistema de captura (SO, aplicacion, version)
- Soporta estadisticas de interfaz y resolucion de nombres
- Formato nativo de Wireshark desde la version 1.8
Recomendacion forense
Para analisis forense, PCAPNG es preferible porque permite documentar el contexto de captura (herramienta, interfaz, sistema operativo) directamente en el archivo. Sin embargo, si la compatibilidad con herramientas legacy es prioritaria, el formato PCAP clasico sigue siendo la opcion mas universal.
Estructura interna de un archivo PCAP
Un archivo PCAP tiene una estructura binaria bien definida que todo perito forense debe conocer:
| Componente | Tamano | Contenido | Relevancia forense |
|---|---|---|---|
| Global Header | 24 bytes | Magic number (0xa1b2c3d4), version (2.4), timezone offset, precision de timestamps, max packet length, link-layer type | Identifica el archivo como PCAP valido. El magic number permite detectar archivos corruptos o manipulados |
| Packet Header | 16 bytes por paquete | Timestamp (segundos + microsegundos), captured length, original length | El timestamp es la referencia temporal de cada paquete. Si captured length es distinto de original length, el paquete fue truncado |
| Packet Data | Variable | Bytes completos del paquete de red tal como fueron capturados en el cable | Los datos reales de la comunicacion: cabeceras Ethernet, IP, TCP/UDP, y payload de la aplicacion |
Estructura binaria de un archivo PCAP:
+----------------------------------------------------------+
| Global Header (24 bytes) |
| Magic: 0xa1b2c3d4 | Version: 2.4 | SnapLen | LinkType |
+----------------------------------------------------------+
| Packet Header 1 (16 bytes) |
| Timestamp: 1707840000.123456 | CapLen: 1514 | OrigLen: 1514 |
+----------------------------------------------------------+
| Packet Data 1 (CapLen bytes) |
| [Ethernet Header][IP Header][TCP Header][HTTP Payload] |
+----------------------------------------------------------+
| Packet Header 2 (16 bytes) |
| Timestamp: 1707840000.123789 | CapLen: 66 | OrigLen: 66 |
+----------------------------------------------------------+
| Packet Data 2 (CapLen bytes) |
| [Ethernet Header][IP Header][TCP Header (ACK)] |
+----------------------------------------------------------+
| ... (mas paquetes) |
+----------------------------------------------------------+El magic number 0xa1b2c3d4 es la firma del formato PCAP. Si los primeros 4 bytes del archivo no coinciden con este valor (o con 0xd4c3b2a1 en byte order inverso), el archivo no es un PCAP valido o ha sido corrompido. Este es uno de los primeros controles de integridad que realiza un perito al recibir evidencia de red.
Como se captura trafico en formato PCAP
La captura de trafico de red puede realizarse mediante diferentes metodos, cada uno con sus ventajas y limitaciones forenses:
tcpdump (linea de comandos)
La herramienta mas utilizada para captura en servidores Linux. Es ligera, no requiere interfaz grafica y puede ejecutarse de forma remota via SSH:
# Captura basica en interfaz eth0, guardar en PCAP
tcpdump -i eth0 -w captura_forense.pcap
# Captura con filtro: solo trafico HTTP y HTTPS
tcpdump -i eth0 -w web_traffic.pcap 'tcp port 80 or tcp port 443'
# Captura con rotacion de archivos (100 MB cada uno, 10 archivos max)
tcpdump -i eth0 -w captura_%Y%m%d_%H%M%S.pcap -C 100 -W 10
# Captura sin resolucion DNS (mas rapido, sin trazas adicionales)
tcpdump -i eth0 -n -w captura.pcapWireshark / dumpcap (interfaz grafica y CLI)
Wireshark ofrece captura con interfaz grafica completa, mientras que dumpcap (su componente de captura) puede usarse desde la linea de comandos:
# Captura con dumpcap (componente CLI de Wireshark)
dumpcap -i eth0 -w captura.pcapng
# Captura con ring buffer (archivos rotativos)
dumpcap -i eth0 -b filesize:102400 -b files:50 -w captura.pcapngNetwork TAPs (hardware)
Los TAPs (Test Access Points) son dispositivos fisicos que se instalan en el cable de red y crean una copia exacta del trafico sin afectar la comunicacion original. Son el metodo de captura mas fiable para evidencia forense porque:
- No introducen latencia ni perdida de paquetes
- No pueden ser detectados por atacantes (son pasivos)
- Capturan todo el trafico incluyendo errores de capa fisica
- No dependen de configuracion de software
SPAN ports (port mirroring)
Los puertos SPAN (Switched Port Analyzer) se configuran en switches gestionados para duplicar el trafico de un puerto (o VLAN) hacia un puerto de monitorizacion:
Switch(config)# monitor session 1 source interface Gi0/1
Switch(config)# monitor session 1 destination interface Gi0/24Limitacion de SPAN
Los puertos SPAN pueden perder paquetes bajo carga alta (oversubscription). En redes con alto trafico, un TAP de hardware es preferible para garantizar la captura completa de toda la evidencia. En un procedimiento judicial, la perdida de paquetes podria comprometer la integridad de la prueba.
Analisis forense de archivos PCAP: flujo de trabajo
El analisis forense de un archivo PCAP sigue un protocolo estructurado para garantizar la admisibilidad de los hallazgos:
Recepcion y verificacion de integridad: Calcular el hash SHA-256 del archivo PCAP recibido y compararlo con el hash documentado en la cadena de custodia. Si no coinciden, la evidencia ha sido alterada y debe documentarse la discrepancia.
Copia de trabajo: Crear una copia exacta del PCAP para analisis, preservando el original en medio de solo lectura (write-blocked). Todo el analisis se realiza sobre la copia, nunca sobre el original.
Analisis de metadatos del archivo: Examinar el Global Header para confirmar formato valido, verificar timestamps (coherencia con la investigacion), identificar la interfaz y el tipo de enlace de capa 2.
Vision general del trafico: Abrir el PCAP en Wireshark y examinar las estadisticas generales: Statistics - Protocol Hierarchy (distribucion de protocolos), Statistics - Conversations (endpoints con mas trafico), Statistics - Endpoints (IPs unicas), y Statistics - I/O Graph (patrones temporales).
Filtrado y aislamiento de trafico relevante: Aplicar display filters para aislar el trafico de interes: IPs sospechosas, protocolos anomalos, periodos temporales criticos, patrones de comunicacion inusuales.
Reconstruccion de sesiones: Usar Follow TCP/UDP/TLS Stream para reconstruir comunicaciones completas. Documentar contenido de sesiones relevantes (credenciales, comandos, datos transferidos).
Extraccion de artefactos: Exportar objetos transferidos (File - Export Objects - HTTP/SMB/TFTP). Extraer ficheros, imagenes, documentos o malware transmitidos por la red.
Correlacion temporal: Construir un timeline forense correlacionando los timestamps del PCAP con otras fuentes de evidencia (logs de sistema, logs de firewall, registros de acceso).
Documentacion y hash de hallazgos: Generar capturas de pantalla de Wireshark mostrando los hallazgos clave. Calcular hashes de todos los artefactos extraidos. Documentar filtros aplicados y metodologia.
Informe pericial: Redactar el informe pericial con los hallazgos, la metodologia utilizada, y las conclusiones fundamentadas en la evidencia analizada.
Caso Valencia SKY ECC: la conversion PCAP a JSON que destruyo la prueba
Antecedentes
SKY ECC era una plataforma de comunicaciones cifradas utilizada por redes criminales internacionales. En marzo de 2021, las fuerzas de seguridad europeas (Europol, policia belga y francesa) desmantelaron la infraestructura de SKY ECC, interceptando las comunicaciones alojadas en servidores de OVH en Roubaix, Francia. El operativo resulto en cientos de detenciones en toda Europa.
El problema forense
La cadena de evidencia digital en el caso SKY ECC fue la siguiente:
[Servidores OVH] [Autoridades francesas] [Paises receptores]
Trafico de red --> Captura en PCAP --> Conversion a JSON --> Entrega
(datos en bruto) (evidencia primaria) (datos derivados) (a defensas)El problema critico: las autoridades francesas capturaron el trafico de red original en archivos PCAP, pero lo que distribuyeron a las autoridades espanolas (y a las defensas) fueron archivos JSON ya procesados. Los archivos JSON contenian los mensajes descifrados y organizados, pero habian pasado por un proceso de conversion que:
- Elimino los metadatos de red: IPs, puertos, timestamps de paquete, cabeceras TCP/IP
- Filtro el contenido: Solo se incluyeron mensajes descifrados, no todo el trafico capturado
- Transformo el formato: De binario (PCAP) a texto estructurado (JSON)
- No se documento el proceso: No hubo metodologia publicada de la conversion
La sentencia
La Audiencia Provincial de Valencia, en su Sentencia 24/2026, determino:
- La defensa no tuvo acceso a los archivos PCAP originales para verificar la integridad de los datos
- Sin el PCAP original, era imposible confirmar que los JSON reflejaban fielmente el trafico interceptado
- La conversion PCAP a JSON constituia un procesamiento de evidencia que debia haber sido documentado y reproducible
- Se vulnero el derecho de defensa al no poder practicar un contrainforme pericial sobre la evidencia primaria
Precedente critico
La sentencia de Valencia establece que entregar derivados (JSON, CSV, logs procesados) sin conservar y proporcionar acceso al PCAP original puede invalidar toda la prueba digital en un procedimiento judicial. Para cualquier perito forense, este caso refuerza la obligacion de preservar siempre la evidencia primaria de red.
Lecciones para la practica forense
| Principio | Aplicacion |
|---|---|
| Preservar siempre el PCAP original | Nunca eliminar o sobrescribir la captura en bruto, independientemente de los formatos derivados que se generen |
| Documentar cada transformacion | Si se convierte PCAP a otro formato, documentar la herramienta, version, parametros y hash del archivo resultante |
| Garantizar acceso de la defensa | La parte contraria debe poder acceder a la evidencia primaria para realizar su propio analisis |
| Hash de integridad en cada paso | Calcular SHA-256 del PCAP original, de cada archivo derivado, y documentar la relacion entre ellos |
Que se puede extraer de un archivo PCAP
Un archivo PCAP contiene una riqueza de informacion forense que va mucho mas alla de las simples comunicaciones:
Sesiones de comunicacion completas
Reconstruccion de conversaciones TCP/UDP entre endpoints. Cada sesion puede ser exportada como texto o binario para documentacion.
Archivos transmitidos
Imagenes, documentos, ejecutables, archivos comprimidos: cualquier fichero transferido por HTTP, FTP, SMB u otros protocolos puede ser extraido del PCAP con File - Export Objects en Wireshark.
Credenciales y autenticaciones
Protocolos sin cifrar (HTTP Basic Auth, FTP, Telnet, SMTP sin TLS) transmiten credenciales en texto claro. Incluso con TLS, los metadatos de autenticacion (timestamps, IPs, certificados) son visibles.
Consultas DNS
Cada consulta DNS realizada por un equipo queda registrada en el PCAP, revelando todos los dominios a los que intento conectarse. Es fundamental para detectar comunicaciones con servidores C2 o DNS tunneling.
Handshakes TLS
Los handshakes TLS exponen informacion valiosa incluso sin descifrar el contenido:
| Campo TLS | Informacion forense |
|---|---|
| Server Name Indication (SNI) | Dominio al que se conecta el cliente (visible en texto claro) |
| Certificado del servidor | Identidad del servidor, autoridad certificadora, fechas de validez |
| JA3 Fingerprint | Huella digital del cliente TLS (identifica software/malware) |
| JA3S Fingerprint | Huella digital del servidor TLS |
| Version TLS | TLS 1.0/1.1 (obsoletas) vs 1.2/1.3 (actuales) |
| Cipher suites | Algoritmos de cifrado negociados |
Patrones de comportamiento
Analisis temporal del trafico para detectar beaconing (comunicaciones periodicas tipicas de malware C2), horarios anomalos de actividad, y volumenes de transferencia inusuales que sugieren exfiltracion de datos.
Herramientas forenses para analisis de PCAP
| Herramienta | Tipo | Funcion principal | Caso de uso forense |
|---|---|---|---|
| Wireshark | GUI multiplataforma | Analisis grafico de paquetes con decodificacion de 3.000+ protocolos | Analisis detallado, reconstruccion de sesiones, extraccion de archivos |
| tshark | CLI (parte de Wireshark) | Procesamiento automatizado de PCAPs grandes desde linea de comandos | Scripting forense, procesamiento masivo, automatizacion de filtros |
| NetworkMiner | GUI Windows/Linux | Extraccion automatica de artefactos de red (archivos, imagenes, credenciales) | Recuperacion rapida de ficheros transferidos, analisis de host |
| Zeek (antes Bro) | Framework Linux | Generacion de logs estructurados de actividad de red a partir de PCAP | Deteccion de anomalias, DNS tunneling, analisis de protocolo |
| tcpdump | CLI Unix/Linux | Captura y filtrado rapido de paquetes con filtros BPF | Captura en servidores, pre-filtrado de PCAPs grandes |
| Arkime (antes Moloch) | Plataforma web | Full packet capture a gran escala con busqueda indexada | Investigaciones con terabytes de capturas, busqueda retroactiva |
| Suricata | IDS/IPS | Deteccion de amenazas mediante reglas aplicadas sobre PCAP | Identificar ataques conocidos, generar alertas sobre trafico historico |
Combinacion recomendada
En una investigacion forense tipica, el flujo optimo es: captura con tcpdump o TAP de red en formato PCAP, procesamiento inicial con tshark para filtrar trafico relevante, analisis detallado con Wireshark para reconstruir sesiones criticas, y extraccion automatica de artefactos con NetworkMiner. Zeek complementa generando logs estructurados para deteccion de patrones.
Cadena de custodia para archivos PCAP
La preservacion de archivos PCAP requiere controles estrictos de cadena de custodia para garantizar su admisibilidad judicial:
Hashing inmediato
Inmediatamente despues de la captura, calcular el hash SHA-256 del archivo PCAP:
# Calcular hash SHA-256
sha256sum captura_original.pcap > captura_original.pcap.sha256
# Verificar integridad posteriormente
sha256sum -c captura_original.pcap.sha256El hash debe registrarse en el acta de captura junto con: fecha y hora, identidad del operador, herramienta y version utilizada, interfaz de captura, y ubicacion de almacenamiento.
Proteccion contra escritura
El PCAP original debe almacenarse en un medio protegido contra escritura. Las opciones incluyen:
- Medio WORM (Write Once Read Many): Ideal para evidencia judicial
- Write-blocker hardware: Para medios USB o discos externos
- Permisos de sistema: chmod 444 (solo lectura) como minimo
- Sellado criptografico: Firma digital del perito sobre el hash
Registro de accesos
Documentar cada acceso al archivo PCAP: quien accedio, cuando, con que proposito, y que operaciones realizo (solo lectura, copia, analisis). Si se generan archivos derivados (filtrados, exportaciones), documentar su relacion con el PCAP original.
PCAP vs otros formatos de captura de red
| Caracteristica | PCAP | PCAPNG | NetFlow/IPFIX | sFlow |
|---|---|---|---|---|
| Contenido | Paquetes completos (cabeceras + payload) | Paquetes completos con metadatos extendidos | Solo metadatos de flujos (IPs, puertos, bytes, duracion) | Muestreo estadistico de paquetes + contadores de interfaz |
| Detalle forense | Maximo: contenido completo de comunicaciones | Maximo + contexto de captura | Medio: quien hablo con quien, cuanto y cuando | Bajo: estimacion estadistica del trafico |
| Volumen de datos | Muy alto (GB-TB por hora en redes activas) | Muy alto (ligeramente mayor que PCAP por metadatos) | Bajo (KB-MB por hora) | Bajo (similar a NetFlow) |
| Reconstruccion de sesiones | Si: contenido completo recuperable | Si: contenido completo + comentarios | No: solo volumetria y duracion | No: muestreo parcial |
| Extraccion de archivos | Si: Export Objects en Wireshark | Si: mismo proceso | No | No |
| Admisibilidad judicial | Alta: evidencia primaria completa | Alta: evidencia primaria con contexto | Media: metadatos, no contenido | Baja: datos muestreados, no exhaustivos |
| Herramientas de analisis | Wireshark, tshark, tcpdump, Zeek, NetworkMiner | Wireshark, tshark (compatibilidad completa) | nfdump, SiLK, Elastiflow | sFlow-RT, InMon |
| Caso de uso ideal | Investigacion forense detallada, respuesta a incidentes | Investigacion forense con documentacion integrada | Monitorizacion continua a largo plazo, deteccion de anomalias | Redes de alto volumen donde full capture no es viable |
Cuando usar cada formato
Para investigaciones forenses judiciales, PCAP o PCAPNG son imprescindibles: son la unica forma de proporcionar evidencia completa y verificable. NetFlow y sFlow son complementos utiles para contexto y deteccion, pero nunca sustituyen a la captura completa de paquetes como evidencia primaria.
Marco legal: admisibilidad de capturas de red como evidencia en Espana
Fundamento legal de la captura de trafico
La interceptacion y captura de trafico de red en Espana esta regulada por multiples normas:
Codigo Penal (Art. 197): La interceptacion de comunicaciones ajenas sin autorizacion constituye delito, con penas de 1 a 4 anos de prision. Sin embargo, existen excepciones:
- Infraestructura corporativa propia: La empresa puede capturar trafico en su propia red si existe politica de uso notificada a empleados (Art. 20.3 Estatuto de los Trabajadores)
- Autorizacion judicial: En procedimientos penales, bajo orden del juez instructor (LECrim Art. 588 ter a-i)
- Respuesta a incidentes: Captura durante un ciberataque activo como medida de legitima defensa y preservacion de evidencia
RGPD y LOPDGDD: La captura de trafico debe respetar los principios de minimizacion de datos, limitacion de finalidad y proporcionalidad. El perito debe limitar su analisis al trafico relevante para la investigacion.
Requisitos para admisibilidad judicial del PCAP
| Requisito | Descripcion | Como cumplirlo |
|---|---|---|
| Autenticidad | Demostrar que el PCAP fue capturado donde y cuando se afirma | Documentar punto de captura, herramienta, interfaz, timestamp NTP sincronizado |
| Integridad | Demostrar que el PCAP no ha sido alterado | Hash SHA-256 inmediato, almacenamiento protegido contra escritura, cadena de custodia |
| Licitud | Demostrar que la captura fue legalmente autorizada | Politica corporativa informada, autorizacion judicial, o respuesta a incidente documentada |
| Proporcionalidad | Demostrar que solo se capturo lo necesario | Filtros de captura documentados, justificacion del alcance |
| Metodologia | Demostrar que el analisis siguio estandares reconocidos | Referencia a ISO 27037, RFC 3227, NIST SP 800-86 |
Jurisprudencia relevante
STS 1066/2009: Acepto como prueba valida capturas de trafico de red realizadas por administradores de sistemas de la empresa victima durante un ciberataque, siempre que se documentara adecuadamente la cadena de custodia y la captura se limitara a la infraestructura corporativa.
Sentencia AP Valencia 24/2026 (SKY ECC): Declaro nulas las pruebas digitales derivadas de capturas de red porque: (a) no se proporciono acceso al PCAP original, (b) la conversion a JSON no estaba documentada ni era reproducible, y (c) se vulnero el derecho de la defensa a examinar la evidencia primaria.
Obligacion del perito
El perito informatico forense tiene la obligacion de preservar el archivo PCAP original, documentar su hash de integridad, y garantizar que la parte contraria pueda acceder a la evidencia primaria para realizar su propio analisis o contrainforme pericial. La sentencia de Valencia ha reforzado esta obligacion en toda la jurisdiccion espanola.
Preguntas frecuentes
Que es un archivo PCAP y que contiene?
Un archivo PCAP (Packet Capture) almacena una copia exacta, bit a bit, del trafico de red capturado en un punto especifico de la infraestructura. Cada paquete se registra con su cabecera completa (direccion IP de origen y destino, puertos, protocolo, flags TCP, longitud del paquete) y la carga util (payload) que contiene los datos reales de la comunicacion. Ademas, cada paquete incluye un timestamp de alta precision (microsegundos o nanosegundos) que registra el momento exacto de captura. Es el equivalente digital de una grabacion completa de todas las conversaciones que pasan por un cable de red. Los archivos PCAP pueden analizarse con herramientas como Wireshark para reconstruir sesiones de comunicacion, extraer archivos transferidos, identificar credenciales en protocolos no cifrados, analizar consultas DNS, examinar handshakes TLS, y detectar patrones de trafico malicioso como beaconing hacia servidores C2.
Por que fue clave la ausencia de archivos PCAP en la sentencia de Valencia sobre SKY ECC?
En la Sentencia 24/2026 de la Audiencia Provincial de Valencia, los archivos PCAP originales capturados durante la operacion contra SKY ECC —el trafico de red en bruto interceptado en los servidores de OVH en Roubaix, Francia— nunca fueron proporcionados a la defensa. Lo que se entrego fueron archivos JSON derivados: datos ya filtrados, convertidos y procesados por las autoridades francesas. El tribunal determino que sin acceso a los PCAP originales era imposible: (a) verificar que los JSON reflejaban fielmente el trafico interceptado, (b) comprobar si se habia omitido o alterado informacion durante la conversion, (c) realizar un contrainforme pericial independiente sobre la evidencia digital primaria. La sentencia declaro nulas las pruebas y establecio un precedente sobre la obligacion de conservar y proporcionar acceso a la evidencia primaria de red.
Como usa un perito forense los archivos PCAP en una investigacion?
El perito forense utiliza archivos PCAP como evidencia primaria de actividad de red. El proceso comienza con la verificacion de integridad (comparar hash SHA-256 con el registrado en la cadena de custodia), seguido de la creacion de una copia de trabajo sobre la que se realiza el analisis. Usando herramientas como Wireshark o tshark, el perito reconstruye sesiones completas de comunicacion (Follow TCP Stream), extrae archivos transmitidos por la red (Export Objects), identifica patrones de malware por comportamiento de trafico (beaconing, conexiones a IPs maliciosas), verifica conexiones a servidores C2 (Command and Control), analiza consultas DNS para detectar dominios maliciosos o tunneling, examina handshakes TLS para identificar certificados fraudulentos, y documenta toda la actividad con timestamps precisos de milisegundos. Los hallazgos se recogen en un informe pericial con capturas de pantalla, hashes de artefactos extraidos, y referencias a la metodologia aplicada (ISO 27037).
Necesitas analisis forense de capturas de trafico de red? Si tu caso requiere examinar archivos PCAP, verificar la integridad de evidencia de red, o elaborar un informe pericial sobre comunicaciones interceptadas, en Digital Perito realizamos analisis forense especializado con Wireshark y herramientas complementarias, siguiendo la metodologia ISO 27037 y garantizando la cadena de custodia de la evidencia.
Consulta gratuita inicial de 30 minutos para evaluar tu caso.
Contacta ahora - Respuesta en menos de 24 horas
Ultima actualizacion: Febrero 2026 Categoria: Analisis Forense Codigo: ANA-018
Preguntas Frecuentes
¿Qué es un archivo PCAP y qué contiene?
Un archivo PCAP (Packet Capture) almacena una copia exacta del tráfico de red capturado en un punto de la infraestructura. Contiene cada paquete con su cabecera completa (IP origen/destino, puertos, protocolo, timestamps) y la carga útil (payload) del paquete. Es el equivalente digital de una grabación de todas las conversaciones que pasan por un cable de red.
¿Por qué fue clave la ausencia de archivos PCAP en la sentencia de Valencia sobre SKY ECC?
En la Sentencia 24/2026 de Valencia, los archivos PCAP originales (tráfico de red en bruto interceptado en los servidores de OVH) no fueron proporcionados a la defensa. Solo se entregaron archivos JSON derivados (datos ya filtrados y convertidos). El tribunal determinó que sin los PCAP originales, era imposible verificar la integridad de la evidencia, y declaró nulas las pruebas.
¿Cómo usa un perito forense los archivos PCAP en una investigación?
El perito usa herramientas como Wireshark o tshark para: reconstruir sesiones completas de comunicación, extraer archivos transmitidos (imágenes, documentos), identificar malware por patrones de tráfico, verificar conexiones a servidores C2, y documentar la actividad de red con timestamps precisos. El hash SHA-256 del PCAP original es la referencia de integridad para toda la investigación.
Términos Relacionados
Wireshark
Herramienta open source líder mundial para captura y análisis de paquetes de red (packet sniffer) utilizada en análisis forense digital para examinar tráfico de red, identificar comunicaciones maliciosas, reconstruir sesiones, extraer ficheros transferidos, y documentar evidencia de ciberataques.
Análisis de Tráfico de Red
Disciplina de la informática forense que examina el tráfico de red capturado (paquetes, flujos, metadatos) para reconstruir comunicaciones, detectar actividad maliciosa, identificar exfiltración de datos y documentar intrusiones con validez probatoria.
Cadena de Custodia
Procedimiento documentado que garantiza la integridad, autenticidad y trazabilidad de la evidencia digital desde su recolección hasta su presentación en juicio.
Evidencia Digital
Cualquier información almacenada o transmitida en formato digital que puede ser utilizada como prueba en un procedimiento judicial o investigación.
¿Necesitas un peritaje forense?
Si necesitas ayuda profesional con análisis forense digital, estoy aquí para ayudarte.
Solicitar Consulta Gratuita