La Wireshark Foundation ha publicado Wireshark 4.6.4, una actualización de mantenimiento que corrige múltiples vulnerabilidades de seguridad y mejora significativamente la estabilidad del analizador de protocolos más utilizado en entornos de redes, ciberseguridad y troubleshooting avanzado. Esta versión soluciona fallos que podían provocar agotamiento de memoria, crashes y degradación de rendimiento, por lo que la actualización es altamente recomendada en entornos productivos y de laboratorio.
¿Qué es Wireshark y por qué esta actualización es relevante?
Wireshark es un analizador de protocolos de red open source utilizado por administradores de sistemas, ingenieros de redes, analistas SOC y desarrolladores para inspeccionar tráfico en tiempo real o a partir de capturas (pcap/pcapng).
En entornos corporativos, Wireshark no solo se utiliza para diagnóstico, sino también para:
-
Análisis forense de incidentes.
-
Validación de implementaciones de protocolos.
-
Troubleshooting avanzado de aplicaciones.
-
Educación y laboratorio de redes.
Por ello, cualquier vulnerabilidad en sus dissectors puede convertirse en un vector de denegación de servicio (DoS) local.
Vulnerabilidades corregidas (CVE-2026-3201, CVE-2026-3202, CVE-2026-3203)
La versión 4.6.4 corrige tres fallos de seguridad importantes:
|
Vulnerabilidad |
Descripción técnica |
Impacto |
|---|---|---|
|
CVE-2026-3201 |
Agotamiento de memoria en el dissector USB HID |
Posible DoS por consumo excesivo de memoria al procesar paquetes malformados |
|
CVE-2026-3202 |
Crash en dissector NTS-KE |
Cierre inesperado al analizar tráfico Network Time Security Key Establishment |
|
CVE-2026-3203 |
Crash en dissector RF4CE |
Fallo al procesar tráfico Radio Frequency for Consumer Electronics |
🔎 USB HID Memory Exhaustion
El fallo más relevante afecta al dissector USB HID (Human Interface Device). Un paquete especialmente manipulado podía provocar:
-
Consumo progresivo de memoria.
-
Inestabilidad en sesiones largas.
-
Terminación inesperada del proceso.
En entornos donde se analizan capturas USB (por ejemplo, debugging de dispositivos embebidos o hardware), este problema podía generar interrupciones críticas.
Mejora clave de rendimiento: corrección en “Expert Info”
Uno de los cambios más importantes a nivel técnico es la corrección de un problema de degradación cuadrática en el sistema Expert Info.
Antes de 4.6.4:
-
A medida que aumentaba el volumen de tráfico analizado,
-
El procesamiento de eventos Expert Info se volvía progresivamente más lento,
-
Impactando sesiones extensas o análisis de archivos pcapng grandes.
Ahora:
-
Se elimina el comportamiento O(n²).
-
El rendimiento es estable en sesiones prolongadas.
Para equipos SOC y análisis forense de grandes capturas, esta mejora es especialmente significativa.
Correcciones en TShark, editcap y formatos de captura
TShark y editcap también recibieron fixes importantes:
-
Eliminados segmentation faults al exportar en formato BLF.
-
Corrección en la escritura inválida de bloques Darwin en pcapng.
-
Fix en opciones personalizadas de string en archivos pcapng.
-
Mejoras en soporte BLF y TTL capture.
Esto es particularmente relevante en pipelines automatizados donde se utiliza TShark en:
-
Scripts de análisis batch.
-
Integraciones CI/CD.
-
Procesamiento masivo de capturas.
Protocolos afectados por correcciones
Aunque no se agregaron nuevos protocolos, se actualizaron múltiples dissectors:
-
Art-Net (PollReply decoding)
-
BGP
-
IEEE 802.11
-
IPv6
-
ISAKMP
-
MySQL
-
NAS-5GS
-
SOCKS
-
USB HID
-
TDS (desincronización en RPC)
-
Zigbee Direct Tunneling (crash detectado por fuzzing)
Esto mejora la precisión del análisis y reduce falsos “Malformed Packet”.
Problema resuelto con Npcap en Windows
En sistemas Windows, Wireshark podía fallar al iniciar si:
Npcap estaba configurado con la opción:
“Restrict Npcap driver’s access to Administrators only”
Ese problema ha sido corregido, lo que mejora la compatibilidad en entornos empresariales con políticas de seguridad estrictas.
Cómo actualizar a Wireshark 4.6.4
Se recomienda actualizar inmediatamente.
En Linux
Dependiendo de la distribución:
# Debian / Ubuntu sudo apt update sudo apt install wireshark
# RHEL / Rocky / Alma sudo dnf update wireshark
Si necesitas la versión más reciente y tu repositorio aún no la ofrece, puedes descargar el paquete oficial desde el sitio del proyecto.
En Windows y macOS
Descargar directamente desde el sitio oficial:
https://www.wireshark.org/download.html
Recomendaciones para entornos profesionales
Si utilizas Wireshark en:
-
Laboratorios de red
-
Análisis forense
-
Entornos SOC
-
Investigación de protocolos
-
Desarrollo IoT o USB
Te recomiendo:
-
Actualizar inmediatamente a 4.6.4.
-
Validar integridad de tus herramientas CLI (TShark, editcap).
-
Revisar scripts automatizados que generen BLF o pcapng.
-
Documentar la actualización en tu inventario de herramientas de seguridad.
Las vulnerabilidades en herramientas de análisis suelen subestimarse, pero pueden convertirse en vectores de ataque en entornos compartidos.
Conclusión
Wireshark 4.6.4 no introduce nuevas funcionalidades, pero sí corrige vulnerabilidades críticas y mejora la estabilidad general del analizador. El fix del USB HID memory exhaustion y la corrección del problema de rendimiento en Expert Info hacen que esta versión sea una actualización obligatoria.
En entornos profesionales, mantener actualizado el stack de herramientas de análisis es tan importante como parchear servidores o appliances de red. Si trabajas en seguridad, redes o SRE, esta actualización no debería postergarse.






