Burp Suite de PortSwigger es la herramienta estándar de la industria para pentesting de aplicaciones web. Combina un proxy MITM, un escáner activo y pasivo, un fuzzer avanzado y un framework de extensiones en una única plataforma. Desde startups hasta entidades reguladas bajo PCI DSS o ISO 27001, la práctica totalidad de las consultoras ofensivas trabaja sobre Burp Suite, complementándolo con herramientas open-source y alternativas modernas como Caido.
Lo esencial sobre Burp Suite
- Es el proxy MITM de referencia para auditar tráfico HTTP/HTTPS de aplicaciones web y APIs.
- Tres ediciones disponibles: Community (gratuita y limitada), Professional (licencia anual por usuario) y Enterprise (escaneo automatizado a escala).
- Sus módulos clave son Proxy, Repeater, Intruder, Scanner, Decoder, Comparer, Sequencer y Collaborator.
- El BApp Store ofrece cientos de extensiones que amplían el producto para JWT, autorización, fuzzing distribuido o evasión de WAF.
- Burp Suite Enterprise se integra en pipelines CI/CD vía API para escaneo DAST automatizado en cada despliegue.
Qué es Burp Suite y por qué es estándar de facto
Burp Suite nació en 2003 como utilidad escrita por Dafydd Stuttard, autor de The Web Application Hacker's Handbook. Lo que era un proxy ligero terminó convirtiéndose en el motor de PortSwigger Web Security, hoy radicada en Knutsford (Reino Unido) y considerada la principal autoridad en investigación de vulnerabilidades web junto con OWASP.
La consolidación como estándar de facto se explica por tres factores. Primero, su curva de aprendizaje permite que un junior empiece con el Proxy en minutos mientras un senior aprovecha Collaborator o Turbo Intruder. Segundo, la Web Security Academy usa Burp como herramienta oficial, formando a una generación de pentesters ya familiarizados. Tercero, el BApp Store amplía el producto en cualquier dirección.
Las alternativas serias son OWASP ZAP (gratuito, OWASP Foundation) y Caido (retador moderno con arquitectura cliente-servidor nativa). ZAP es comparable para tareas básicas y está bien integrado en CI/CD, mientras Caido aporta mejor usabilidad para auditorías largas. Aun así, Burp sigue ganando cuota cuando el cliente exige resultados auditables y soporte comercial.
Burp Community vs Professional vs Enterprise
PortSwigger comercializa tres ediciones. La elección depende del perfil de uso, el volumen de auditorías y si el escaneo debe automatizarse en pipelines. La tabla resume las diferencias técnicas y comerciales más relevantes.
| Dimensión | Community | Professional | Enterprise |
|---|---|---|---|
| Precio | Gratuita | Licencia anual por usuario (rango medio) | Suscripción anual por número de escaneos concurrentes (rango alto) |
| Scanner activo | No disponible | Incluido (DAST manual y semi-automático) | Incluido y orquestado |
| Throttling | Intruder con velocidad reducida artificialmente | Sin throttling | Sin throttling, escaneo paralelo |
| Automation | No | Limitada vía scripting | API REST completa para CI/CD |
| Integración CI/CD | No | Vía extensiones de terceros | Nativa con Jenkins, GitHub Actions, GitLab |
| Soporte | Comunidad y foros | Comercial estándar | Comercial premium con SLA |
Community es la puerta de entrada para aprender el funcionamiento del proxy o resolver CTFs y laboratorios de la Web Security Academy. Professional es la opción de la mayoría de pentesters, ya que desbloquea Scanner, elimina el throttling y permite trabajar a velocidad real. Enterprise está pensada para equipos AppSec internos que necesitan automatizar escaneos sobre decenas o cientos de aplicaciones y entregar resultados continuos a desarrollo.
Módulos principales
Burp Suite no es una sola herramienta sino una colección de módulos integrados que comparten proxy y Target site map. Conocerlos a fondo diferencia a un auditor avanzado de uno principiante.
Proxy (interceptación MITM)
El Proxy es el corazón del producto. Actúa como un man-in-the-middle entre el navegador del auditor y la aplicación objetivo, capturando cada petición y respuesta HTTP/HTTPS. Permite interceptar tráfico en tiempo real, modificar parámetros antes de que lleguen al servidor o registrar todo el tráfico en el HTTP history. Soporta WebSockets, HTTP/2 y escucha por defecto en 127.0.0.1:8080. La instalación del certificado raíz de Burp como CA de confianza en el navegador es el paso obligatorio para inspeccionar TLS sin alertas. El módulo Proxy es también el punto desde el cual se envían peticiones al resto de módulos vía menú contextual: Send to Repeater, Send to Intruder, Send to Comparer.
Repeater (crafting manual de peticiones)
Repeater permite tomar una petición HTTP capturada por el proxy, modificarla a voluntad y reenviarla cuantas veces sea necesario para observar el comportamiento del servidor ante variantes controladas. Es el módulo donde un auditor pasa más tiempo en testing manual, especialmente para validar hallazgos del scanner, ajustar payloads de inyección o probar lógica de autorización entre usuarios. Cada petición se almacena en una pestaña independiente y se pueden mantener decenas abiertas en paralelo, con resaltado de sintaxis para JSON, XML, HTML y parámetros URL-encoded.
Intruder (fuzzing y enumeración)
Intruder es el motor de fuzzing automatizado de Burp. Permite marcar uno o varios puntos de inyección dentro de una petición y bombardear el servidor con cargas definidas por el auditor: diccionarios de contraseñas, payloads de SQLi o XSS, IDs numéricos para detectar IDORs, identificadores de sesión. Ofrece cuatro modos de ataque (Sniper, Battering Ram, Pitchfork y Cluster Bomb) que combinan posiciones y cargas de formas distintas. El análisis de respuestas se hace por status code, longitud, tiempo o expresiones regulares. En Community el throttling reduce drásticamente su velocidad, lo que lo hace inviable para enumeración seria sin pasar a Professional.
Scanner (activo y pasivo, solo Pro y Enterprise)
El Scanner es el módulo DAST integrado. Funciona en dos modos complementarios. El escáner pasivo analiza el tráfico que ya pasa por el proxy sin enviar nuevas peticiones: cookies sin flag Secure, cabeceras de seguridad ausentes, información sensible en respuestas. El escáner activo envía payloads diseñados para revelar vulnerabilidades, cubriendo XSS reflejado y almacenado, SQL injection, command injection, SSRF, deserialización insegura, XXE y otras categorías del OWASP Top 10. La calidad del scanner de Burp es ampliamente reconocida como la mejor entre herramientas DAST comerciales.
Decoder (codificación y decodificación)
Decoder convierte texto entre URL encoding, Base64, HTML entities, hex, octal y otras representaciones. Es común encadenar varias decodificaciones para inspeccionar tokens opacos, parámetros multiencoded o payloads ofuscados que un WAF ha intentado detectar.
Comparer (diff de peticiones y respuestas)
Comparer muestra diferencias entre dos peticiones o respuestas a nivel de bytes o palabras. Resulta útil para detectar discrepancias sutiles entre la respuesta de un usuario autenticado y un anónimo, entre dos roles con permisos distintos, o al alterar un parámetro. Confirma rápidamente si un cambio en la petición provoca cambio en la respuesta.
Sequencer (análisis de tokens de sesión)
Sequencer evalúa la calidad criptográfica de tokens de sesión, identificadores anti-CSRF o cualquier valor que deba ser impredecible. Recolecta miles de muestras y aplica pruebas estadísticas estándar (FIPS 140-2 entre ellas) para estimar la entropía efectiva. Un token con baja entropía es una vulnerabilidad seria que permite secuestro de cuentas por fuerza bruta.
Collaborator (out-of-band SSRF, blind XSS)
Burp Collaborator es un servicio externo que asigna un subdominio único por sesión y registra cualquier interacción de red entrante (DNS, HTTP, SMTP). Es la pieza que hace posible detectar vulnerabilidades ciegas: si un payload de SSRF provoca que el servidor objetivo resuelva el subdominio de Collaborator, la vulnerabilidad queda demostrada aunque no haya respuesta visible en HTTP. Lo mismo aplica a blind XSS, blind XXE y exfiltración out-of-band.
Target site map
El Target site map mantiene un árbol jerárquico de todos los hosts, paths y parámetros descubiertos por el proxy. Sirve como inventario del alcance auditado, permite filtrar por tipo de contenido o código de respuesta y es la base sobre la que se lanzan escaneos selectivos. Disponer de un site map exhaustivo condiciona la calidad del resto del trabajo.
Configuración básica del proxy para una auditoría
El primer paso de cualquier auditoría es dejar el proxy correctamente configurado. Burp escucha por defecto en 127.0.0.1:8080, pero el flujo varía según el dispositivo del que provenga el tráfico.
La opción más limpia es un Firefox dedicado configurado únicamente para auditorías, con el proxy del sistema apuntado a Burp y el certificado raíz de PortSwigger importado en el almacén de autoridades del propio Firefox. Así se evita contaminar el navegador personal con CAs de pentesting. El certificado se descarga visitando http://burp con el proxy activo.
Para dispositivos móviles, la integración suele hacerse con Foxy Proxy o configurando el proxy a nivel de red WiFi apuntando a la IP de la máquina donde corre Burp. En emuladores Android (AVD), instalar la CA como certificado de sistema requiere remontar la partición /system en modo escritura. Los iPhones y iPads requieren instalar el perfil de configuración y activar la confianza completa en Ajustes > General > Información > Ajustes de confianza del certificado.
Cuando la aplicación cliente no respeta la configuración de proxy del sistema (ciertos clientes nativos o IoT), la solución es un proxy transparente mediante reglas de iptables redirigiendo el tráfico HTTPS al puerto de Burp, con Support invisible proxying activada en el listener.
Workflow típico de un pentest con Burp
Un pentest web profesional sigue fases bien definidas y Burp acompaña en cada una.
Fase 1, passive recon. Antes de tocar la aplicación se navega manualmente por todas las funcionalidades accesibles, con el proxy registrando el tráfico en HTTP history. El objetivo es entender el modelo de datos, los flujos de autenticación y los frameworks tecnológicos. El scanner pasivo emite alertas en paralelo sin generar tráfico activo.
Fase 2, mapping. Se completa el Target site map navegando con cada rol disponible (anónimo, usuario estándar, administrador) hasta disponer de un inventario completo de endpoints, parámetros y métodos HTTP antes de pasar a fase activa.
Fase 3, scanning. Se lanza un escaneo activo sobre el árbol Target. En Professional se hace endpoint por endpoint, controlando carga y evitando funcionalidades destructivas. En Enterprise el scheduler gestiona el escaneo y entrega informe consolidado.
Fase 4, manual testing. El trabajo manual con Repeater e Intruder es donde aparecen las vulnerabilidades de lógica de negocio que ningún scanner detecta: escalada de privilegios entre tenants, race conditions, IDORs en identificadores no triviales, fallos en recuperación de contraseña.
Fase 5, exploitation. Para los hallazgos críticos se construye una PoC reproducible, idealmente como petición curl o script Python que cualquiera del equipo de cliente pueda ejecutar sin necesidad de Burp.
Fase 6, reporting. El informe final cruza los hallazgos del scanner con los manuales, asigna severidad CVSS y prioriza remediación. La calidad del informe importa tanto como la del hallazgo.
Extensiones imprescindibles del BApp Store
El BApp Store es el repositorio oficial de extensiones. Algunas se han vuelto imprescindibles para auditorías profesionales.
- Logger++: registra todo el tráfico con búsqueda regex y exportación CSV. Ideal para auditorías largas.
- Autorize: automatiza el testing de control de acceso. Con la cookie de un usuario bajo, repite cada petición de uno alto y compara respuestas. Detecta IDORs y bypass de autorización en minutos.
- JWT Editor: edita, firma y verifica tokens JWT desde Burp. Imprescindible para APIs autenticadas con JSON Web Tokens.
- Active Scan++: amplía el scanner activo con checks adicionales de OAST, host header injection, CRLF y otros.
- Param Miner: descubre parámetros ocultos comparando respuestas. Encuentra parámetros no documentados que amplían superficie de ataque.
- Reflected Parameters: identifica parámetros cuyo valor se refleja en la respuesta, primer paso para XSS reflejado.
- Turbo Intruder: motor de fuzzing por scripting Python que alcanza miles de peticiones por segundo. Imprescindible para race conditions.
- Bypass WAF: aplica técnicas conocidas de evasión a payloads para sortear firewalls de aplicación.
- GAP (Get All Parameters): extrae parámetros y endpoints del JavaScript de la propia aplicación.
Burp Suite en CI/CD y DevSecOps
Burp Suite Enterprise se integra en pipelines de desarrollo continuo. La arquitectura es cliente-servidor, con un controlador central que orquesta agentes de escaneo distribuidos. La API REST permite lanzar escaneos desde Jenkins, GitHub Actions o GitLab CI en cada deploy a staging, recoger resultados JSON o HTML y bloquear el pipeline si aparecen vulnerabilidades por encima del umbral configurado.
Los trade-offs frente a DAST puros como Acunetix o Netsparker son conocidos. Burp Enterprise aporta mejor profundidad técnica y se beneficia de la investigación de PortSwigger, pero su tiempo de escaneo por aplicación tiende a ser superior y configurar crawlers autenticados requiere más curva. Para equipos AppSec que ya usan Professional, la transición a Enterprise es natural.
Alternativas open-source y comerciales
OWASP ZAP es la opción gratuita más capaz, mantenida por la OWASP Foundation. Su scanner activo es solvente pero la interfaz resulta menos pulida que la de Burp. Tiene buena integración CI/CD vía línea de comandos y modo daemon. Caido ha emergido como retador moderno con arquitectura cliente-servidor nativa y enfoque en colaboración. Su scanner aún no llega a la cobertura de Burp Professional, pero su usabilidad para sesiones largas es superior. Acunetix y Netsparker (ahora Invicti) son DAST comerciales con foco en escaneo automatizado a escala, sin testing manual integrado al nivel de Burp.
Diferencia entre Burp Scanner y un pentester humano
Un scanner automatizado (Burp Scanner, ZAP, Acunetix) detecta vulnerabilidades técnicas reproducibles a partir de payloads conocidos: inyecciones, XSS, cabeceras inseguras, configuraciones por defecto. Su cobertura sobre el OWASP Top 10 técnico es alta y los falsos positivos son bajos en las herramientas líderes. Lo que ningún scanner detecta es la lógica de negocio: que un usuario pueda transferir dinero sin validación, que un descuento se aplique dos veces, que una API revele datos de otro tenant al alterar un identificador no obvio, o que un flujo de recuperación de contraseña tenga un race condition. Ese terreno es exclusivo del pentester humano, que entiende el contexto y formula hipótesis de ataque que ninguna herramienta automatizada puede generar.
La buena práctica consolidada es combinar ambos: el scanner cubre la base técnica reproducible y libera tiempo del auditor para concentrarse en lógica de negocio y encadenamiento de vulnerabilidades.
Preguntas frecuentes
¿Burp Suite Community es suficiente para empezar?
Sí, para aprendizaje y laboratorio Community cubre lo esencial. Los laboratorios oficiales de la Web Security Academy están diseñados para resolverse con Community. La limitación aparece en auditorías reales: la ausencia de Scanner obliga a hacer todo manualmente y el throttling del Intruder hace inviable cualquier enumeración seria.
¿Se necesita licencia legal para auditar con Burp?
Sí, sin matices. Auditar una aplicación sin autorización expresa por escrito del propietario constituye un acceso no autorizado a sistemas informáticos, tipificado en el artículo 197 bis del Código Penal español y en legislaciones equivalentes europeas. El uso de Burp solo es legal sobre activos propios, con contrato de pentesting firmado o en laboratorios diseñados para ello.
¿Burp soporta APIs REST y GraphQL?
Sí, sin restricciones. El proxy captura cualquier tráfico HTTP independientemente del formato (JSON, XML, GraphQL, gRPC sobre HTTP/2). Para GraphQL hay extensiones como GraphQL Raider o InQL que ayudan a introspeccionar el esquema y fuzzear queries y mutations.
¿Se integra Burp con OWASP ZAP?
No directamente, pero ambos pueden encadenarse como proxies en serie. Lo habitual es elegir uno como herramienta principal. Algunas extensiones de Burp permiten importar y exportar formatos compatibles con ZAP para escenarios de migración.
¿Coste anual aproximado?
PortSwigger publica el precio de Professional como licencia anual por usuario. Enterprise se cotiza por número de escaneos concurrentes y la mayoría de organizaciones contacta directamente con el equipo comercial. Conviene consultar las cifras en el momento de compra para evitar referencias desactualizadas.
¿Hay alternativas open-source serias?
OWASP ZAP es la alternativa open-source más capaz, con cobertura comparable a Burp Professional en muchos vectores. Caido tiene licencia híbrida con versión gratuita y de pago. Más allá de estos dos, el ecosistema open-source está fragmentado en herramientas especializadas (sqlmap, ffuf, nuclei) que cumplen funciones puntuales pero no ofrecen un suite integrado.
Recursos relacionados
- Pentesting de aplicaciones web: guía 2026
- Pentesting de APIs REST y GraphQL
- Qué es el pentesting: guía para empresas
- Diferencias entre auditoría caja blanca, negra y gris
- Las 5 vulnerabilidades web más comunes en 2026
- OWASP LLM Top 10 explicado
Pentesting web profesional con Secra
En Secra Solutions nuestro equipo de pentesting web combina Burp Suite Enterprise como motor de escaneo automatizado, Caido para sesiones manuales largas y herramientas propias para bypass, race conditions y abuso de lógica de negocio. Cubrimos OWASP Top 10 web, OWASP API Security Top 10 y OWASP MASVS, con informes auditables alineados con ISO 27001, ENS y PCI DSS.
Si tu organización necesita una auditoría web rigurosa, escríbenos a través de nuestra página de contacto y planificamos el alcance contigo.
Sobre el autor
Equipo de Secra Solutions
Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.