Batillo Curiosillo

Proxies de depuración web para Android

qué proxies de depuración web están disponibles para Android?
18/3/2026, 8:40:42 p.m.
Asistente
🤔 Pensamiento: Hola, el usuario pregunta qué proxies de depuración web están disponibles para Android. Parece ser un desarrollador o tester que necesita herramientas para inspeccionar el tráfico de red de aplicaciones Android. Voy a planificar una respuesta que cubra las principales opciones disponibles, organizándolas por categorías para facilitar la elección. Si los resultados de búsqueda lo permiten, incluiré aplicaciones autónomas para Android, herramientas que requieren integración con escritorio, y soluciones profesionales. También sería útil añadir consideraciones técnicas sobre configuración de certificados y limitaciones según la versión de Android. Los resultados de búsqueda son bastante completos. La documentación oficial de Android Developers explica claramente la diferencia entre el proxy del sistema para depuración y el proxy del emulador para cortafuegos [citation:3], lo cual es información fundamental. Para aplicaciones autónomas, Reqable aparece en Google Play con buena valoración, destacando por su modo independiente y colaborativo, y soporte para múltiples protocolos [citation:1][citation:4]. Es la evolución de HttpCanary. HTTP Toolkit tiene presencia en Google Play [citation:2][citation:10] y su sitio web oficial [citation:7] detalla capacidades avanzadas como integración con Frida para certificados en dispositivos rooteados y reglas de modificación automática. Proxyman ofrece guías detalladas para Android [citation:5][citation:9], con soporte para breakpoints y mapeo local, aunque requiere configuración de certificados y XML. Burp Suite de PortSwigger [citation:8] es la herramienta profesional de referencia para pruebas de seguridad, con documentación oficial sobre configuración en Android. El resultado de Multilogin [citation:6] se enfoca más en emulación de navegador con proxies residenciales que en depuración HTTP tradicional, por lo que no es tan relevante para la pregunta específica. La información es consistente entre fuentes. Puedo organizar la respuesta en categorías claras: aplicaciones independientes, herramientas que requieren escritorio, y soluciones profesionales. También incluiré una sección con consideraciones técnicas sobre certificados y limitaciones según versión de Android, basándome en la documentación oficial [citation:3][citation:8].

Hoy en día, existen varias herramientas potentes para depurar el tráfico web en Android, que van desde aplicaciones independientes hasta suites profesionales que se integran con tu ordenador. La elección dependerá de si necesitas una solución completa en el móvil o prefieres analizar el tráfico en una pantalla grande.

Aquí te presento las opciones más destacadas, organizadas por su enfoque:

📱 Aplicaciones Autónomas (Todo-en-uno en el Móvil)

Estas aplicaciones funcionan de forma independiente en tu dispositivo Android, sin necesidad de un ordenador, aunque algunas ofrecen modos de colaboración.

  • Reqable (antes HttpCanary): Es una solución de depuración de APIs todo-en-uno muy completa [citation:1]. Ofrece un modo independiente para inspeccionar tráfico HTTP/HTTPS directamente en el móvil con visores como JSON o Hex. También tiene un modo colaborativo que permite reenviar el tráfico a la versión de escritorio escaneando un código QR, ideal para análisis más profundos sin configurar proxies manualmente [citation:1][citation:4]. Soporta modo VPN y proxy, y protocolos como HTTP/1.x, HTTP2 y SOCKS [citation:1][citation:4]. Está disponible en Google Play.

💻 Herramientas que Requieren Ordenador (Enfocadas en Análisis Profesional)

Estas herramientas funcionan con un cliente de escritorio potente y una app complementaria en el móvil o mediante la configuración del proxy del sistema.

  • HTTP Toolkit: Es una herramienta de código abierto excelente para interceptar, visualizar y modificar tráfico HTTP [citation:2][citation:7]. La app en Android actúa como un puente que, usando las VPN APIs, redirige todo el tráfico del dispositivo a la interfaz de escritorio sin configuración manual de certificados [citation:2][citation:7]. Sus puntos fuertes son la facilidad para interceptar HTTPS, el soporte para dispositivos rooteados (con Frida para certificados a nivel sistema) y la capacidad de crear reglas para modificar respuestas automáticamente [citation:7]. La app está en Google Play, pero requiere la versión de escritorio [citation:2][citation:10].

  • Proxyman: Es un depurador de redes nativo para macOS con un enfoque muy visual e intuitivo [citation:5]. Para Android, proporciona guías detalladas para configurar el proxy WiFi, instalar su certificado CA y modificar el archivo network_security_config.xml de la app si es necesario [citation:5][citation:9]. Ofrece herramientas profesionales como breakpoints (para modificar peticiones en caliente) y map local (para mockear respuestas con archivos locales) [citation:5].

  • Proxy del Sistema Android + Herramientas de Escritorio: Es el método tradicional y más estándar. Consiste en configurar el proxy manualmente en los ajustes WiFi de tu dispositivo Android para que el tráfico pase por una herramienta instalada en tu ordenador [citation:3][citation:8].

    • Burp Suite: Es la herramienta de referencia para pruebas de seguridad y pentesting [citation:8]. Para usarla, debes configurar un listener en tu PC, establecer el proxy en el móvil e instalar el certificado CA de Burp en el dispositivo [citation:8].
    • Charles Proxy: Es otro clásico muy utilizado para depuración de aplicaciones. Su funcionamiento es similar a Burp Suite: se configura un proxy en el móvil y se instala su certificado SSL.

⚙️ Consideraciones Técnicas Importantes

Para que cualquiera de estas herramientas funcione correctamente con tráfico HTTPS (que es la mayoría hoy en día), hay algunos conceptos clave que debes conocer:

  • Instalación de Certificados CA (Autoridad Certificadora): Para que la herramienta pueda "descifrar" y mostrar el tráfico HTTPS, el dispositivo Android debe confiar en su certificado. La herramienta actúa como un "hombre en el medio" (MITM) de confianza [citation:1][citation:8].
  • Limitaciones en Android Moderno (7+): Desde Android 7 (Nougat), las aplicaciones no confían en los certificados de usuario por defecto por razones de seguridad. Esto significa que, para interceptar el tráfico de una app específica que no esté configurada para depuración, necesitarás:
    • Un dispositivo rooteado para poder instalar el certificado como de sistema [citation:7][citation:8].
    • Modificar el archivo network_security_config.xml de la aplicación que estás desarrollando para que incluya tu certificado de depuración [citation:5][citation:9].
  • Proxy del Sistema vs. Proxy del Emulador: Si usas el emulador de Android, es importante distinguir el Proxy del Sistema (para depurar tráfico de apps con certificados) del Proxy del Emulador (para salir a internet tras un firewall corporativo, pero que no permite inspeccionar HTTPS) [citation:3].

Espero que esta comparativa te sea de gran ayuda. Si me cuentas un poco más sobre tu caso de uso específico (por ejemplo, si estás desarrollando tu propia app o haciendo análisis de seguridad de una app de terceros), podré orientarte mejor sobre cuál de estas herramientas se adapta más a lo que necesitas.

Referencias

  1. Reqable API Testing & Capture - Apps on Google Play
  2. HTTP Toolkit – Apps on Google Play
  3. Set up Proxy with the Android Emulator | Android Studio | Android Developers
  4. Download and Run Reqable API Testing & Capture on PC
  5. Proxyman: Capture, Inspect, and Decrypt HTTP(s) traffic from Android physical devices, emulators.
  6. Run mobile testing with Multilogin's Android Emulation
  7. Intercept, mock & debug Android HTTP traffic
  8. Configuring an Android device to work with Burp Suite
  9. How to intercept and capture HTTPS Traffic on Android Devices? · Proxyman
  10. HTTP Toolkit - Google Play 上的应用
18/3/2026, 8:40:42 p.m.
hay alternativas open source?
18/3/2026, 8:42:18 p.m.
Asistente
🤔 Pensamiento: Hmm, el usuario antes preguntó sobre proxies de depuración para Android, le di una lista completa de opciones, y ahora quiere saber específicamente cuáles son de código abierto. Es una pregunta de seguimiento natural que busca alternativas gratuitas y transparentes. Voy a revisar los resultados de búsqueda para identificar qué herramientas mencionadas anteriormente son realmente open source, y complementar con otra información relevante. El resultado de HTTP Toolkit [citation:2] menciona explícitamente que es "open-source tool", y su repositorio de GitHub [citation:7] confirma que tiene múltiples repositorios bajo licencias AGPL-3.0 y Apache-2.0, con más de 11,000 estrellas y 161 contribuidores. Esto es muy relevante y autoritativo. Sobre Reqable, su página oficial [citation:3] y repositorio de releases [citation:8] no indican que sea open source. De hecho, menciona edición gratuita para la comunidad pero no código abierto. Las páginas de Proxyman [citation:4] y su GitHub [citation:9] tampoco muestran que sea open source, aunque tienen versión gratuita. Burp Suite [citation:5] tiene edición comunitaria gratuita pero no es open source, y Charles [citation:6][citation:10] es comercial. La documentación de Android Developers [citation:1] menciona herramientas como Chrome DevTools para depuración remota, que son gratuitas pero no exactamente proxies de depuración. Esto puede ser útil como contexto adicional. Voy a estructurar la respuesta destacando primero a HTTP Toolkit como la opción open source principal, explicando sus características basadas en los resultados [citation:2][citation:7]. Luego mencionaré alternativas gratuitas pero no open source para completar la información. Finalmente recordaré las consideraciones técnicas sobre certificados y limitaciones de Android, que son relevantes independientemente de la herramienta. La respuesta será concisa pero completa, reconociendo que la búsqueda de open source es una preferencia válida y ofreciendo opciones claras.

¡Claro que sí! Entender que prefieras herramientas de código abierto es un gran punto de partida. Permite una transparencia total, la posibilidad de auditar el código y, a menudo, una comunidad muy activa detrás.

De las opciones que mencionamos antes y buscando en el mercado, la alternativa open source más destacada y completa es HTTP Toolkit. También hay otras opciones gratuitas, aunque no sean de código abierto, que pueden serte útiles.

Aquí tienes un resumen de las alternativas:

🏆 La Mejor Opción Open Source: HTTP Toolkit

HTTP Toolkit es, con diferencia, la herramienta de código abierto más potente y moderna para depurar tráfico HTTP/S [citation:2]. Es una excelente alternativa a opciones como Charles o Fiddler.

  • Código Abierto y Transparente: Su código está disponible en GitHub, donde cuenta con más de 11,000 estrellas y 161 contribuidores, lo que habla de su salud y comunidad [citation:2][citation:7].
  • Interceptación Simplificada: Una de sus mayores ventajas es la facilidad para interceptar el tráfico de Android (y otras plataformas) sin una configuración manual compleja de certificados. Usa las VPN APIs para redirigir el tráfico de todo el dispositivo o de una app específica [citation:2].
  • Características Profesionales: No es una herramienta simple. Incluye funcionalidades avanzadas como breakpoints para modificar peticiones en caliente, la capacidad de crear reglas automáticas para "mockear" respuestas y visores de datos con resaltado de sintaxis para JSON, HTML, etc. [citation:2].
  • Ideal para Pentesting: Para dispositivos rooteados, ofrece scripts de Frida que permiten saltarse la fijación de certificados (SSL pinning) en aplicaciones, algo crucial en análisis de seguridad [citation:7].

🤔 Alternativas Gratuitas (Pero No Open Source)

Si lo que buscas es una herramienta sin costo, pero no necesariamente de código abierto, las opciones que ya vimos tienen versiones gratuitas muy competentes:

  • Reqable (Comunidad): Tiene una edición gratuita para la comunidad muy completa que funciona de forma independiente en el móvil o en colaboración con el escritorio [citation:3]. Su código no es abierto, pero es una herramienta gratuita de gran calidad.
  • Burp Suite (Community Edition): Es el estándar de la industria para pruebas de seguridad. Su edición comunitaria es gratuita e incluye el proxy y las herramientas manuales esenciales, aunque carece del escáner de vulnerabilidades automático de la versión de pago [citation:5].

⚙️ Recordatorio Técnico (Válido para Todas)

Independientemente de la herramienta que elijas, recuerda las limitaciones de Android moderno que comentamos. Para interceptar tráfico HTTPS de aplicaciones en Android 7+:

  • Sin Root: Solo podrás inspeccionar el tráfico de las aplicaciones que tú mismo desarrolles y hayas configurado para depuración (modificando el network_security_config.xml).
  • Con Root: Podrás instalar el certificado CA de la herramienta como certificado de sistema y así inspeccionar el tráfico de cualquier aplicación del dispositivo.

¿Tienes pensado usar un dispositivo rooteado o vas a trabajar sobre todo con aplicaciones en desarrollo? Saberlo me ayudaría a darte algún consejo más específico.

Referencias

  1. Cómo depurar aplicaciones web | Views - Android Developers
  2. HTTP Toolkit
  3. Reqable
  4. Proxyman - Best HTTP Debugging Proxy for macOS, iOS ...
  5. Download Burp Suite Community Edition
  6. Charles Web Debugging Proxy • HTTP Monitor / HTTP Proxy ...
  7. HTTP Toolkit
  8. Releases · reqable/reqable-app
  9. ProxymanApp/Proxyman: The best-in-class HTTP ...
  10. Download a Free Trial of Charles
18/3/2026, 8:42:18 p.m.