Ir al contenido

Captura a nivel de aplicación

Algunos programas están fuera del alcance tanto del proxy como de la NIC: usan fijación de certificado, ignoran por completo el proxy o usan cifrado propio. La captura a nivel de aplicación toma otra vía: lee el texto plano directamente desde dentro del programa. No instala ningún certificado, no configura ningún proxy y no captura ninguna NIC, así que todas esas “defensas” simplemente no aplican, y aun así ves lo que realmente envía y recibe. Este es el punto ciego más típico de las herramientas ordinarias de captura, y es la función estrella de este modo.


1. Lo que otros no pueden obtener en texto plano, este sí

Sección titulada «1. Lo que otros no pueden obtener en texto plano, este sí»
La “defensa” del programa objetivo Captura por proxy Captura por NIC Captura a nivel de aplicación
Fijación de certificado ❌ No conecta / da error 🔒 Solo texto cifrado ✅ Texto plano
Ignora el proxy del sistema ❌ No puede capturar 🔒 Solo texto cifrado ✅ Texto plano
Cifrado propio / no estándar ❌ No puede descifrar 🔒 Solo texto cifrado ✅ Texto plano

El principio es sencillo: lee el texto plano directamente desde dentro del programa, sin intermediario y sin tocar certificados, así que todas esas defensas dirigidas contra “el intermediario” y “el certificado” simplemente no aplican.

Resultado real: selecciona un programa en ejecución y lee su texto plano enviado/recibido directamente desde dentro de él, listado uno a uno por dirección (Enviado ↑ / Rec ↓), con la petición HTTP completa en texto plano en los detalles


No es exigente con las bibliotecas de cifrado ni con las pilas tecnológicas. Leer texto plano desde dentro del programa cubre muchos más programas de los que pueden el proxy o la NIC:

  • Tanto si el programa usa una biblioteca de cifrado mayoritaria como una poco conocida, el texto plano se puede leer desde dentro.
  • Tanto si es un programa nativo como una app escrita con diversos frameworks multiplataforma (clientes de escritorio, apps multiplataforma…), se maneja exactamente igual.
  • Incluso los programas que se comunican usando el cifrado integrado del sistema operativo están cubiertos, incluidos .NET / PowerShell y otros programas que usan la pila de red del sistema de Windows. Estos suelen ser los puntos ciegos con los que más batallan otras herramientas, y sin embargo aquí el texto plano se sigue leyendo desde dentro.
  • En resumen: navegadores, clientes de escritorio, programas nativos… muchos objetivos que en otros lugares son “solo texto cifrado” son texto plano justo aquí.

3. También puede con los casos más difíciles

Sección titulada «3. También puede con los casos más difíciles»

Para los programas más duros, hay dos medidas más:

  • “Tráfico de socket”, una alternativa de más bajo nivel: para programas que están reducidos, tienen sus símbolos eliminados o están escritos con una pila tecnológica más nueva (por ejemplo puros en Go, Rust, o usando la pila de red del sistema de Windows), cuando el enfoque ordinario no puede encontrar su punto de entrada de cifrado/descifrado, activa este interruptor y toma una vía de más bajo nivel para capturar los datos y aun así obtener texto plano, sin depender de poder localizar el punto de entrada de cifrado/descifrado del programa y sin depender de la NIC. Muchos programas ante los que otras herramientas se quedan completamente atascadas pueden manejarse así.
  • Capturar “el momento del arranque”: gran parte de la autenticación y del handshake ocurre en el instante en que un programa arranca por primera vez. Ciérralo primero y deja que la herramienta lo lance, y este tráfico del arranque temprano también se captura, para que no te pierdas esa primera petición crítica.

Nueva sesión · Captura a nivel de aplicación: elige un programa en ejecución (o escribe la ruta de un programa) y lee texto plano directamente desde dentro de él; marca “Reiniciar objetivo” para capturar el arranque temprano, o “Tráfico de socket” para una alternativa de más bajo nivel


4. Tras la captura: entenderla, decodificarla

Sección titulada «4. Tras la captura: entenderla, decodificarla»

El texto plano leído desde dentro pasa por el mismo procesamiento que todos los demás métodos de captura:

  • Múltiples formas de visualizar: estructurado, texto embellecido, hex y detección automática, conmutables de forma independiente para cada dirección. Consulta Inspeccionar y decodificar para más detalles.
  • Descompresión y detección automáticas: descomprime automáticamente gzip / brotli / deflate / zstd (incluidas varias capas apiladas), y detecta y embellece automáticamente JSON, XML, formularios, protobuf / gRPC y más.
  • Códecs personalizados: para protocolos de socket propietarios / internos, escribe un breve script para enseñarle a leerlos. Consulta Decodificación de protocolos personalizados para más detalles.

  • Ideal para: programas con fijación de certificado, que ignoran el proxy, o que usan cifrado propio / no estándar, donde ni el proxy ni la NIC pueden obtener texto plano.
  • Funciona directamente sobre un programa en ejecución: selecciona un programa en ejecución y lee su texto plano desde dentro, sobre la marcha, sin necesidad de reiniciarlo ni cambiar ninguna de sus configuraciones (también puedes escribir la ruta de un programa y dejar que la herramienta lo inicie por ti).
  • Apunta solo al programa seleccionado: por defecto no se expande automáticamente a todos los procesos hijos del programa; los programas multiproceso / multiventana pueden requerir seleccionarse por separado.
  • Cuándo pasar el relevo a la captura a nivel de sistema: las apps integradas del sistema en macOS, junto con apps especialmente obstinadas y profundamente ocultas, rechazan toda intervención externa, y este modo no puede entrar; para esos objetivos, cambia a la Captura a nivel de sistema (que no entra en el programa y observa desde los niveles más bajos del sistema).

6. Cómo elegir entre los cuatro métodos de captura local

Sección titulada «6. Cómo elegir entre los cuatro métodos de captura local»
Tu situación Cuál usar
Un programa que ya está en ejecución / usa fijación de certificado / ignora el proxy / usa cifrado propio Captura a nivel de aplicación (esta página)
Un programa normal que puedes iniciar con un comando (navegador / script / CLI) Captura por proceso (con menos esfuerzo)
Quieres ver todo el tráfico de la máquina, o tráfico no HTTP Captura por NIC
Apps integradas del sistema en macOS / apps obstinadas Captura a nivel de sistema

Relacionado: Captura por proxy · Eliminar la fijación de certificado · Inspeccionar y decodificar