Burp Suite: La navaja suiza del hacking web
Publicado el 19 de julio de 2025
Burp Suite es una de las herramientas más poderosas para realizar pruebas de seguridad en aplicaciones web. Creada por PortSwigger, es el estándar de facto en el mundo del pentesting web, tanto para profesionales como para entusiastas de la ciberseguridad.
🧠 ¿Qué es Burp Suite?
Burp Suite es un entorno integrado para realizar pruebas de seguridad en aplicaciones web. Permite interceptar, modificar, repetir y automatizar solicitudes HTTP/S, encontrar vulnerabilidades y explotar errores en tiempo real.
Está disponible en tres versiones:
- Community (gratuita): funcionalidades básicas.
- Professional (de pago): funciones avanzadas, escáner automatizado.
- Enterprise: para entornos corporativos con integración CI/CD.
🧰 ¿Qué se puede hacer con Burp Suite?
- Interceptar y modificar tráfico HTTP/S.
- Detectar vulnerabilidades como XSS, SQLi, CSRF, etc.
- Automatizar escaneos de seguridad.
- Repetir ataques (con Repeater).
- Enumerar directorios/archivos ocultos.
- Manipular formularios, cookies, headers, tokens.
- Realizar fuzzing y bruteforce con Intruder.
🧱 Componentes clave
| Módulo | Función principal |
|---|---|
| Proxy | Intercepta y modifica el tráfico entre navegador y servidor. |
| Repeater | Permite modificar y reenviar solicitudes manualmente. |
| Intruder | Ataques automatizados y fuzzing. |
| Scanner | Escanea en busca de vulnerabilidades (solo versión Pro). |
| Decoder | Codifica/decodifica Base64, URL, HTML, etc. |
| Comparer | Compara respuestas o solicitudes para detectar cambios. |
| Sequencer | Analiza entropía de tokens/session IDs. |
🛠️ Instalación y configuración
✅ Requisitos:
- Java instalado.
- Navegador (recomendado: Firefox).
- Certificado de Burp importado como CA en el navegador.
✅ Configuración del proxy (ejemplo en Firefox):
- Burp escucha por defecto en
127.0.0.1:8080. - Configurá el navegador para usar ese proxy manualmente.
- Importá el certificado desde
http://burppara interceptar HTTPS.
🚀 Flujo básico de trabajo
- Iniciar Burp y configurar el proxy.
- Navegar por la app web con el navegador configurado.
- Interceptar solicitudes en el módulo Proxy.
- Modificar y repetir en Repeater para pruebas manuales.
- Automatizar ataques con Intruder.
- Analizar resultados en Logger, Comparer o Sequencer.
🔐 ¿Es legal usar Burp Suite?
Sí, siempre que:
- Tengas autorización explícita del propietario del sitio.
- Lo uses en entornos de laboratorio, formación o CTFs.
- Estés haciendo auditorías éticas.
❌ Usar Burp para modificar o espiar tráfico de sitios sin permiso es ilegal.
✅ Ventajas
- Muy completo y modular.
- Comunidad activa + excelente documentación.
- Automatización potente con la versión Pro.
- Ideal para OWASP Top 10 y más.
❌ Desventajas
- La versión gratuita no incluye escáner ni Intruder avanzado.
- Curva de aprendizaje media si sos principiante.
- Alto consumo de recursos en escaneos pesados.
🧪 Casos de uso reales
- Descubrir y explotar XSS, CSRF, IDORs, etc.
- Enumerar directorios ocultos en WordPress con Intruder.
- Manipular formularios de login y bypass de autenticación.
- Auditar APIs REST y GraphQL interceptando JSON.
- Verificar tokens JWT y manipular headers personalizados.
📚 Recursos para aprender
- Curso oficial gratuito: https://portswigger.net/web-security
- WebGoat (proyecto OWASP de práctica)
- TryHackMe – salas como "Burp Suite Basics" o "OWASP Top 10"
- Libro: Web Application Hacker's Handbook (por los creadores de Burp)
⚠️ Nota: Aprender a usar Burp Suite te permite entender cómo funciona realmente el tráfico web y cómo se explotan fallas en la lógica o implementación. Es esencial para cualquier profesional de ciberseguridad ofensiva.
Artículos recomendados
Cargando recomendaciones...