Horario Laboral: De lunes a viernes, de 10AM a 10PM

[email protected] (+1) 731 866 7704
logo

Cómo interceptar el tráfico de apps Android usando Objection y Burp

imagen destacada del post con un texto en el centro que dice Cómo interceptar el tráfico de apps Android usando Objection y Burp y abajo del texto aparece la categoria del post

Introducción

La interceptación del tráfico de aplicaciones Android es una habilidad esencial para profesionales de seguridad informática, testers de penetración y desarrolladores que buscan entender el comportamiento interno de sus aplicaciones. En un entorno donde la seguridad y privacidad cobran cada vez más relevancia, contar con métodos efectivos para analizar la comunicación de las apps con sus servidores es indispensable.

Este artículo detalla, paso a paso, cómo utilizar herramientas de código abierto y gratuitas como Objection junto con Burp Suite Community Edition para interceptar, analizar y modificar el tráfico HTTPS de aplicaciones nativas Android. Abordaremos desde la configuración inicial hasta la desactivación de mecanismos de pinning SSL que impiden la inspección, con ejemplos claros y recomendaciones profesionales.

1. Fundamentos para interceptar tráfico en apps Android

Para interceptar el tráfico de las aplicaciones Android es necesario configurar un proxy que actúe como intermediario entre la app y sus servidores. Burp Suite es la herramienta estándar que facilita esta tarea al capturar y revelar las peticiones y respuestas HTTPS que normalmente están cifradas.

Sin embargo, muchas apps implementan SSL pinning, una técnica que bloquea la conexión si detecta certs no confiables. Aquí es donde entra Objection, una herramienta que permite parchear la apk para desactivar dichas protecciones, permitiendo que Burp Suite capture todo el tráfico.

1.1 ¿Qué es Burp Suite y cómo funciona?

Burp Suite es un entorno integrado para análisis de seguridad en aplicaciones web y móviles. Su función principal es actuar como proxy HTTPS que intercepta, registra y modifica el tráfico de red entre un cliente y un servidor. La Community Edition es gratuita y suficiente para muchos casos de uso, incluyendo los que comentamos aquí.

1.2 ¿Qué es Objection y por qué es útil?

Objection es una herramienta para pruebas de seguridad en aplicaciones móviles que se integra con Frida para permitir la instrumentación dinámica de apps. Su capacidad para parchear el APK y desactivar SSL pinning la hace indispensable, especialmente cuando el acceso está protegido contra interceptación manual.

2. Instalación y configuración de Burp Suite Community Edition

Para comenzar a interceptar el tráfico de una app Android, primero deberemos preparar Burp Suite para que actúe como proxy. Los siguientes pasos muestran cómo hacerlo:

  • Descarga e instalación: Puedes descargar Burp Suite Community Edition desde la página oficial. No es necesario contar con una licencia pagada para este proceso.
  • Configuración del listener: Dentro de Burp Suite, accede a la pestaña Proxy > Options y añade un nuevo listener en un puerto distinto al 8080 (por ejemplo 8082), configurándolo para que escuche en todas las interfaces.
  • Eliminar los listeners innecesarios: Asegúrate de eliminar configuraciones redundantes para evitar conflictos en la captura de tráfico.

2.1 Configuración paso a paso del listener

  • Abre Burp Suite y ve a Proxy > Options.
  • Haz clic en Add para crear un nuevo listener.
  • Selecciona “Bind to port” e ingresa el valor 8082 (u otro puerto libre).
  • Marca “All interfaces” para permitir conexiones externas desde el emulador o dispositivo.
  • Confirma la creación y elimina listeners no necesarios para optimizar el entorno.

3. Configuración del emulador Android para redirigir tráfico a Burp

La siguiente etapa consiste en configurar el emulador Android para que todo su tráfico pase por el proxy escuchando en Burp Suite.

Usaremos un emulador estándar de Android Studio, aunque los pasos funcionan igualmente con emuladores lanzados desde línea de comando.

Cómo interceptar tráfico de apps Android usando Objection y BurpCómo interceptar tráfico de apps Android usando Objection y Burp

3.1 Configuración manual del proxy en el emulador

  • Inicia el emulador desde Android Studio o la consola.
  • En la ventana del emulador, pulsa el botón de menú de tres puntos para abrir las opciones.
  • Ubica Settings > Proxy y selecciona manual proxy configuration.
  • Ingresa la IP que apunte a tu máquina local (puede ser una IP del red privada o loopback si usas redireccionamiento).
  • Introduce el puerto configurado en Burp (ejemplo: 8082) y guarda.

3.2 Verificación inicial del proxy

En este punto, Burp Suite debería capturar cualquier conexión desde el emulador. Para verificar, realiza una petición simple en el navegador del emulador y revisa que Burp la muestre en la pestaña Intercept.

Si no funciona, revisa firewall y configuraciones de red para asegurarte que no bloquean el puerto.

4. Limitantes al intentar interceptar apps Android nativas

Muchos desarrolladores implementan mecanismos como SSL pinning para restringir que aplicaciones inspeccionen el tráfico HTTPS.

Cuando intentamos interceptar estas apps directamente con Burp, la mayoría presentan errores de certificado o las conexiones TLS fallan. Esto impide el análisis profundo que deseamos realizar.

4.1 ¿Qué es SSL Pinning y cómo afecta las pruebas?

SSL pinning consiste en incrustar certificados específicos o sus hashes en la aplicación para validar cada conexión. Si el certificado presentado por el proxy es diferente (como el de Burp), la app cancela la comunicación para proteger la integridad y confidencialidad.

4.2 Manifestación común de bloqueos por SSL Pinning

  • Errores como “Fail to negotiate TLS” o “TLS connection failed” en la consola.
  • Conexiones que se bloquean y no llegan al servidor.
  • La app puede mostrar mensajes de error o comportarse de manera anómala.

5. Extracción de la APK desde el emulador o dispositivo Android

Para superar las restricciones, necesitamos modificar la APK para desactivar el pinning. Primero debemos obtener la aplicación instalada en el dispositivo o emulador.

5.1 Comando para conocer la ruta de la APK

Utiliza ADB (Android Debug Bridge) para encontrar el path de la aplicación instalara:

adb shell pm path com.nombre.de.la.app

Este comando retorna la ruta completa del APK en el dispositivo, por ejemplo: /data/app/com.example.app-1/base.apk.

5.2 Extraer el APK a la máquina local

adb pull /data/app/com.example.app-1/base.apk ./app_original.apk

Este paso traslada el archivo APK al directorio local para poder trabajar sobre él.

Cómo hacer enumeración de rutas y subdominios con Google rápido y fácilCómo hacer enumeración de rutas y subdominios con Google rápido y fácil

6. Parcheo de la aplicación con Objection para desactivar SSL Pinning

La herramienta Objection permite inyectar el Frida Gadget y modificar el almacenamiento de certificados para anular el SSL pinning sin recompilar manualmente la app.

6.1 Preparar el entorno para patch

  • Instala Objection mediante pip:
    • pip install objection
  • Verifica el comando para asegurar que está disponible:
    • objection -h

6.2 Uso del comando Objection para parchear la APK

Ejecuta el siguiente comando para modificar el APK descargado:

objection patch --source app_original.apk --gadget-version 12.1.9

Este incluye el gadget necesario para Frida y cambia las configuraciones relacionadas con SSL pinning para facilitar la interceptación.

6.3 Detalles del proceso de patch

  • Se reemplaza el almacén de certificados (cert store) para omitir comprobaciones.
  • Se inyecta código para interceptar en tiempo real las funciones relacionadas con el pinning.
  • El APK resultante queda resignado automáticamente para ser instalable en el emulador o dispositivo.

7. Instalación del APK parcheado y conexión con Objection

Una vez obtenida la versión modificada, se debe instalar en el emulador o dispositivo y usar Objection para conectarse y controlar la app.

7.1 Desinstalación de la app original

adb uninstall com.nombre.de.la.app

7.2 Instalación del APK parchado

adb install app_modified.apk

7.3 Uso de Objection para la conexión

Para conectar con la app via Frida Gadget inyectado:

objection connect --startup-command "android sslpinning disable" --target com.nombre.de.la.app

Si se desea, se puede establecer alias para facilitar esta tarea repetitiva.

8. Desactivando SSL Pinning con Objection y Frida

Cuando la app inicia, Objection permite ejecutar comandos para desactivar el SSL pinning en tiempo real.

8.1 Comando para desactivar SSL pinning

android sslpinning disable

Este comando sobrescribe funciones de verificación de certificados confiables y *trust managers*, anulando las protecciones.

8.2 Confirmación del bypass

Luego de desactivar SSL pinning, la app puede volver a realizar conexiones HTTPS que Burp Suite interceptará sin errores.

Pruebas de penetración en apps web descubriendo archivos ocultos con ZAPPruebas de penetración en apps web descubriendo archivos ocultos con ZAP

9. Análisis del tráfico interceptado en Burp Suite

Con SSL pinning desactivado, las peticiones a servicios como Firebase, APIs REST o WebSockets se pueden inspeccionar en el apartado Proxy > Intercept o en el historial de Burp.

9.1 Ejemplos de tráfico capturado

  • Petición HTTPS con cabeceras, cuerpo y métodos usados.
  • Mensajes WebSocket cifrados pero accesibles gracias al bypass.
  • Datos sensibles o tokens que la app utiliza para autenticarse.

9.2 Uso de Burp para modificar peticiones al vuelo

Se pueden manipular las solicitudes para probar respuestas del servidor y detectar vulnerabilidades o lógicas incorrectas.

10. Buenas prácticas y recomendaciones

  • Uso ético: Sólo realice estas técnicas en entornos controlados y con autorización expresa.
  • Backup: Guarde siempre copias originales de las APK antes de modificarlas.
  • Actualizaciones: Mantenga Objection, Frida y Burp Suite actualizados para evitar incompatibilidades.
  • Seguridad: Ejecute estos procesos en redes seguras para evitar fugas de datos sensibles.
  • Automatización: Crear scripts o alias puede acelerar su flujo de trabajo evitando errores manuales.

11. Tabla comparativa: Herramientas para interceptar tráfico Android

Herramienta Función principal Facilidad de uso Requiere pago Útil para SSL Pinning
Burp Suite Community Proxy HTTP/HTTPS, análisis y manipulación Media No No (necesita patching externo)
Objection Patching APK y bypass SSL pinning Alta No
Frida Instrumentación dinámica y hooking Alta (requiere curva aprendizaje) No
Charles Proxy Proxy HTTP/HTTPS (interceptación) Alta No directo

12. Profundizando en las palabras clave relacionadas

Interceptar tráfico Android

La interceptación se refiere a capturar el tráfico de red generado por aplicaciones en dispositivos Android. Es crucial para realizar auditorías de seguridad y detectar vulnerabilidades en la comunicación cliente-servidor.

SSL Pinning

Es un mecanismo de seguridad usado para asegurar que la aplicación se conecta únicamente a servidores que presentan un certificado específico, protegiendo contra ataques MITM (Man-In-The-Middle). Puede complicar las pruebas de seguridad.

Burp Suite Community Edition

Versión gratuita de Burp Suite que incluye funcionalidades básicas de proxy, esencial para análisis de tráfico en aplicaciones. Su versión gratuita es suficiente para interceptar y modificar el tráfico si se combina con herramientas para superar SSL pinning.

Objection

Es una herramienta que combina el poder de Frida con funcionalidades para parchear aplicaciones y desactivar protecciones como SSL pinning fácilmente, evitando el tedioso trabajo manual de modificar APKs.

ADB (Android Debug Bridge)

Es la herramienta oficial para desarrollar y controlar dispositivos Android, permitiendo instalar/desinstalar aplicaciones, extraer archivos y ejecutar comandos en dispositivos/emuladores con fines de prueba.

Frida Gadget

Módulo inyectado en las aplicaciones que habilita la instrumentación dinámica y la ejecución de scripts externos para modificar el comportamiento en tiempo real, base de muchas técnicas avanzadas de pentest móvil.

Proxy HTTP/HTTPS

Servidor intermediario que recibe y reenvía solicitudes y respuestas. En seguridad permite interceptar y analizar con detalle comunicaciones que normalmente estarían encriptadas.

Vulnerabilidades en aplicaciones web y el rol de OWASP seguroVulnerabilidades en aplicaciones web y el rol de OWASP seguro

Emulador Android

Simulador de dispositivo Android que permite ejecutar aplicaciones en un entorno controlado y permita configurar aspectos de red para facilitar pruebas y depuración.

Para complementar esta guía, te invitamos a ver este video que profundiza en el proceso y muestra un tutorial paso a paso.

Preguntas frecuentes (FAQ)

¿Cómo interceptar el tráfico de la aplicación Flutter en Burp Suite?

Desde Burp: habilite un listener en todas las interfaces en el puerto 8080 y habilite el proxy invisible (Configuración de proxy -> editar oyente -> Manejo de solicitudes -> marcar Soporte de proxy invisible). Una vez que habilite el proxy en la aplicación, puede interceptar solicitudes HTTP de su aplicación Flutter.

¿Cómo inspeccionar el tráfico de aplicaciones de Android?

Desde Burp: active un listener en todas las interfaces en el puerto 8080 y habilite el proxy invisible (Proxy settings -> editar listener -> Request handling -> marcar Support invisible proxying). Una vez activo el proxy en la app, puede interceptar solicitudes HTTP de la aplicación Android.

¿Qué tipo de análisis realiza Burp Suite en el tráfico entre el navegador y la aplicación web?

En Android Studio, mediante el menú Ver > Ventanas de herramientas > Inspección de aplicaciones, puede conectarse a un proceso de la app y usar el inspector de red para analizar tráfico. Burp Suite, por su lado, intercepta y permite manipular las comunicaciones HTTP/HTTPS para descubrir vulnerabilidades y fallos.

¿Por qué mi aplicación Android no permite conectar a Burp Suite?

Probablemente porque la app implementa SSL pinning, que bloquea conexiones a proxies con certificados no confiables. La solución es parchear la APK con herramientas como Objection para desactivar esta verificación.

¿Se puede utilizar este método en dispositivos físicos?

Sí, aunque la configuración puede ser más compleja debido a restricciones adicionales y configuraciones de red o permisos necesarios. El proceso con ADB y Objection es similar pero se recomienda comenzar con emuladores para entornos controlados.

¿Qué riesgos existen al desactivar SSL Pinning?

Desactivar SSL pinning expone la aplicación y los usuarios a ataques MITM, por eso solo se debe hacer en entornos de prueba y con fines autorizados, nunca en producción ni en dispositivos de usuarios finales.

¿Objection funciona con todas las aplicaciones?

En la mayoría de los casos sí, especialmente apps nativas. Sin embargo, puede fallar con apps que usen mecanismos de protección avanzados o técnicas anti-tampering sofisticadas.

Aprende Ethical Hacking paso a paso para principiantes confiableAprende Ethical Hacking paso a paso para principiantes confiable

¿Qué alternativas existen si Objection no funciona?

Se pueden usar técnicas manuales con Frida, modificar el código fuente (si está disponible), o herramientas especializadas en ingeniería inversa como apktool combinadas con patching manual.

Conclusión

Interceptar el tráfico de aplicaciones Android es fundamental para realizar auditorías de seguridad y entender la comunicación de las apps con sus servidores. La combinación de Burp Suite y Objection permite sortear la mayoría de las barreras como el SSL pinning y realizar análisis profundos sin necesidad de licencias costosas o herramientas complejas.

¿Querés mantenerte actualizado con las últimas tendencias en automatización, inteligencia artificial y transformación digital? Visitá nuestro blog de Código6 y descubrí guías, casos de éxito y noticias relevantes para potenciar tu empresa. Ingresá al blog y explorá los recursos más recientes.

Share

Leave A Comment

Descubre el Poder de la IA

Sumérgete en una experiencia transformadora hacia el futuro de la innovación, explorando el potencial ilimitado de la inteligencia artificial en cada interacción.

Ver servicios
Contacto

At Power AI, we offer affordable and comprehensive range of AI solutions, that empower drive growth, and enhance efficiency to meet your unique needs.

Empresa

Servicios

Join Our Newsletter

We will send you weekly updates for your better Product management.

© 2025 Codigo6 All Rights Reserved.