Las aplicaciones web manejan todo lo que importa hoy: datos personales, pagos, expedientes médicos, accesos corporativos. Por eso también son el blanco favorito de los atacantes. Según el Verizon DBIR 2025, los ataques a aplicaciones web siguen siendo el vector número uno en brechas externas, y la mayoría se aprovecha de fallos conocidos: inyecciones SQL, XSS, autenticación rota, exposición de endpoints.
Aquí es donde Burp Suite se vuelve indispensable. Es la herramienta estándar de la industria para pentesting web (pruebas de penetración en aplicaciones), usada por equipos de red team, pentesters, bug bounty hunters y analistas de seguridad. En esta guía vas a ver qué es, cómo funciona, qué diferencia hay entre la versión gratuita y la profesional, cómo se instala y cómo se usa paso a paso para detectar vulnerabilidades reales.
Burp Suite es una plataforma de pruebas de seguridad para aplicaciones web desarrollada por PortSwigger. Funciona como un proxy intermedio (proxy de interceptación, un punto que se coloca entre el navegador y el servidor) que permite ver, modificar y reenviar todo el tráfico HTTP y HTTPS que pasa entre el cliente y la aplicación.
A partir de ese punto de control, Burp añade un conjunto de módulos especializados (Proxy, Scanner, Intruder, Repeater, Decoder, Sequencer y Extender) que permiten desde escaneos automatizados hasta pruebas manuales avanzadas. Es, en la práctica, el cuchillo suizo del pentester web.
Está disponible en tres ediciones: Community (gratuita), Professional (pago anual, enfocada a pentesters individuales y consultores) y Enterprise (escaneos automatizados a escala, pensada para integrarse en pipelines de DevSecOps (seguridad integrada en el ciclo de desarrollo)). En esta guía nos vamos a centrar en Community y Professional, que son las que usa el 95% de los profesionales de seguridad ofensiva.
Los casos de uso principales son:
Esta es la duda más común antes de empezar. La diferencia no es cosmética: cambia por completo lo que puedes hacer en una auditoría real. Aquí están las diferencias clave en la versión 2025:
| Característica | Community (gratis) | Professional (~$475 USD/año) |
|---|---|---|
| Proxy de interceptación | ✅ | ✅ |
| Repeater (envío manual de peticiones) | ✅ | ✅ |
| Decoder y Comparer | ✅ | ✅ |
| Intruder (ataques automatizados) | Limitado (velocidad reducida) | ✅ Sin límites |
| Scanner automatizado de vulnerabilidades | ❌ | ✅ |
| Burp Collaborator (detección OOB) | ❌ | ✅ |
| Guardar y reanudar sesiones de trabajo | ❌ | ✅ |
| Extensiones del BApp Store | Solo algunas | ✅ Todas |
| DOM Invader (XSS y prototype pollution) | ✅ | ✅ |
| Soporte oficial PortSwigger | ❌ | ✅ |
Community es suficiente si estás aprendiendo pentesting web, haciendo CTFs (capture the flag, retos de seguridad), trabajando en laboratorios como PortSwigger Academy, o necesitas inspeccionar tráfico de forma puntual. También funciona para revisiones manuales rápidas en proyectos pequeños donde no necesitas escaneo automatizado.
Si vas a hacer pentesting profesional o consultoría, la respuesta corta es: sí, lo necesitas. El Scanner ahorra horas de trabajo repetitivo, Burp Collaborator detecta vulnerabilidades ciegas (SSRF, blind XSS, blind SQLi) que serían casi imposibles de encontrar manualmente, y las extensiones del BApp Store transforman la herramienta.
La instalación es directa y multiplataforma. Burp Suite corre sobre Java y está disponible para Windows, macOS y Linux. Estos son los pasos para tener la herramienta funcionando en menos de 10 minutos:
Entra al sitio oficial de PortSwigger (portswigger.net/burp/communitydownload) y descarga el instalador para tu sistema operativo. La versión 2025 ya incluye el JRE (Java Runtime Environment, el motor de Java) embebido, así que no necesitas instalar Java por separado.
En Windows ejecuta el .exe, en macOS el .dmg y en Linux el .sh (necesitas darle permisos de ejecución con chmod +x). Sigue el asistente con las opciones por defecto.
Al abrir Burp por primera vez, selecciona Temporary project (proyecto temporal) y luego Use Burp defaults. En Community no podés guardar proyectos, así que esto será siempre así. En Professional sí puedes crear proyectos persistentes para guardar tu progreso.
Burp escucha por defecto en 127.0.0.1:8080. Tienes dos opciones para enrutar el tráfico de tu navegador:
127.0.0.1:8080.
Para interceptar tráfico HTTPS sin alertas, hay que instalar el certificado de Burp en el navegador. Con Burp corriendo, visita http://burpsuite desde el navegador configurado, descarga CA Certificate y agrégalo como autoridad de confianza. Sin este paso, todos los sitios HTTPS aparecerán con error.
Listo. Ya puedes empezar a interceptar peticiones. Activa Intercept is on en la pestaña Proxy y navega: vas a ver cada request frenada esperando tu intervención.
Burp no es una sola aplicación, sino un conjunto de módulos que se complementan. Conocer qué hace cada uno es la diferencia entre usar Burp como un proxy básico y usarlo como una plataforma de pentesting completa.
Una auditoría real con Burp sigue una secuencia lógica. No se trata de abrir el Scanner y esperar resultados: el valor está en combinar automatización con criterio humano. Este es el flujo que usan la mayoría de pentesters profesionales:
Con Burp corriendo y el proxy activo, navega manualmente por toda la aplicación: login, registro, panel de usuario, búsqueda, formularios, exportación de datos. Cada clic que des queda registrado en Target → Site map. Esto te da una vista completa de endpoints, parámetros y tecnologías usadas.
Con el Burp Proxy activo, los pentesters interceptan, modifican y reenvían peticiones HTTP/HTTPS buscando fallos en validación de datos, autenticación y manejo de sesiones.
Ejemplo: un tester intercepta el login, cambia el parámetro role=user a role=admin en el cuerpo de la petición, reenvía, y comprueba si el sistema acepta el cambio sin validar en el servidor (vulnerabilidad de privilege escalation o escalada de privilegios).
Con Pro, Burp Scanner automatiza la búsqueda de SQLi, XSS, fallos de autenticación y mucho más. El escaneo no reemplaza pruebas manuales, pero identifica problemas comunes rápido y libera tiempo para los hallazgos que requieren creatividad.
Ejemplo: ejecutar el Scanner sobre un endpoint de API revela que un parámetro order_by es vulnerable a inyección SQL, exponiendo registros de otros usuarios.
Con Burp Intruder se ejecutan ataques automatizados: fuerza bruta para descifrar credenciales, prueba de combinaciones de parámetros, enumeración de usuarios válidos.
Ejemplo: en un formulario de recuperación de contraseña, lanzar Intruder con una lista de emails corporativos y observar diferencias en el tiempo de respuesta o el mensaje devuelto para identificar cuáles existen en la base de datos.
Burp Sequencer analiza la aleatoriedad de tokens de sesión y cookies, detectando si un sistema genera identificadores predecibles. Si la entropía es baja, un atacante puede explotar el patrón para secuestrar sesiones.
Ejemplo: capturar 200 tokens de sesión y pasarlos por Sequencer; si el reporte muestra menos de 100 bits de entropía efectiva, hay un problema serio que reportar.
Los pentesters usan Burp para encontrar archivos y directorios sensibles no enlazados. Con Intruder y diccionarios (SecLists, raft) se prueban miles de rutas comunes en minutos.
Ejemplo: descubrir /admin_panel, /.git/config o /backup.sql accesibles sin autenticación, lo que daría a un atacante el control total del sistema.
Todos los hallazgos del Scanner deben validarse manualmente con Repeater antes de incluirlos en un reporte. Esto elimina falsos positivos y permite documentar el impacto real con evidencia reproducible (request, response, payload exacto).
Podría interesarte leer: ¿Cuál es la importancia de un Red Team y Blue Team en ciberseguridad?
Estas son las fallas que Burp encuentra con más frecuencia en auditorías reales, y por qué importan:
/factura/123 → /factura/124) y ver datos de otro usuario porque la app no valida permisos.
Aunque Burp es el estándar, vale la pena conocer las alternativas para casos específicos:
Para auditorías profesionales completas, lo habitual es combinar Burp Pro como herramienta principal con ZAP o extensiones específicas según el proyecto. Si te interesa el panorama completo, revisa nuestra guía sobre las 10 mejores herramientas de AI pentesting que ya están integrándose al flujo del pentester moderno.
¿Burp Suite es gratis? Sí, existe Burp Suite Community Edition completamente gratuita y sin límite de tiempo. Incluye Proxy, Repeater, Decoder, Comparer e Intruder (con velocidad limitada). La versión Professional es de pago (~$475 USD por usuario al año) e incluye Scanner automatizado, Burp Collaborator y todas las extensiones.
¿Burp Suite es legal? Burp Suite es 100% legal como herramienta. Lo que puede ser ilegal es usarla contra sistemas sin autorización explícita del propietario. Para practicar de forma legal, hay laboratorios oficiales como PortSwigger Academy, plataformas como HackTheBox, TryHackMe y entornos vulnerables intencionalmente como DVWA o OWASP Juice Shop.
¿Cómo se instala Burp Suite? Se descarga desde el sitio oficial de PortSwigger, se ejecuta el instalador correspondiente al sistema operativo (Windows, macOS o Linux), se configura el navegador para enrutar tráfico al proxy 127.0.0.1:8080 y se instala el certificado CA de Burp para poder interceptar HTTPS. El proceso completo lleva menos de 10 minutos.
¿Qué vulnerabilidades detecta Burp Suite? Detecta todas las vulnerabilidades del OWASP Top 10 y muchas más: inyecciones SQL, XSS, SSRF, IDOR, XXE, deserialización insegura, fallos de autenticación y autorización, exposición de información sensible, vulnerabilidades en APIs (BOLA, mass assignment), problemas de configuración y debilidades criptográficas en tokens de sesión.
¿Cuánto tarda en aprenderse Burp Suite? Las funciones básicas (interceptación, repetición de peticiones, decoder) se aprenden en pocas horas siguiendo PortSwigger Academy. Dominar Intruder con payloads avanzados y aprovechar las extensiones del BApp Store lleva entre 2 y 4 semanas de práctica constante. Llegar a nivel profesional con manejo fluido de Collaborator, extensiones complejas y técnicas avanzadas toma 3-6 meses de uso intensivo en proyectos reales.
¿Burp Suite reemplaza a un pentester humano? No. Burp es una herramienta extremadamente potente, pero el Scanner automatizado solo encuentra vulnerabilidades conocidas y patrones comunes. Los hallazgos más críticos en auditorías reales (lógica de negocio rota, cadenas de explotación complejas, vulnerabilidades específicas del contexto) requieren criterio humano. Burp acelera el trabajo del pentester; no lo sustituye.
Burp Suite es la herramienta de referencia para probar la seguridad de aplicaciones web en 2025-2026. Tanto si estás aprendiendo pentesting con la versión Community como si trabajas con la edición Professional en auditorías profesionales, dominar Burp te da una capacidad de análisis que ninguna otra herramienta del mercado iguala.
Lo importante no es la herramienta, sino lo que se hace con ella. Un escaneo automatizado sin validación manual genera falsos positivos y omite hallazgos críticos. Un pentest serio combina Burp con metodología, conocimiento del negocio del cliente y experiencia práctica acumulada.
En TecnetOne ofrecemos servicios de pentesting y auditoría de seguridad web ejecutados por especialistas certificados que usan Burp Suite Professional junto con herramientas complementarias. Analizamos aplicaciones web, APIs y sistemas internos, y entregamos informes ejecutivos y técnicos con evidencia reproducible y plan de remediación priorizado. Si estás evaluando opciones, esta guía sobre cómo elegir el proveedor de pentesting ideal te ayuda a comparar propuestas con criterios objetivos.