Burp Suite
¿Qué es Burp Suite?
Burp Suite es la herramienta de referencia en pentesting de aplicaciones web, desarrollada por PortSwigger desde 2003. Funciona como un proxy HTTP/HTTPS que intercepta todo el tráfico entre navegador y servidor, permitiendo analizar, modificar, repetir y automatizar peticiones. Incluye el Scanner (detección automatizada de vulnerabilidades en Burp Professional), Intruder (fuzzing y ataques automatizados a parámetros), Repeater (reenvío manual de peticiones modificadas), Sequencer (análisis de aleatoriedad de tokens), Decoder, Comparer y un navegador Chromium integrado. El Collaborator detecta vulnerabilidades out-of-band como SSRF, XXE o inyecciones ciegas. Es la herramienta principal enseñada en cursos OSCP y en las academias de PortSwigger (Web Security Academy, gratuita). Se ofrece en versión Community (gratuita, limitada), Professional (de pago, la estándar profesional) y Enterprise (escaneo DAST automatizado). Es requisito prácticamente universal en ofertas de pentester y bug bounty hunter en España.
¿Por qué aprender Burp Suite?
El pentesting web es una de las áreas de ciberseguridad ofensiva más demandadas en España. Consultoras como Deloitte, S21sec, Entelgy Innotec, BeDisruptive y los equipos internos de bancos y aseguradoras contratan pentesters continuamente. Los sueldos junior rondan 30.000-40.000 euros, y seniors con OSCP y experiencia de bug bounty superan los 60.000 euros, con oportunidades globales remotas que pagan más. Dominar Burp Suite Professional es requisito básico para cualquier pentester serio.