Cómo usar Burp Suite en Kali Linux

Por /

Desde que comencé a trabajar en el mundo de la ciberseguridad, una de las herramientas que más ha marcado mi forma de analizar aplicaciones web es Burp Suite. No solo es un estándar en auditorías y pentesting, sino que además está integrado por defecto en distribuciones como Kali Linux, lo que facilita enormemente su uso.

En esta entrada quiero explicarte de manera educativa y detallada cómo usar Burp Suite en Kali Linux, desde cero, sin asumir conocimientos previos. El objetivo es que entiendas cómo funciona, para qué sirve cada módulo y cómo empezar a analizar aplicaciones web de forma responsable y ética.

Índice

  1. ¿Qué es Burp Suite y para qué sirve?
  2. Versiones: Community vs Professional
  3. Instalación en Kali Linux
  4. Primeros pasos al abrir Burp Suite (configuración inicial indispensable)
  5. Configuración del navegador
  6. Configuración del proxy en Burp Suite
  7. Captura del tráfico HTTP/HTTPS
  8. Uso básico de los módulos principales
  9. Ejemplo práctico: Modificación de una petición con Repeater
  10. Buenas prácticas y ética del uso
  11. Conclusión

¿Qué es Burp Suite y para qué sirve?

Burp Suite es una plataforma integrada para realizar pruebas de seguridad en aplicaciones web. Combina diferentes herramientas que permiten interceptar, modificar y analizar el tráfico entre el navegador y el servidor.

Con Burp Suite puedes:

  • Interceptar tráfico web
  • Modificar peticiones HTTP/HTTPS
  • Escanear vulnerabilidades
  • Automatizar tareas de auditoría
  • Realizar fuzzing
  • Evaluar seguridad de formularios, sesiones y APIs

En resumen: es la navaja suiza del pentester web.

Versiones de Burp Suite

Burp Suite tiene dos versiones principales:

Community Edition

  • Gratuita
  • Incluida en Kali Linux -> te dejo la guia de cómo montar un kali linux
  • Limitaciones:
    • No tiene Scanner automático
    • Algunas funciones están limitadas en velocidad

Professional Edition

  • De pago
  • Incluye:
    • Scanner automático de vulnerabilidades
    • Velocidad ilimitada
    • Integración avanzada en flujos de CI/CD

Instalación en Kali Linux

Burp Suite Community ya viene instalado por defecto.

Para abrirlo:

Applications → 08 - Web Application Analysis → Burp Suite

O desde terminal:

burpsuite

Si no estuviera instalado (poco probable):

sudo apt update
sudo apt install burpsuite

Primeros pasos al abrir Burp Suite (configuración inicial indispensable)

menu_kali_linux_burpsuite_

Cuando Burp Suite se inicia, muestra algunas opciones que pueden generar dudas. Aquí te explico qué hacer para empezar bien.

Paso 1: Elegir el tipo de proyecto

Al abrir Burp verás:

burp_suit_wizard
  • Temporary project
  • New project on disk
  • Open existing project

Si solo estás aprendiendo o haciendo una práctica:

Selecciona “Temporary project”

Burp creará un proyecto temporal que se borrará al cerrar.

Paso 2: Seleccionar la configuración

A continuación te pedirá:

  • Use Burp defaults
  • Load from configuration file

->Selecciona Use Burp defaults

Es la opción sencilla y segura.

Paso 3: Conocer la interfaz principal

Una vez dentro verás pestañas como:

  • Dashboard
  • Target
  • Proxy
  • Intruder
  • Repeater
  • Comparer
  • Decoder

Los módulos más importantes para empezar son:

  • Proxy → intercepta el tráfico
  • Repeater → modifica peticiones manualmente
  • Target → mapa de endpoints
  • Intruder → automatización (limitado en Community)
burp_suit_inicio

Paso 4: Activar Intercept

Para que Burp capture las peticiones:

  1. Ir a Proxy → Intercept
  2. Asegurarte de que aparece:
    Intercept is ON

Si no, pulsa el botón para activarlo.

burp_suit_proxy_intercept

Paso 5: Verificar el Proxy Listener

Ve a:

Proxy → Options → Proxy Listeners

Debes ver algo así:

127.0.0.1:8080   Running: Yes

Si no está activo, marca la casilla.

Esto indica que Burp está listo para recibir tráfico desde el navegador.

burp_suit_proxy_listeners

Configuración del navegador

Para que Burp Suite pueda interceptar el tráfico, debemos mandar el navegador a usar el proxy de Burp.

Configurar Firefox:

  1. Abrir Preferencias
  2. Ir a General → Configuración de red → Configuración manual del proxy
  3. Introducir:
    • HTTP Proxy: 127.0.0.1
    • Puerto: 8080
  4. Marcar: Usar este proxy para todos los protocolos
  5. Guardar
firefox_proxy_burp_suit

Configuración del proxy en Burp Suite

En Burp:

Proxy → Options → Proxy Listeners

Por defecto aparece:

Interface: 127.0.0.1:8080

Si está habilitado (checkbox ON), ya está listo para funcionar.

Captura del tráfico HTTP/HTTPS

Para capturar tráfico:

  1. En Burp ve a
Proxy → Intercept
  1. Activa el botón: Intercept is ON
  2. Abre el navegador y visita cualquier página HTTP/HTTPS

Verás aparecer las peticiones interceptadas.

Certificados HTTPS

Para evitar errores SSL:

  1. Navegar a
http://burp
  1. Descargar el certificado CA
  2. Importarlo en Firefox como Autoridad de confianza

Esto permite que Burp descifre tráfico HTTPS de forma local.

Uso básico de los módulos principales

Proxy

Es el corazón de Burp.
Intercepta y permite modificar peticiones y respuestas.

Target

Muestra el mapa del sitio.
Permite ver estructura, endpoints y probar descubrimientos.

tarjet_burp_suit_test_

Repeater

Herramienta manual para enviar peticiones modificadas múltiples veces.
Perfecta para:

  • pruebas de autenticación
  • manipulación de parámetros
  • pruebas de inyección

Scanner

Realiza análisis automáticos en busca de vulnerabilidades como:

  • SQL Injection
  • XSS
  • CSRF
  • Directory traversal
  • Misconfiguraciones típicas

Ejemplo práctico: Manipulación de una petición con Repeater

  1. Captura una petición en el módulo Proxy (Intercept ON)
  2. Haz clic derecho → Send to Repeater
  3. Ve a la pestaña Repeater
  4. Modifica un parámetro, por ejemplo:
user_id=123 → user_id=999
  1. Pulsa Send
  2. Observa la respuesta del servidor

Este proceso es fundamental para probar:

  • Validación de parámetros
  • Autorización
  • Comportamiento de la API
  • Control de acceso

Buenas prácticas y consideraciones éticas

Burp Suite es una herramienta muy poderosa.
Por ello, debes usarla únicamente en entornos autorizados:

  • Laboratorios propios
  • Máquinas vulnerables de practice (DVWA, OWASP Juice Shop)
  • Clientes que te hayan firmado contrato
  • Pruebas internas en tu empresa

Nunca debe usarse en sitios de terceros sin permiso.

Conclusión

Burp Suite es una herramienta imprescindible en cualquier proceso de auditoría web. Dominarla te permite comprender cómo se comunican las aplicaciones, detectar problemas de seguridad y fortalecer tus conocimientos de ciberseguridad ofensiva.

En esta guía has visto cómo:

  • Configurar Burp Suite en Kali Linux
  • Ajustar el proxy y el navegador
  • Interceptar y modificar tráfico
  • Aprovechar herramientas como Repeater o Target
  • Aplicarla en pruebas reales
  • Mantener siempre una postura ética

Entradas relacionadas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Scroll al inicio