certmundo.
es‑mx
Ethical Hacking Básico7/9

6 min de lectura

¿Cómo usar Burp Suite para encontrar fallas en aplicaciones web?

Burp Suite es la herramienta más usada en el mundo para encontrar vulnerabilidades en aplicaciones web mediante la interceptación y manipulación de peticiones HTTP.

¿Por qué las apps web son el blanco favorito?

Antes de abrir Burp Suite, pregúntate: ¿dónde guardan las empresas su dinero digital hoy?

Piénsalo un segundo. Liverpool procesa miles de pagos en línea cada día. Mercado Libre mueve más de $50,000,000,000 al año en transacciones. FEMSA y Oxxo Pay gestionan recargas y pagos digitales para millones de usuarios. Todo eso vive en aplicaciones web.

Según el reporte Verizon DBIR 2023, el 26% de todas las brechas de seguridad involucran directamente aplicaciones web. En México, el CERT-MX reportó que el 68% de los incidentes en empresas medianas y grandes durante 2022 tuvieron como vector inicial una app web vulnerable. No es coincidencia: las aplicaciones web son superficies de ataque enormes, actualizadas constantemente, y desarrolladas a veces con prisas y sin revisión de seguridad.

La buena noticia es que Burp Suite te permite analizar esas superficies de forma metódica. La mala noticia es que sin contrato de autorización firmado, hacer esto en cualquier sistema real es un delito federal en México bajo el artículo 211 bis del Código Penal Federal. Trabaja siempre en entornos de práctica como DVWA, Juice Shop o WebGoat.

El principio que hace funcionar Burp Suite

Aquí viene la sorpresa conceptual: tu navegador y el servidor web no se hablan directamente cuando usas Burp Suite.

Burp Suite actúa como un proxy interceptor. Tú configuras tu navegador para que envíe todo el tráfico a través de Burp Suite antes de que llegue al servidor. Burp Suite lo detiene, te lo muestra, y espera tu instrucción. Puedes leerlo, modificarlo, o simplemente dejarlo pasar.

Eso cambia todo. De repente puedes ver exactamente qué datos envía tu navegador: cookies, tokens de sesión, parámetros ocultos, cabeceras de autenticación. Y lo más importante: puedes cambiar cualquier valor antes de que llegue al servidor y ver cómo responde.

Llama a esto el Principio del Intermediario Activo: quien controla el canal controla la conversación.

Las cinco herramientas clave de Burp Suite

Burp Suite Community Edition (gratuita) incluye todo lo que necesitas para empezar. Estas son las cinco funciones que usarás en cada prueba.

1. Proxy

Es el corazón de Burp Suite. Intercepta peticiones entre tu navegador y el servidor. Actívalo en la pestaña Proxy > Intercept y pon el interruptor en "Intercept is on". Cada vez que hagas clic en algo, la petición se congela aquí.

Ejemplo práctico: en un entorno de prueba, haz login con usuario y contraseña. Burp Suite captura la petición POST con los campos usuario=admin&password=1234. Puedes editar esos valores antes de enviarlos.

2. Repeater

Te permite reenviar la misma petición muchas veces con cambios controlados. Es tu laboratorio de experimentación. Captura una petición en el Proxy, haz clic derecho y selecciona "Send to Repeater". Ahí puedes modificar parámetros uno por uno y comparar respuestas.

Ejemplo: si una app de facturación similar a las que usan proveedores de FEMSA tiene un campo id_factura=1042, puedes cambiarlo a id_factura=1041 o id_factura=1043 en el Repeater. Si el servidor devuelve facturas de otros usuarios, acabas de encontrar una vulnerabilidad de IDOR (Insecure Direct Object Reference).

3. Intruder

Automatiza el envío de múltiples peticiones con valores variables. Sirve para pruebas de fuerza bruta, fuzzing de parámetros y enumeración. Marca el campo que quieres variar con el símbolo § y carga una lista de payloads.

Nota: en la versión Community, el Intruder tiene velocidad limitada. Para uso profesional existe Burp Suite Professional ($449 USD/año).

4. Scanner (solo versión Pro)

Analiza automáticamente la aplicación en busca de vulnerabilidades conocidas. En la versión gratuita puedes hacer un análisis pasivo mientras navegas.

5. Decoder

Convierte datos entre formatos: Base64, URL encoding, HTML encoding, hexadecimal. Es indispensable cuando encuentras tokens o parámetros codificados que necesitas leer o manipular.

Cómo detectar SQL Injection con Burp Suite

SQL Injection sigue siendo la vulnerabilidad número uno en el OWASP Top 10. El 65% de las aplicaciones analizadas en auditorías mexicanas durante 2022 presentaron al menos una forma de inyección, según datos del sector de consultoría de seguridad.

El proceso con Burp Suite es directo:

  1. Intercepta una petición que envíe un parámetro al servidor, por ejemplo: GET /producto?id=5
  2. Envíala al Repeater.
  3. Cambia el valor a id=5' (una comilla simple). Si el servidor devuelve un error de base de datos, hay posibilidad de inyección.
  4. Prueba con id=5 OR 1=1--. Si devuelve más registros de los esperados, confirmaste la vulnerabilidad.

En un sistema de inventario mal protegido como los que usan algunas tiendas en línea pequeñas en México, este tipo de falla puede exponer toda la base de datos de clientes, incluyendo nombres, correos y RFC.

Cómo detectar XSS con Burp Suite

XSS (Cross-Site Scripting) permite a un atacante inyectar código JavaScript en páginas que otros usuarios van a ver. Según OWASP, XSS aparece en el 40% de las aplicaciones web auditadas globalmente.

El flujo con Burp Suite:

  1. Intercepta una petición donde el servidor regresa texto que tú enviaste (un campo de búsqueda, un comentario, un nombre de perfil).
  2. En el Repeater, cambia el valor del parámetro a <script>alert('XSS')</script>.
  3. Observa la respuesta. Si el servidor devuelve ese texto sin escaparlo y el navegador lo ejecutaría, encontraste XSS reflejado.

Ejemplo concreto: imagina una tienda en línea similar a Liverpool con un buscador que muestra "No encontramos resultados para: [tu búsqueda]". Si ese texto se imprime sin sanitizar, un atacante puede construir una URL maliciosa y enviársela a otro usuario. Cuando la víctima la abre, el script roba su cookie de sesión.

El Marco INTERCEPT para organizar tu prueba

Cuando auditas una aplicación web con Burp Suite, necesitas un proceso estructurado. Usa el Marco INTERCEPT:

  • Identifica todas las rutas de entrada (formularios, parámetros URL, cabeceras).
  • Navega la app completa con el proxy activo para mapear el sitio en el Spider.
  • Toma peticiones interesantes y envíalas al Repeater.
  • Experimenta con payloads de inyección en cada parámetro.
  • Registra cada hallazgo con captura de pantalla y petición original.
  • Confirma que la vulnerabilidad es explotable, no solo un error de formato.
  • Escribe el impacto real en términos de negocio: ¿qué datos expone?
  • Presenta el reporte con pasos de reproducción claros.
  • Termina verificando que las correcciones realmente resuelven el problema.

Errores comunes al usar Burp Suite

El primero y más grave: olvidar apagar el proxy al terminar la sesión. Si cierras Burp Suite sin restaurar la configuración de red, tu navegador dejará de conectarse a internet. Muchos principiantes pierden horas creyendo que su conexión falló.

El segundo error: interceptar tráfico de aplicaciones reales sin autorización. Aunque estés en tu propia computadora, si el tráfico va a servidores de terceros, estás tocando sistemas ajenos.

El tercer error: confundir un error 500 del servidor con una vulnerabilidad confirmada. Un error 500 significa que algo salió mal, pero no necesariamente que hay una inyección explotable. Debes analizar la respuesta completa y reproducir el comportamiento de forma consistente.

El cuarto error: ignorar las cabeceras HTTP. El 30% de las vulnerabilidades de configuración se detectan en cabeceras como X-Frame-Options, Content-Security-Policy o Strict-Transport-Security. Burp Suite las muestra en cada respuesta; léelas.

La diferencia entre encontrar y explotar

Encontrar una vulnerabilidad con Burp Suite es una habilidad técnica. Documentarla con impacto de negocio claro es una habilidad profesional.

Cuando presentes un hallazgo de SQL Injection a un cliente como una empresa proveedora de FEMSA, no basta con decir "encontré SQLi en el parámetro id". Debes explicar: ¿cuántos registros quedan expuestos? ¿Hay datos de pago? ¿Hay RFC o CURP? ¿Qué sanción del INAI podría aplicar bajo la Ley Federal de Protección de Datos Personales?

Esa traducción de hallazgo técnico a riesgo de negocio es lo que distingue a un hacker ético profesional de alguien que solo sabe usar herramientas.

Burp Suite es el bisturí. Tú eres el cirujano. Y el cirujano siempre explica al paciente qué encontró y qué significa.

Puntos clave

  • Burp Suite funciona como proxy interceptor: se coloca entre tu navegador y el servidor para que puedas leer y modificar cada petición HTTP antes de que llegue a su destino.
  • El 68% de los incidentes en empresas medianas y grandes en México en 2022 tuvieron como vector inicial una aplicación web vulnerable, según datos del CERT-MX.
  • Las tres herramientas más usadas en Burp Suite Community son Proxy (interceptar), Repeater (experimentar con peticiones) y Decoder (leer datos codificados). Dominarlas cubre el 80% de los casos de prueba.
  • SQL Injection y XSS siguen siendo las vulnerabilidades más frecuentes en aplicaciones web mexicanas. Ambas se detectan modificando parámetros en el Repeater y analizando cómo responde el servidor.
  • Encontrar una vulnerabilidad no es suficiente: debes documentar su impacto en términos de negocio (datos expuestos, posibles sanciones del INAI, pérdida económica) para que el cliente pueda priorizar la corrección.

Comparte esta lección:

WhatsAppLinkedIn
Siguiente lección →← Lección anterior