Horario Laboral: De lunes a viernes, de 10AM a 10PM

[email protected] (+1) 731 866 7704
logo

Cómo interceptar tráfico de apps Android usando Objection y Burp

imagen destacada del post con un texto en el centro que dice Cómo interceptar tráfico de apps Android usando Objection y Burp y abajo del texto aparece la categoria del post

Introducción

En el ámbito de la seguridad informática y el análisis de aplicaciones móviles, interceptar y analizar el tráfico de datos que intercambian las aplicaciones Android es una habilidad fundamental. Esta práctica permite identificar vulnerabilidades, validar políticas de seguridad y comprender el comportamiento interno de las apps, especialmente en contextos donde la comunicación segura se torna crítica. Herramientas como Objection y Burp Suite han revolucionado la forma en que los profesionales de la seguridad penetran las comunicaciones de aplicaciones nativas Android, brindando un entorno robusto para el análisis de tráfico y la manipulación de conexiones cifradas.

En este artículo exploraremos en profundidad un método efectivo para interceptar el tráfico de aplicaciones Android, desde la configuración inicial de Burp Suite y su escucha de puertos, pasando por la manipulación y parcheo del APK con Objection, hasta la desactivación de mecanismos de seguridad como el SSL Pinning. Además, incluiremos consejos prácticos, buenas prácticas, ejemplos concretos y una sección de preguntas frecuentes para resolver las dudas más comunes en este proceso.

Fundamentos para interceptar tráfico en apps Android

Interceptar tráfico de una aplicación móvil implica posicionarse como un intermediario (Man-in-the-Middle) entre la app y sus servidores backend. Generalmente, las aplicaciones modernas usan conexiones cifradas mediante TLS, lo que complica el análisis directo del tráfico. Para sortear esta dificultad, se requieren técnicas avanzadas que permitan modificar el comportamiento de la app para aceptar certificados personalizados o desactivar la validación estricta de certificados (conocida como SSL Pinning).

El método que abordaremos aprovecha el uso combinado de dos herramientas clave: Burp Suite, para capturar y analizar paquetes de red, y Objection, una utilidad que facilita la modificación dinámica de aplicaciones Android, integrándose con Frida para evadir restricciones de seguridad.

Configuración inicial de Burp Suite para interceptar tráfico

Burp Suite actúa como un proxy entre nuestra app y el exterior, permitiendo observar y manipular el tráfico HTTP/HTTPS. Para comenzar, se recomienda usar la Community Edition, que es gratuita y suficiente para esta tarea.

Pasos para configurar un listener en un puerto alternativo

  1. Abrir Burp Suite y dirigirse a la pestaña Proxy > Options.
  2. En la sección Proxy Listeners, seleccionar Add para crear un nuevo listener.
  3. Elegir un puerto diferente a 8080 para evitar conflictos, como por ejemplo 8082.
  4. Establecer la interfaz a All interfaces para aceptar conexiones desde el emulador o dispositivo real.
  5. Confirmar los cambios y eliminar listeners no necesarios para evitar conflictos.

Es esencial no dejar activado el interceptado en Burp mientras no se hayan configurado correctamente los dispositivos, para evitar bloqueos en el tráfico.

Preparación del emulador Android para redirigir el tráfico

El siguiente paso es asegurarse que el emulador o dispositivo Android envíe su tráfico a través del proxy configurado en Burp Suite.

Configuración manual del proxy en Android Studio Emulator

  • Iniciar el emulador desde Android Studio o mediante la línea de comandos.
  • Dentro del emulador, acceder a Settings > Network > Manual proxy configuration.
  • Configurar el proxy con la IP del host (generalmente la IP privada de la red local) y el puerto del listener configurado (ej. 8082).
  • Guardar la configuración y cerrar esta ventana.

Con esto, todo el tráfico HTTP/HTTPS del emulador comenzará a pasar por Burp Suite, permitiendo interceptarlo y analizarlo.

Comprendiendo la necesidad de parchear la aplicación

La mayoría de aplicaciones nativas utilizan mecanismos avanzados para proteger su comunicación, como el SSL Pinning, que impide que el cliente acepte certificados no confiables o modificaciones del tráfico. Esto bloquea el intento de MITM y genera errores, impidiendo la interceptación.

Por esto, es imprescindible modificar la aplicación (APK) para deshabilitar estos mecanismos antes de poder monitorear su tráfico de manera efectiva. Aquí interviene la herramienta Objection, que permite parchar la aplicación y habilitar el debugging dinámico.

Extracción y preparación del APK original

Para trabajar sobre la aplicación, primero debemos obtener su paquete APK desde el dispositivo, para luego modificarlo y reinstalarlo.

Pasos para extraer el APK

  • Identificar el nombre del paquete de la app mediante adb shell pm list packages | grep [nombre-clave].
  • Obtener la ruta del APK con adb shell pm path [nombre-paquete].
  • Extraer el archivo APK a la computadora con adb pull [ruta-del-apk] [directorio-local]/nombre.apk.

Es recomendable renombrar el APK para facilitar su manejo antes de proceder al parcheo.

Parcheo del APK con Objection para inyectar Frida Gadget

La utilidad Objection automatiza el proceso de parcheo necesario para inocular el Frida Gadget dentro del APK, permitiendo posteriormente manipular la ejecución de la app desde un entorno externo.

Cómo hacer enumeración de rutas y subdominios con Google rápido y fácilCómo hacer enumeración de rutas y subdominios con Google rápido y fácil

Proceso de parcheo con línea de comandos

  • Ejecutar el comando para parchear el APK: objection patch --source nombre.apk --gadget-version [versión].
  • Objection resignará el APK e inyectará código para facilitar la conexión remota con la app mediante Frida.
  • Desinstalar la versión original del dispositivo para evitar conflicto de firmas.
  • Instalar la versión parcheada usando adb install nombre-patcheado.apk.

Es común automatizar esta etapa con scripts o alias para agilizar el proceso en pruebas continuas.

Establecimiento de conexión y control con Objection

Una vez instalado el APK parcheado, se procede a abrir la app para dejarla en estado de espera. Luego, usando Objection, se conecta al proceso activo para manipularlo en tiempo real.

Conexión y manipulación

  • Ejecutar objection connect para vincular con la app en ejecución.
  • Una vez conectado, se puede realizar exploraciones con comandos como explore para invocar funciones y modificar comportamientos.
  • Una de las operaciones clave es android sslpinning disable, que inhabilita la validación estricta de certificados SSL.

Con esto, la aplicación confía en el certificado de Burp Suite, permitiendo la intercepción del tráfico cifrado sin errores de conexión TLS.

Cómo Burp Suite se integra en el análisis HTTPS

Burp Suite crea certificados CA temporales usados para validar el tráfico HTTPS interceptado. Al inhabilitar SSL Pinning dentro de la app, esta acepta esos certificados como confiables, permitiendo ver contenido cifrado en texto plano dentro de Burp.

Configuraciones adicionales para mejorar la captura

  • Importar el certificado raíz de Burp Suite en el emulador a nivel de sistema, para interceptar conexiones hechas a bajo nivel.
  • Configurar Burp Suite para manejar correctamente websockets y conexiones persistentes.
  • Monitorear las pestañas de Proxy > HTTP history y WebSockets history para explorar todas las tramas.

Análisis y extracción de información sensible desde el tráfico interceptado

Una vez establecida la interceptación, podemos observar los intercambios entre la app y servicios como Firebase o AWS. Encontramos peticiones de datos, autorizaciones, flags de seguridad y estructuras JSON con información relevante.

Esto resulta muy útil en auditorías de seguridad, pruebas de penetración y retroingeniería para entender funcionalidades ocultas o vulnerabilidades.

Ejemplo de caso práctico: obtención de flags desde base de datos remotas

  • Enviar solicitudes manipuladas desde la aplicación para forzar respuestas del backend.
  • Observar el retorno de datos, donde los flags o indicadores aparecen en texto plano.
  • Confirmar que la desactivación de SSL Pinning es la razón que permitió dicha intercepción.

Comparativa entre técnicas y herramientas para interceptar tráfico Android

Herramienta / Técnica Facilidad de uso Capacidad para evadir SSL Pinning Requiere Root o Parcheo Coste
Burp Suite Community Edition Alta Baja (por sí sola) No Gratuito
Objection + Frida Media Alta Sí (parcheo del APK) Gratuito
Frida manual Baja Alta Sí (root / parcheo) Gratuito
Wireshark + SSL Strip Baja Baja No / sí en redes vulnerables Gratuito

Buenas prácticas para la interceptación de tráfico Android

Para maximizar resultados y minimizar problemas, se recomienda:

  • Usar emuladores antes que dispositivos reales para evitar daños o riesgos que presentan dispositivos de producción.
  • Trabajar siempre en redes controladas para evitar problemas de privacidad o legales.
  • Mantener un backup del APK original para no perder funcionalidades o datos.
  • Actualizar a versiones recientes de herramientas para evitar bugs o incompatibilidades.
  • Documentar meticulosamente las pruebas para reproducir procesos o identificar fallas.

Warnigns y consideraciones legales

La interceptación y modificación de aplicaciones debe realizarse respetando las normativas vigentes y únicamente sobre apps propias o con permiso expreso. Muchas jurisdicciones sancionan el MITM o la modificación no autorizada de software, por lo que es importante actuar con responsabilidad y ética profesional.

Integración de video explicativo

Para profundizar en cada paso y ver una demostración práctica, te invitamos a ver este video detallado sobre la técnica de interceptación con Objection y Burp Suite.

Desglose por palabras clave relevantes

Objection

Objection es una herramienta esencial para el análisis de seguridad móvil que permite modificar aplicaciones Android dinámicamente. Su importancia radica en facilitar la inyección de Frida Gadget, necesario para deshabilitar técnicas de seguridad como SSL Pinning. Es frecuente encontrarse con dudas sobre la compatibilidad de versiones o errores en el parcheo, donde se recomienda revisar que la versión del gadget sea la adecuada y que la app original no esté instalada en el dispositivo de destino.

Burp Suite

Burp Suite es el proxy estándar para interceptar tráfico HTTP y HTTPS. Su capacidad de analizar, modificar y reproducir solicitudes la hace indispensable en auditorías. Un error común al configurarla es no añadir listeners en puertos distintos a 8080 cuando existen conflictos, y no activar el soporte de proxy invisible cuando se interceptan apps con TCP multiplexado u otro tráfico especial.

SSL Pinning

Esta técnica de seguridad impide ataques de intermediario rechazando certificados no válidos. En aplicaciones Android, se implementa en código nativo o bibliotecas y requiere ser deshabilitada para permitir el análisis de tráfico. Objection utiliza Frida para sobrescribir métodos internos y anular esta función, habilitando la inspección.

APK parcheado

El APK parcheado es una versión modificada del archivo original que incorpora herramientas para facilitar análisis. Es aconsejable siempre firmar correctamente el APK y desinstalar versiones previas con firmas conflictivas para evitar errores en la instalación. El parcheo implica riesgos, por lo que se debe mantener un respaldo del original.

Introducción a Buffer Overflows concepto completo y detalladoIntroducción a Buffer Overflows concepto completo y detallado

Frida Gadget

Este es un módulo que se incrusta dentro del APK para permitir la instrumentación dinámica mediante la herramienta Frida. Es la base para el uso de Objection y permite la manipulación de código en tiempo de ejecución sin necesidad de root en el dispositivo.

Emulador Android

El emulador es el entorno virtual que simula un dispositivo Android para pruebas controladas. Facilita la configuración de proxy y evita riesgos en dispositivos reales. Asegurar que esté actualizado y correctamente conectado al host es clave para el correcto redireccionamiento del tráfico.

ADB (Android Debug Bridge)

Es la interfaz de línea de comandos para interactuar con dispositivos Android. Se utiliza para instalar, desinstalar, extraer APKs y ejecutar comandos sobre el sistema operativo emulado o físico.

Preguntas frecuentes (FAQ)

¿Cómo interceptar el tráfico de la aplicación Flutter en Burp Suite?

Desde Burp: habilite un oyente en todas las interfaces en el puerto 8080 y habilite el proxy invisible (Configuración de proxy > editar oyente > Manejo de solicitudes > marcar Soporte de proxy invisible). Una vez que habilite el proxy en la aplicación, puede interceptar solicitudes HTTP de su aplicación Flutter.

¿Cómo inspeccionar el tráfico de aplicaciones de Android?

Desde Burp: active un listener en todas las interfaces, puerto 8080, y habilite el proxy invisible (Proxy settings > edit listener > Request handling > marcar Support invisible proxying). Con esta configuración, y apuntando el proxy del dispositivo/emulador hacia Burp, podrá interceptar solicitudes HTTP o HTTPS.

¿Qué tipo de análisis realiza Burp Suite en el tráfico entre el navegador y la aplicación web?

Burp Suite permite analizar tráfico HTTP y HTTPS, haciendo posible ver solicitudes, respuestas, cookies, headers y cuerpos. En Android Studio, se puede usar la herramienta de inspección de aplicaciones (Ver > Ventanas de herramientas > Inspección de aplicaciones) para examinar detalladamente las conexiones de red, además de usar Burp como proxy.

¿Por qué se necesita parchear el APK para interceptar tráfico HTTPS?

Porque muchas aplicaciones usan SSL Pinning para evitar ataques MITM. Parchear el APK con Objection inyecta código que anula estas comprobaciones, permitiendo confiar en certificados propios como los generados por Burp Suite.

¿Puedo interceptar tráfico de aplicaciones sin root en el dispositivo?

Sí, usando un emulador o parcheando el APK con herramientas como Objection, se puede evadir la necesidad de root para análisis. Frida Gadget y Objection actúan sin requerir privilegios root pero sí con modificaciones del APK.

¿Qué problemas comunes se suelen presentar al parchear una app con Objection?

Errores frecuentes incluyen incompatibilidades de versiones del gadget, firmas conflictivas con la app original aún instalada, o fallas en la resignación del APK. Se recomienda desinstalar la app original y usar versiones compatibles de Objection y Frida.

¿Cómo agregar el certificado de Burp Suite en el emulador Android?

Se debe extraer el certificado desde Burp, convertirlo a formato X.509 y usar comandos ADB para instalarlo como certificado de usuario o sistema. Esto garantiza que las conexiones HTTPS confíen en la CA de Burp, además de desactivar SSL Pinning en la app.

¿Qué es la “interceptación invisible” o invisible proxying en Burp Suite?

Es una opción que permite a Burp manejar tráfico que no es necesariamente HTTP estándar, como websockets o conexiones multiplexadas, haciendo transparente el proxy para la aplicación. Es útil para interceptar y manipular tráfico de apps con protocolos complejos.

¿Cómo puedo automatizar el proceso de parcheo e instalación?

Se recomienda crear scripts o alias que combinen adb, objection patch y comandos de instalación para agilizar iteraciones. Esto facilita pruebas rápidas y reduce errores humanos en cada ciclo de análisis.

¿Qué hacer si la app sigue sin enviar tráfico a Burp después de configurar el proxy?

Verificar que el proxy esté apuntando a la IP correcta, que el puerto esté abierto y que el certificado raíz de Burp esté instalado y confiado en el dispositivo. Además, confirmar que no existan bloqueos por SSL Pinning o configuraciones específicas que requieren parcheo.

Cómo interceptar el tráfico de apps Android usando Objection y BurpCómo interceptar el tráfico de apps Android usando Objection y Burp

Conclusión

Interceptar el tráfico de aplicaciones Android mediante el uso de Objection y Burp Suite es una técnica poderosa y detallada que abre un amplio rango de posibilidades para auditorías de seguridad, pruebas de penetración y análisis forense digital. Aunque el proceso puede parecer complejo, la combinación de estas herramientas ofrece una solución robusta para superar las barreras impuestas por medidas de seguridad como el SSL Pinning.

Si buscas implementar este tipo de análisis en tu entorno profesional o necesitas asesoramiento especializado en seguridad y automatización, en Código6 contamos con la experiencia necesaria para acompañarte en cada paso. Contactanos para comenzar tu proyecto hoy y potenciar la seguridad de tus sistemas móviles.

Share

Leave A Comment

Descubre el Poder de la IA

Sumérgete en una experiencia transformadora hacia el futuro de la innovación, explorando el potencial ilimitado de la inteligencia artificial en cada interacción.

Ver servicios
Contacto

At Power AI, we offer affordable and comprehensive range of AI solutions, that empower drive growth, and enhance efficiency to meet your unique needs.

Empresa

Servicios

Join Our Newsletter

We will send you weekly updates for your better Product management.

© 2025 Codigo6 All Rights Reserved.