Burp Suite es la herramienta de referencia para auditar la seguridad de aplicaciones web interceptando y manipulando el tráfico entre el navegador y el servidor. Funciona como un proxy interceptor: se coloca en medio de la conversación HTTP, la congela, y te deja modificar cada petición antes de que llegue al servidor. Para cualquier profesional que quiera hacer seguridad web en serio, dominar este burp suite tutorial básico es el primer peldaño. Lo desarrolla PortSwigger, la empresa fundada por Dafydd Stuttard, autor de The Web Application Hacker's Handbook. Si tu trabajo consiste en auditar web aplicaciones antes de que lo hagan los malos, esto te ahorra semanas de dolor. Aviso de MataSpam: úsalo solo contra sistemas que te pertenezcan o para los que tengas permiso escrito. Lo demás es delito, no pentesting.
Qué es Burp Suite y por qué todo pentester lo usa
Burp Suite es una plataforma integrada de herramientas para probar la seguridad de aplicaciones web. No es un botón mágico de "hackéame esto". Es un banco de trabajo donde tú tomas las decisiones.
El corazón del programa es el proxy interceptor. Configuras tu navegador para que salga a internet a través de Burp (por defecto en 127.0.0.1:8080), y de repente ves todo: cabeceras, cookies, parámetros ocultos, tokens. Nada se te escapa.
Existen dos ediciones principales. La Community Edition es gratuita y suficiente para aprender. La Professional cuesta en torno a 449 dólares al año según los precios publicados por PortSwigger en 2024, e incluye el escáner automático de vulnerabilidades y el Intruder sin límites de velocidad. Para empezar tu primer burp suite tutorial, la versión gratuita sobra.
Sus módulos clave:
- Proxy: intercepta y modifica peticiones al vuelo.
- Repeater: reenvía una petición cuantas veces quieras, cambiando parámetros. El caballo de batalla del análisis manual.
- Intruder: automatiza ataques (fuzzing, fuerza bruta, enumeración).
- Decoder: codifica y decodifica Base64, URL, hex, HTML.
- Comparer: compara dos respuestas byte a byte.
- Scanner (solo Pro): busca vulnerabilidades de forma automática.
Instalación y configuración inicial paso a paso
Descarga el instalador desde portswigger.net. Corre sobre Java y hay versiones para Windows, macOS y Linux. En Kali Linux viene preinstalado.
Los pasos para dejarlo listo:
- Arranca Burp y acepta el proyecto temporal (Community no guarda proyectos en disco).
- Ve a Proxy → Options y confirma que el listener está en 127.0.0.1:8080.
- Configura tu navegador. Lo más limpio es usar el navegador embebido de Burp (pestaña Proxy → Open Browser), que ya viene preconfigurado.
- Para interceptar HTTPS necesitas instalar el certificado CA de Burp. Visita http://burp desde el navegador proxificado, descarga cacert.der e impórtalo como autoridad de confianza. Sin esto, el tráfico cifrado te dará errores de certificado.
Un consejo práctico para no volverte loco: en Proxy → Intercept, deja el botón en Intercept is off mientras navegas y actívalo solo cuando quieras congelar una petición concreta. Interceptar todo genera un tráfico insoportable de peticiones a Google Fonts y analíticas.
Este trabajo de auditar web aplicaciones tiene un primo cercano en la infraestructura: entender cómo el tráfico puede desviarse te ayuda a detectar ataques de red como el DNS spoofing y el envenenamiento de caché, donde a la víctima la redirigen a webs falsas.
Cómo auditar una aplicación web con Burp Suite
Aquí es donde el proxy interceptor demuestra su valor. Un flujo de trabajo realista para seguridad web ofensiva:
Mapeo. Navega la aplicación con normalidad mientras Burp construye el site map (pestaña Target). Cada URL, formulario y parámetro queda registrado. Esto te da la superficie de ataque.
Manipulación con Repeater. Localiza una petición interesante (un login, un endpoint de API, un parámetro id), haz clic derecho y Send to Repeater. Ahí cambias valores y observas cómo responde el servidor. ¿El parámetro id=101 te muestra tu factura? Prueba id=102. Si ves la factura de otro, has encontrado un IDOR (Insecure Direct Object Reference), una de las vulnerabilidades del OWASP Top 10.
Fuzzing con Intruder. Para probar cientos de payloads (SQL injection, XSS, rutas ocultas), marca las posiciones y carga un diccionario. La Community Edition limita la velocidad, pero funciona.
Qué vulnerabilidades cazarás típicamente:
| Vulnerabilidad | Cómo la detectas con Burp |
|---|---|
| SQL Injection | Inyectas comillas y payloads en parámetros; buscas errores SQL o cambios de comportamiento |
| XSS | Insertas <script> y ves si se refleja sin escapar |
| IDOR | Alteras identificadores en Repeater |
| CSRF | Analizas si faltan tokens antifalsificación |
| Cabeceras inseguras | Revisas ausencia de HSTS, CSP, X-Frame-Options |
Recuerda que muchas brechas empiezan por aplicaciones internas que nadie audita. El fenómeno del Shadow IT y las aplicaciones no autorizadas multiplica esa superficie de ataque en las empresas, porque nadie sabe siquiera qué hay expuesto.
Burp Suite frente a otras herramientas: OWASP ZAP y compañía
Burp no está solo. La comparativa honesta:
- OWASP ZAP: alternativa gratuita y de código abierto mantenida por la fundación OWASP. Excelente para automatización en pipelines CI/CD y sin coste de licencia. Su interfaz es menos pulida que la de Burp.
- Nikto: escáner de servidores web rápido pero ruidoso, útil como reconocimiento inicial, no como sustituto.
- Nuclei: motor de escaneo basado en plantillas YAML, muy popular para detectar CVEs conocidos a escala.
La realidad del sector: Burp Suite Professional domina el mercado del pentesting profesional por su Repeater, sus extensiones (BApp Store) y su escáner. ZAP gana cuando el presupuesto es cero o cuando quieres integrarlo en automatización. Muchos equipos usan ambos.
Si estás montando la infraestructura digital de un negocio y necesitas que alguien construya la aplicación pensando en seguridad desde el inicio, tiene más sentido delegarlo en un equipo que sepa lo que hace, como los especialistas en desarrollo de páginas web profesionales, que auditar un desastre a posteriori.
Buenas prácticas legales y de seguridad al usar Burp
Un burp suite tutorial serio no puede saltarse la parte legal. Interceptar tráfico de sistemas ajenos sin autorización constituye un delito de acceso ilícito a sistemas informáticos, tipificado en el artículo 197 bis del Código Penal español y en la Directiva 2013/40/UE sobre ataques contra sistemas de información.
Reglas de oro para hacer seguridad web sin acabar declarando ante un juez:
- Practica solo en laboratorios legales: PortSwigger Web Security Academy (gratuita), DVWA, Juice Shop de OWASP o máquinas de HackTheBox.
- En un encargo real, exige un contrato de pentesting con alcance definido por escrito antes de tocar nada.
- Nunca uses el proxy interceptor sobre redes públicas para capturar tráfico de terceros. Eso es interceptación ilegal de comunicaciones.
La higiene de seguridad de las apps que auditas también depende de cómo gestionan las cuentas con permisos elevados. Por eso las auditorías serias revisan la gestión de accesos privilegiados (PAM), porque una credencial de administrador filtrada convierte cualquier hallazgo menor en un problema mayúsculo.
Preguntas frecuentes
¿Burp Suite es gratis?
Sí, la Community Edition es gratuita e incluye el proxy, Repeater e Intruder básico. La versión Professional, con escáner automático y sin límites de velocidad, cuesta aproximadamente 449 dólares al año según los precios de PortSwigger en 2024. Para aprender, la gratuita es más que suficiente.
¿Es legal usar Burp Suite?
La herramienta es totalmente legal y de uso profesional estándar. Lo que puede ser delito es su uso contra sistemas para los que no tienes autorización. Úsalo solo en tus propios sistemas, en laboratorios de práctica o en encargos con contrato firmado.
¿Qué diferencia hay entre Burp Suite y OWASP ZAP?
Burp es líder en pentesting manual profesional gracias a su Repeater y su ecosistema de extensiones. ZAP es de código abierto, gratuito y brilla en automatización dentro de pipelines de desarrollo. Muchos profesionales usan las dos según el contexto.
¿Necesito saber programar para usar Burp Suite?
Para lo básico, no. Puedes interceptar y modificar peticiones sin escribir código. Ahora bien, entender HTTP, HTML y algo de JavaScript o SQL te permite interpretar lo que ves y encontrar vulnerabilidades reales en lugar de solo mirar tráfico.
¿Cómo intercepto tráfico HTTPS con Burp?
Debes instalar el certificado CA de Burp en tu navegador. Visita http://burp mientras navegas a través del proxy, descarga el certificado e impórtalo como autoridad de confianza. Sin este paso, las conexiones cifradas fallarán con errores de certificado.
El siguiente paso
Descarga la Community Edition desde portswigger.net y regístrate gratis en la PortSwigger Web Security Academy. Completa hoy mismo el primer laboratorio de SQL injection: en veinte minutos habrás interceptado tu primera petición y entendido por qué el proxy interceptor es la mejor forma de aprender seguridad web desde dentro. Y si lo tuyo es proteger tu correo del ruido tóxico mientras aprendes, ya sabes dónde encontrarnos.


