// OPERACIÓN: Análisis Forense de Tráfico de Red I
// HERRAMIENTA: Wireshark
// OBJETIVO: Auditoría de red doméstica
// ARCHIVO: wifi captura 2.csv
// HALLAZGOS: BROWSER Protocol | QUIC | GitHub Telemetry | WPAD Queries | STUN/SSDP
0x00: Introducción - El lenguaje invisible de tu conexión
Nuestra actividad online no es un flujo silencioso, sino una firma sonora constante.
Cada vez que navegas, tu dispositivo genera un "ruido" de paquetes de datos que rara vez percibimos, pero que cuenta una historia detallada sobre quiénes somos y qué herramientas utilizamos.
Entre el clic y la respuesta transcurren milisegundos donde se libra una batalla por la eficiencia y la visibilidad.
LO QUE EL TRÁFICO PUEDE LLEGAR A REVELAR
• Identidad de tus dispositivos
• Herramientas de seguridad instaladas
• Servicios en segundo plano
• Vectores de ataque potenciales
• Configuraciones de red vulnerables
0x01:¿Quién es POISONXPLOIT?
Uno de los hallazgos más fascinantes y a primera vista, alarmantes, aparece en el paquete 1279.
Mientras el tráfico moderno busca la discreción, este paquete utiliza el protocolo BROWSER, un "grito arcaico" en los pasillos de una red digital moderna, para lanzar un mensaje de difusión (broadcast) a toda la red local 192.168.1.255.
Ese soy yo!! Desesperado porque alguien me escuche.
"0.242648","1279","192.168.1.130","192.168.1.255","BROWSER","243","Host Announcement POISONXPLOIT, Workstation, Server, NT Workstation",""
| CAMPO | VALOR | SIGNIFICADO |
|---|---|---|
| IP Origen | 192.168.1.130 | Mi PC |
| IP Destino | 192.168.1.255 | Broadcast a toda la red |
| Protocolo | BROWSER | Protocolo arcaico de anuncio |
| Hostname | POISONXPLOIT | Bandera roja inmediata |
Este "Host Announcement" identifica al dispositivo como una estación de trabajo llamada POISONXPLOIT.
En cualquier contexto de ciberseguridad, un nombre que alude directamente a técnicas de explotación es una bandera roja (menos mal que soy yo porque en un análisis real, saltan las alarmas)
Sin embargo, como analistas, debemos mirar más allá.
Al cruzar datos, observamos que poco antes, en el paquete 1173, el usuario realizó una consulta DNS para 2devnullpoisonxploit.blogspot.
SÍNTESIS
No es un fantasma malicioso externo, sino la huella de mi propia actividad, forzando F5 para que registre los paquetes.
He configurado el hostname de mi dispositivo alineándolo con mi identidad como investigador de seguridad. Es mi firma digital.
EL RIESGO: Que un dispositivo anuncie voluntariamente nombres tan sugerentes a toda la red local expone metadatos que un atacante podría usar para identificar objetivos de alto valor o investigadores en la red, en casa del herrero...
0x02: La revolución del protocolo QUIC
El tráfico hacia servicios de Google (gemini.google.com, translate.google.es) y Spotify muestra la consolidación de QUIC, un protocolo basado en UDP diseñado para reducir la latencia mediante el 0-RTT (Zero Round Trip Time).
¿QUÉ ES 0-RTT?
- Esto permite que, si el dispositivo ya conoce al servidor, el intercambio de datos útiles comience sin las esperas del tradicional "apretón de manos" de TCP.
- Es como entrar a una discoteca donde el portero ya te conoce: no necesitas mostrar el DNI.
Sin embargo, los datos de los paquetes 919 al 925 revelan un estado de transición interesante en Spotify (gew1-spclient.spotify.com).
| PAQUETE | PROTOCOLO | OBSERVACIÓN |
|---|---|---|
| 919 | QUIC | Protocolo moderno UDP |
| 921-925 | TLSv1.2 sobre TCP | Fallback tradicional |
Aunque vemos el uso de QUIC (paquete 919), los paquetes inmediatamente posteriores (921-925) recurren al tradicional TLSv1.2 sobre TCP.
Esto me indica investigando que, aunque la web moderna se mueve hacia la velocidad de QUIC, los servicios todavía mantienen un modelo híbrido para garantizar la compatibilidad y la estabilidad cuando el nuevo protocolo encuentra obstáculos.
// LA VERDAD CRIPTOGRÁFICA
Lo cierto es que si inspeccionamos más profundamente en la criptografía, realmente se negocia todo bajo TLSv1.3. La transición es un baile complejo entre protocolos antiguos y modernos.
0x03: La telemetría de GitHub
Incluso en estado de reposo aparente, nuestras aplicaciones son narradoras incansables.
La captura muestra una actividad frenética hacia dominios como collector.github.com y api.github.com.
A través de conexiones cifradas con TLSv1.3, se envían constantes ráfagas de "Application Data".
PAQUETES DE TELEMETRÍA DETECTADOS
Paquete 139-142 → collector.github.com
Paquete 172 → api.github.com
Paquete 214 → collector.github.com [LENGTH: 8475 bytes]
Lo que destaca aquí no es solo la frecuencia, sino el volumen.
El paquete 214, por ejemplo, registra una longitud de 8475 bytes, lo que demuestra que la telemetría no es un simple "ping" de presencia.
ANÁLISIS
Es una transferencia significativa de datos sobre:
• Estado del sistema
• Uso de la aplicación
• Comportamiento del usuario
• Métricas de rendimiento
Todo operando en segundo plano de forma totalmente transparente para quien está frente a la pantalla.
0x04: WPAD y Tailscale
La red revela mucho sobre el software que tienes instalado mediante consultas DNS repetitivas para wpad.tail9b1da3.ts.net (paquetes 25-28, 33-34).
Yo uso Tailscale para conectarme fuera de casa por su sencillez siendo gratuito además.
| COMPONENTE | SIGNIFICADO | IMPLICACIÓN |
|---|---|---|
| WPAD | Web Proxy Auto-Discovery | Sistema busca configuraciones de red automáticamente |
| .ts.net | Sufijo de Tailscale | Confirma uso de VPN basada en Mesh |
RIESGO CRÍTICO: VECTOR DE ATAQUE MitM
Más allá de exponer qué herramientas usas, esto supone un riesgo de seguridad crítico.
El protocolo WPAD es un vector clásico para ataques de Man-in-the-Middle (MitM).
Si un atacante en la misma red responde a estas consultas antes que el servicio legítimo, podría redirigir todo tu tráfico a través de un proxy malicioso, interceptando comunicaciones supuestamente privadas.
// ESCENARIO DE ATAQUE
1. Tu dispositivo busca → wpad.tail9b1da3.ts.net
2. Atacante responde primero con IP maliciosa
3. Tu tráfico se redirige a proxy del atacante
4. Comunicaciones "privadas" interceptadas
0x05:Mapeos STUN, SSDP
Un dispositivo detrás de un router se encuentra en una especie de "aislamiento" provocado por el NAT (Network Address Translation).
Para comunicarse con el exterior, debe desarrollar un instinto de supervivencia digital para mapear su entorno.
PAQUETES DE MAPEO DETECTADOS
Paquetes 7-15 → STUN + NAT-PMP
Paquetes 2179-2182 → STUN
IP Origen: 192.168.1.130
Vemos este proceso en los paquetes 7 al 15 y del 2179 al 2182. El dispositivo (192.168.1.130) utiliza STUN y NAT-PMP para interrogar a la puerta de enlace y a servidores externos sobre su dirección IP pública.
| PROTOCOLO | FUNCIÓN | PROPÓSITO |
|---|---|---|
| STUN | Session Traversal Utilities for NAT | Descubrir IP pública desde detrás del NAT |
| NAT-PMP | NAT Port Mapping Protocol | Solicitar apertura de puertos en router |
| SSDP | Simple Service Discovery Protocol | Descubrir dispositivos y servicios en LAN |
Además, el paquete 15 muestra una solicitud SSDP (Simple Service Discovery Protocol) osea que el dispositivo está "olfateando" la red local en busca de otros servicios y vecinos.
// INTERPRETACIÓN
Es el comportamiento de un sistema que necesita desesperadamente entender su ubicación y posibilidades de conexión para poder recibir datos desde el internet abierto.
0x06: Conclusión
Mi análisis nos demuestra que el tráfico de red es un ecosistema vibrante donde conviven la eficiencia extrema de QUIC con los riesgos de protocolos antiguos como BROWSER o las vulnerabilidades de WPAD.
Como veis mi conexión Wi-Fi nunca está realmente en silencio; siempre está revelando nuestras herramientas, nuestras investigaciones y nuestras configuraciones.
A continuación mi recomendación...como esta es mi red, aplica para mí
En casa del herrero...cuchillo de palo
| HALLAZGO | NIVEL DE RIESGO | RECOMENDACIÓN |
|---|---|---|
| Protocolo BROWSER activo | MEDIO | Deshabilitar NetBIOS sobre TCP/IP |
| WPAD queries expuestas | ALTO | Deshabilitar WPAD en configuración de red |
| Telemetría GitHub (8475 bytes) | BAJO | Revisar políticas de privacidad de apps |
| QUIC + TLSv1.3 | POSITIVO | Continuar usando servicios modernos |
| SSDP discovery activo | MEDIO | Firewall para tráfico multicast no deseado |
RECOMENDACIONES COMO ANALISTA
La visibilidad es la primera línea de defensa. ¿Sabes qué dispositivos se están "anunciando" en tu red ahora mismo?
Como experto, mi recomendación es clara:
• Wireshark → Auditorías puntuales de tráfico
• Pi-hole → Gestión de tráfico DNS y bloqueo de telemetría
• Firewall local → Restricción de protocolos legacy (BROWSER, WPAD)
• Monitoreo continuo → SIEM ligero en red doméstica
• Segmentación de red → VLANs para dispositivos IoT/untrusted
"El usuario que desee transformar ese ruido invisible en conocimiento y control debe hacerlo sobre su propia privacidad para convertirse en el cazador y no en la presa."
Sammi De Blas
[EOF] — Your traffic is talking. Are you listening?