La llegada de Wireshark 4.6 supone una actualización de calado para uno de los analizadores de protocolos de red más usados en todo el mundo, como cuando se publicó la nueva versión de Wireshark 3.0.0. Esta versión introduce un buen puñado de funciones pensadas para mejorar la visualización, el rendimiento de las capturas y la interoperabilidad con otras herramientas, sin dejar de lado ajustes finos en columnas, formatos de tiempo y estadísticas.

Además de las mejoras internas, el proyecto refuerza su soporte multiplataforma con paquetes actualizados para Windows y macOS, y mantiene su distribución para Linux tanto en fuentes como en formatos como Flatpak. La edición también incorpora cambios en dependencias y componentes del sistema, buscando mayor estabilidad y un ciclo de vida más claro para el usuario profesional.

Novedades destacadas de Wireshark 4.6 en análisis y visualización

Una de las grandes incorporaciones es el nuevo diálogo «Plots», que permite generar diagramas de dispersión con múltiples trazas, marcadores y desplazamiento automático. Con ello, se facilitan diagnósticos visuales más ágiles en sesiones largas o con patrones de tráfico cambiantes.

También se ha añadido la compresión de capturas en vivo mientras se escribe a disco, algo especialmente útil en entornos de alta tasa de paquetes. En paralelo, la escritura de campos de tiempo absoluto en salida JSON (-T json) adopta el formato ISO 8601 en UTC, y las columnas de tiempo UTC muestran el sufijo Z conforme al estándar.

En materia de descifrado, Wireshark puede ahora descifrar NTP usando NTS (Network Time Security). Para que funcione, es necesario contar con los secretos de cliente TLS, los secretos del exportador y los paquetes de NTS-KE. Además, la capacidad de manejar MACsec se amplía: es posible utilizar el SAK desempaquetado por el disector MKA o el PSK configurado directamente en el disector de MACsec. Para completar, los ejes del TCP Stream Graph usan prefijos SI, afinando la lectura de magnitudes.

Mejoras por plataforma y ajustes de captura

En Linux, los filtros de captura con extensiones BPF como inbound, outbound e ifindex pueden emplearse directamente para capturar, lo que abre la puerta a escenarios avanzados de filtrado a nivel de kernel. Cuando se hace packet matching, el tipo subyacente de los campos EUI-64 pasa a bytes, mejorando la consistencia.

En macOS, Wireshark puede ahora procesar información adicional que tcpdump proporciona: datos de proceso, metadatos de paquete, identificadores de flujo o eventos de pérdida, entre otros. Esto enriquece el análisis en equipos de Apple sin configuraciones complejas.

En Windows, los instaladores se distribuyen con Npcap 1.83 (anteriormente 1.79), y tanto en Windows como en macOS los paquetes oficiales pasan a Qt 6.9.3 (antes 6.5.3). En macOS se ofrecen instaladores universales, válidos para Arm64 e Intel, simplificando la elección del binario.

Columnas, tablas y utilidades: más control y coherencia en Wireshark 4.6

Las columnas personalizadas incorporan una opción para mostrar valores con el mismo formato que en los detalles del paquete, evitando discrepancias visuales entre paneles. Además, DNP3 aparece ahora en las tablas de Conversations y Endpoints, y el fichero ethers admite asignaciones de nombre EUI-64.

El diálogo de exportación de disecciones en la GUI puede emitir los bytes hex en bruto del marco para cada campo, con o sin exportar el valor del campo. Por su parte, la API de Lua suma soporte para funciones de cifrado simétrico de Libgcrypt, lo que amplía las opciones de scripting y automatización.

En las propias tablas de Conversations y Endpoints se añade un conmutador para mostrar conteos exactos de bytes y tasas de bits, en lugar de formatos humanamente legibles con unidades SI. Y TShark estrena la preferencia -o statistics.output_format para controlar el formato de salida de ciertos taps de estadísticas.

Importación, exportación y flujo de trabajo

La función «Import from Hex Dump» y text2pcap aceptan ahora grupos de 2 a 4 bytes, lo que facilita reconstruir capturas a partir de volcados de texto heterogéneos. Además, desde «Print» y «Export Packet Dissection» se pueden añadir marcas de tiempo de trama como preámbulo en los hex dumps.

La lista de paquetes y la de eventos ya no permiten filas multilínea, lo que mejora la legibilidad y evita saltos inesperados. También se incorpora Follow Stream para PIDs de MPEG-2 Transport Stream, y el seguimiento de HTTP/2 para sesiones 3GPP sobre 5G puede habilitarse de forma opcional.

En el menú Edición aparece «Copy › as HTML» para copiar texto plano con columnas alineadas y elegir el formato al usar atajos de teclado, mientras que en Ver se añade la opción de redissecar paquetes manualmente. Cuando Wireshark se compila con Qt 6.8 o superior (como en los instaladores oficiales), el tema claro/oscuro puede fijarse independientemente del ajuste del sistema en Windows y macOS.

Formatos y protocolos que se suman

En el apartado de formatos, Wireshark 4.6 añade decodificación de RIFF y TTL, ampliando su alcance más allá de los protocolos puramente de red.

La lista de nuevos protocolos soportados es extensa y toca múltiples sectores: paquetización industrial, automoción, IoT, satélite o móviles. Entre ellos se encuentran AKP, Binary HTTP, BIST TotalView-ITCH y BIST TotalView-OUCH, además de varias incorporaciones de Bluetooth y Bundle Protocol Security:

• Asymmetric Key Packages (AKP)
• Binary HTTP
• BIST TotalView-ITCH (BIST-ITCH)
• BIST TotalView-OUCH (BIST-OUCH)
• Bluetooth Android HCI (HCI ANDROID)
• Bluetooth Intel HCI (HCI INTEL)
• BPSec COSE Context y BPSec Default SC
• Commsignia Capture Protocol (C2P)

También llegan tecnologías de redes móviles, medición y encapsulados especializados como DECT NR+ (DECT-2020), DLMS/COSEM, Ephemeral Diffie-Hellman over COSE, ILNP, tráiler LDA_NEO_TRAILER, LSDP, LLC V1 y el protocolo interno vSomeIP:

• DECT NR+ (DECT-2020 New Radio)
• DLMS/COSEM
• Ephemeral Diffie-Hellman Over COSE
• Identifier-Locator Network Protocol (ILNP)
• LDA Neo Device trailer (LDA_NEO_TRAILER)
• Lenbrook Service Discovery Protocol (LSDP)
• LLC V1
• vSomeIP Internal Protocol (vSomeIP)

La hornada se completa con soporte a Navitrol messaging, NTS-KE, sensores LIDAR como Ouster VLP-16, Private Line Emulation (PLE), RC V3, RCG, Roughtime, SBAS L5 y aprovisionamiento remoto de eSIM SGP.22 y SGP.32:

• Navitrol messaging
• Network Time Security Key Establishment Protocol (NTS-KE)
• Ouster VLP-16
• Private Line Emulation (PLE)
• RC V3 y RCG
• Roughtime
• SBAS L5 Navigation Message
• SGP.22 GSMA Remote SIM Provisioning (SGP.22)
• SGP.32 GSMA Remote SIM Provisioning (SGP.32)

Por último, se añaden protocolos y canales orientados a automatización y USB, entre otros: SICK CoLA (ASCII y Binary), Silabs Debug Channel, XCP, USB-PTP y mensajes de VLP-16 Data and Position.

Funciones retiradas de Wireshark 4.6 y cambios en dependencias

Con esta versión Wireshark deja de soportar AirPcap y WinPcap. En sistemas Windows se utiliza Npcap de forma predeterminada, por lo que WinPcap puede desinstalarse si aún permanecía en el sistema.

También se abandona el soporte para las versiones 1 y 2 de libnl (Netlink Protocol Library Suite), y libxml2 pasa a ser dependencia requerida. A nivel de construcción, la opción de CMake ENABLE_STATIC se retira a favor de BUILD_SHARED_LIBS, unificando criterios en el proceso de compilación.

Disponibilidad de Wireshark 4.6 y descarga

Wireshark 4.6 se puede descargar desde su sitio oficial en forma de código fuente para compilar, además de paquetes precompilados para Windows y macOS. Allí también están disponibles las notas de este lanzamiento. En Linux, la aplicación está disponible como Flatpak en Flathub, facilitando su despliegue en múltiples distribuciones.

Si ya usabas la rama 4.4 o 4.2, notarás que muchas de estas mejoras no exigen cambios de flujo y se integran de forma natural en el trabajo diario: gráficos más útiles, exportaciones más ricas y nuevas capacidades de descifrado abren la puerta a análisis más precisos sin sacrificar rendimiento.

Esta versión consolida a Wireshark como herramienta de referencia al sumar visualización avanzada, soporte de protocolos emergentes y un mantenimiento cuidadoso de paquetes y dependencias, reduciendo fricciones tanto para quien captura tráfico a diario como para quien disecciona formatos específicos.