(Book) Networking with MikroTik RouterOS: A Practical Approach to Understanding and Implementing RouterOS
Study material for the MTCNA Certification Course, updated to RouterOS v7
$19,97
MikroTik CALEA: Captura legal e integración con herramientas de monitoreo
- Kevin Morán
- No hay comentarios
- Comparte este artículo
Facebook
Twitter
LinkedIn
WhatsApp
Telegram
El paquete CALEA en MikroTik RouterOS permite capturar tráfico de red de forma legal y controlada, cumpliendo estándares de interceptación definidos por la ley de asistencia a las fuerzas del orden (CALEA, por sus siglas en inglés).
¿Qué es CALEA?
CALEA es el acrónimo de Communications Assistance for Law Enforcement Act, una ley federal de los Estados Unidos aprobada en 1994. Desde el punto de vista técnico y de redes, especialmente en contextos de ISPs, telecomunicaciones y ciberseguridad, CALEA tiene implicaciones directas sobre cómo deben estar preparadas las redes para permitir la interceptación legal de comunicaciones.
CALEA es una ley que exige a los proveedores de servicios de telecomunicaciones (incluidos ISPs, VoIP, y proveedores móviles) facilitar las capacidades técnicas necesarias para que las agencias de aplicación de la ley puedan interceptar comunicaciones bajo orden judicial o legal.
Objetivo principal
Garantizar que los operadores de redes puedan proveer acceso legal a las comunicaciones digitales (voz, datos, VoIP, etc.) cuando existe una orden judicial que lo autorice, sin afectar la privacidad del resto de usuarios ni interrumpir el servicio.
¿A quién aplica CALEA?
- ISPs (Internet Service Providers)
- Proveedores de telefonía móvil y fija
- Empresas de VoIP
- Proveedores de servicios de mensajería
- Ciertos operadores de redes privadas o corporativas en EE. UU.
Requisitos técnicos de CALEA
- Capacidad de interceptación: El operador debe poder capturar el tráfico (voz o datos) de un usuario específico sin afectar al resto.
- Transporte seguro: La información interceptada debe ser enviada de forma segura a la agencia autorizada.
- No degradar el servicio: La interceptación no debe interferir con la calidad o disponibilidad del servicio al usuario objetivo ni al resto.
- Monitoreo transparente: El usuario no debe notar que está siendo interceptado.
Implicaciones técnicas para ISPs o redes corporativas
- Necesidad de routers, switches o firewalls compatibles con CALEA, que permitan crear “mirroring” o duplicación de tráfico hacia un punto de monitoreo.
- Algunas plataformas como MikroTik, Cisco, Juniper o Fortinet permiten configuraciones de tipo CALEA (por ejemplo, con port mirroring, traffic sniffing o packet capture remoto).
- Posible integración con sistemas de monitoreo legal (Lawful Intercept Systems).
Ejemplo práctico
Un ISP en EE. UU. recibe una orden legal para interceptar el tráfico de un usuario específico. El administrador configura el router o switch para redirigir ese tráfico a un servidor controlado por la agencia correspondiente, sin interrumpir ni alertar al usuario.
¿CALEA aplica fuera de Estados Unidos?
No directamente, pero muchos países han adoptado leyes similares, como:
- LI (Lawful Interception) en Europa
- Ley de Retención de Datos en varios países de América Latina
- Sistemas de Intercepción Legal usados por agencias como INTERPOL o gobiernos nacionales
¿Qué es el paquete CALEA en MikroTik?
El paquete CALEA permite a MikroTik capturar y reenviar tráfico en tiempo real a un destino externo (servidor o analizador), generando archivos en formato .pcap o enviando flujos directamente por red a una IP y puerto específicos.
Se configura desde /ip firewall calea, y permite definir qué tráfico capturar basado en IPs, puertos, protocolos o interfaces.
¿Es igual al packet flow?
No. El packet flow en MikroTik es un diagrama lógico que describe cómo RouterOS procesa los paquetes. CALEA trabaja encima de ese flujo, permitiendo interceptar paquetes según reglas que se insertan en cadenas como forward, input o output.
Mientras que el packet flow sirve para entender el procesamiento, CALEA sirve para capturar paquetes reales para auditoría, análisis forense o cumplimiento legal.
¿Con qué se puede combinar el paquete CALEA?
Una de las mayores ventajas del paquete CALEA es que puede integrarse con diversas herramientas externas y funciones de MikroTik para mejorar su utilidad.
¿Captura dominios o solo IPs?
El paquete CALEA no captura dominios como texto directamente, pero sí:
- Captura consultas DNS → puedes ver qué dominios se solicitaron.
- Captura tráfico HTTP → puedes ver el encabezado Host (dominio).
- Si el tráfico usa TLS 1.3 con ESNI, solo verás IPs, no dominios.
Escenarios de uso del paquete CALEA
Cumplimiento legal (ISP)
Proveedores de internet pueden usar CALEA para cumplir con ordenamientos legales de monitoreo, interceptando tráfico de un cliente específico bajo requerimiento judicial.
Análisis forense post-intrusión
Ante un ataque o acceso no autorizado, CALEA permite capturar el tráfico de un dispositivo comprometido para análisis detallado.
Detección de fugas de información
Puedes interceptar tráfico saliente de una máquina sospechosa y verificar si se están enviando datos sensibles a través de canales no autorizados.
Monitoreo de tráfico en eventos
En redes públicas o ferias tecnológicas, puedes capturar tráfico que coincida con firmas de ataque, torrents o uso indebido de la red.
Diagnóstico de calidad de red
Captura tráfico VoIP (SIP/RTP) para revisar pérdida de paquetes, jitter o retardos usando herramientas como Wireshark.
Ejemplo de configuración
Comandos para configurar en el MikroTik (cliente CALEA):
/ip firewall calea add \
chain=forward \
action=sniff-pc \
sniff-id=101 \
sniff-target=192.168.88.100 \
sniff-target-port=5555 \
src-address=192.168.88.50
/ip firewall calea add \
chain=forward \
action=sniff-pc \
sniff-id=101 \
sniff-target=192.168.88.100 \
sniff-target-port=5555 \
dst-address=192.168.88.50
Estas reglas capturan todo el tráfico entrante y saliente de la IP 192.168.88.50 y lo reenvían al servidor CALEA en 192.168.88.100:5555.
Herramientas compatibles para actuar como servidor CALEA
Ya que RouterOS v7 no permite guardar .pcap como servidor CALEA, necesitas un sniffer externo que reciba los paquetes reenviados. En RouterOS 6.x, existía /tool calea que te permitía actuar como receptor CALEA (servidor) y guardar .pcap.
En RouterOS 7.x, esta parte fue removida: MikroTik ya no puede guardar archivos .pcap como servidor CALEA.
Ahora el router solo puede reenviar tráfico a un servidor externo o sniffer, como:
| Herramienta | Descripción | Sistema |
| Wireshark | Captura y análisis gráfico de tráfico, ideal para pruebas | Windows, Linux, macOS |
| tcpdump | Captura en línea de comandos (.pcap) | Linux, BSD |
| Arkime (ex-Moloch) | Captura y análisis masivo con interfaz web | Linux |
| Zeek (Bro) | Análisis forense y detección de amenazas en tráfico | Linux |
| Suricata | IDS/IPS que puede recibir tráfico para inspección | Linux |
| Security Onion | Distribución completa de monitoreo de red con CALEA | Linux |
Arquitectura necesaria para Monitorear
¿En qué equipos NO se puede utilizar CALEA?
- Modelos con licencia Level 3 (CPE)
- Ejemplo: hAP lite, RB750r2, algunos dispositivos de cliente.
- Estos equipos tienen funciones limitadas y no soportan paquetes avanzados como CALEA.
- Equipos con poca memoria / CPU baja
- Aunque soporten Level 4 o superior, si tienen hardware muy limitado (poca RAM o CPU), no se recomienda usar CALEA, ya que puede generar sobrecarga.
¿En qué equipos SÍ se puede utilizar CALEA?
- Routers con licencia Level 4 o superior (L5, L6)
- Ejemplo: CCR, RB4011, hEX S, CHR (Cloud Hosted Router con licencia P1/P10/P-Unlimited).
- Son compatibles con paquetes adicionales como CALEA, NetFlow, etc.
- CHR (Cloud Hosted Router)
- Puedes activarlo sin problemas si tienes una licencia paga (aunque también funciona con la Trial para pruebas).
- Ideal para usar como router recolector de tráfico o analizador en virtualizaciones (KVM, VMware, AWS, etc.).
Conclusión
El paquete CALEA en MikroTik representa una herramienta estratégica para la interceptación legal y el monitoreo avanzado de redes. Su capacidad para capturar y reenviar tráfico en tiempo real, bajo criterios precisos y configurables, lo convierte en un recurso indispensable para proveedores de servicios, investigadores forenses y administradores de red que requieren trazabilidad y cumplimiento normativo.
Aunque su alcance puede verse limitado en entornos cifrados modernos (como TLS 1.3 con ESNI), su integración con herramientas como Wireshark, Zeek o Suricata maximiza su potencial para análisis detallado y respuesta ante incidentes. La correcta elección del hardware y su combinación con arquitecturas adecuadas garantiza un monitoreo eficaz sin comprometer el rendimiento de la red.
En definitiva, CALEA no solo permite cumplir con requerimientos legales, sino que se posiciona como un pilar técnico para el análisis, la detección de amenazas y la mejora continua de la seguridad en redes gestionadas con MikroTik.
Breve cuestionario de conocimientos
¿Qué te pareció este artículo?
¿Te atreves a evaluar tus conocimientos aprendidos?
Libros recomendados para éste artículo
Libro Seguridad Avanzada RouterOS v7
Material de estudio para el Curso de Certificación MTCSE, actualizado a RouterOS v7
$19,97
Autoestudio MikroTik
Estudia las certificaciones MikroTik a tu propio ritmo
Autoestudio
Aprende a tu propio ritmo
advertisement (anuncio)
Artículos Relacionados
MikroLABs
Otros temas que te pueden interesar
Cómo funciona el DHCP Alert y para qué sirve
abril 22, 2026
Qué es el Burst y cómo funciona en redes
abril 21, 2026
advertisement (anuncio)
Escríbenos por WhatsApp (+593 98 700 0604)
¿Quieres sugerir un tema?
Todas las semanas posteamos nuevo contenido. Quieres que tratemos sobre algo específico?
Próximos Cursos
Libros MikroTik (español)
advertisement (anuncio)
MONARC Latin America: Soluciones Tecnológicas - monarclatinamerica.com.gt - Guatemala
1
Haz clic para chatear