Captura por proxy
El módulo de captura por proxy de Trace Eagle pone a la vista las solicitudes de red de tu ordenador, tu teléfono y otros dispositivos de tu red local de forma completa, clara y descifrada. No solo miras: puedes editarlas, interceptarlas, reenviarlas, compararlas y rastrearlas hasta su origen.
La diferencia fundamental frente a “una más de tantas herramientas de captura por proxy” es esta: las herramientas de proxy ordinarias tienen una única vía, “configurar un proxy + descifrado con intermediario”. En cuanto se topan con un programa que ignora el proxy, una aplicación que usa fijación de certificado, un programa en Java / Python, un protocolo binario propio o una aplicación sensible a las características del tráfico, se quedan prácticamente bloqueadas. Trace Eagle rellena estos puntos ciegos uno a uno: captura incluso programas que ignoran el proxy, descifra incluso aplicaciones con fijación de certificado, reconstruye incluso formatos propios, identifica con precisión quién envió un flujo aunque esté enterrado en el ruido del sistema, y mantiene el tráfico sin cambios para las aplicaciones sensibles a las características del tráfico, observándolas con alta fidelidad sin perturbar su funcionamiento normal.

1. En qué se diferencia de las herramientas de captura por proxy ordinarias
Sección titulada «1. En qué se diferencia de las herramientas de captura por proxy ordinarias»Para la misma captura por proxy, la diferencia no es “si puedes ver la solicitud”, sino si puedes seguir trabajando cuando te topas con un caso difícil, y si puedes ver más a fondo.
| Escenario | Herramientas de captura por proxy ordinarias | Trace Eagle |
|---|---|---|
| El programa ignora el proxy del sistema (muchos clientes, servicios en segundo plano, tráfico de conexión directa) | No pueden capturarlo, se lo pierden por completo | Proxy transparente: no requiere configurar la aplicación; aun así captura los programas que ignoran el proxy, el tráfico de conexión directa y el tráfico reenviado cuando la máquina actúa como punto de acceso/pasarela, y puede acotar con precisión por proceso |
| La aplicación usa fijación de certificado | Errores / no puede conectar / hay que rendirse | Con un clic elimina la validación de certificado de la aplicación objetivo para que confíe en el certificado de captura y el descifrado continúe; los sitios que prefieres no tocar se dejan pasar con precisión |
| Programas de Java, Python y similares | Aunque instales el certificado del sistema no sirve de nada, no se pueden descifrar | Cobertura completa de certificados: estos programas, que los proxies ordinarios no pueden descifrar, aquí también se descifran |
| Tráfico HTTP/3 (QUIC) | Soporte débil, en su mayoría no lo ven | Elige según tus necesidades entre tres niveles: captura degradada, paso fiel (alta fidelidad) o descifrado real |
| Protocolos propios / binarios, sobres comprimidos y cifrados | Un montón de basura que no puedes leer | Descompresión automática, reconocimiento automático de muchos formatos, además de decodificación personalizada mediante reglas de tramado o scripts JS |
| Un montón de procesos mezclados, sin idea de cuál envió el tráfico | Solo IP / dominio, tienes que adivinar | Cada flujo va etiquetado con su aplicación / proceso de origen; haz clic en el host para consultar también su perfil completo |
| Quieres identificar quién es el interlocutor y qué es el cliente | Nada | Haz clic en un host para ver su atribución / certificado / perfil geográfico, y consulta la huella del cliente (JA3/JA4) de cada conexión |
| Aplicaciones sensibles a las características del tráfico | Un proxy intermediario cambia las características del tráfico, de modo que lo que observas ya no es el tráfico real y puede perturbar el objetivo | Múltiples modos de alta fidelidad: mantienen el tráfico tal cual, sin cambiar sus características, para que ni perturbes la aplicación objetivo ni pierdas de vista el enlace real que estás analizando |
| Método de acceso / trabajo en paralelo | Básicamente solo el proxy, una única sesión | Proxy + captura directa por NIC + captura transparente + conexión directa móvil, múltiples sesiones en paralelo, múltiples puertos sin interferencias |
En resumen: las herramientas ordinarias hacen “captura por proxy”, mientras que Trace Eagle hace “capturar, descifrar, comprender y saber quién se lo envió a quién, sea cual sea la situación”.
2. Métodos de acceso flexibles (dos modos de acceso local)
Sección titulada «2. Métodos de acceso flexibles (dos modos de acceso local)»Cómo entra el tráfico en la captura depende del escenario. En la barra de herramientas de la sesión, en “Proxy local” → engranaje “Ajustes de acceso”, puedes elegir entre dos modos de acceso:
- Proxy tradicional (usa el proxy del sistema, captura clásica): acceso con un clic; los navegadores, la línea de comandos y la mayoría de las aplicaciones pasan por el proxy automáticamente. Al detener, se restaura automáticamente, de modo que el acceso normal a internet está garantizado, y también hay un mecanismo de recuperación para las salidas anómalas. Limitación: si una aplicación no usa el proxy del sistema, no se puede capturar.
- Proxy transparente (todo el tráfico): el punto ciego de las herramientas ordinarias: no requiere configurar la aplicación; se puede capturar todo el tráfico local (incluido el tráfico de conexión directa y el tráfico reenviado cuando la máquina actúa como punto de acceso/pasarela); las aplicaciones que no usan el proxy del sistema se capturan igualmente; puedes acotar con precisión por aplicación/proceso para capturar solo unos pocos programas; en el móvil, basta con instalar el certificado raíz, sin necesidad de configurar un proxy a mano.

Capturar dispositivos de la red local: apunta el proxy de un teléfono/tableta/otro ordenador a esta máquina para capturarlo, con una guía de instalación del certificado con un clic (perfil de configuración de iOS/macOS, instalación escaneando un código QR).
Encadenar un proxy ascendente: la propia sesión de captura puede encadenar por encima otro proxy ascendente (conectando la captura de esta máquina a un proxy de empresa, un host de salto u otro proxy secundario); el enlace es transparente y no afecta al descifrado.
3. Tres niveles de manejo de HTTP/3 (QUIC)
Sección titulada «3. Tres niveles de manejo de HTTP/3 (QUIC)»Cada vez más aplicaciones adoptan HTTP/3, y las herramientas ordinarias suelen fallar aquí. En “Ajustes de acceso” puedes elegir:
- Bloquear (captura degradada): intenta degradar HTTP/3 a HTTP/2 para hacerlo capturable (unas pocas aplicaciones no lo admiten).
- Ignorar (paso fiel): reenvía tal cual sin descifrar, alta fidelidad, no perturba las solicitudes de datos del programa.
- Descifrar (intermediario H3 real): captura y descifra de verdad, viendo el texto plano igual que en un HTTPS ordinario.
El proxy tradicional admite “Bloquear / Ignorar”; “Descifrar” debe usarse en modo de proxy transparente.
4. Capacidad de descifrado: más que “solo instalar un certificado”
Sección titulada «4. Capacidad de descifrado: más que “solo instalar un certificado”»El descifrado de las herramientas ordinarias es “instalar un certificado del sistema + un proxy intermediario”, que falla a la mínima defensa. Trace Eagle es una combinación de recursos:
- Descifrado HTTPS con un clic: un sistema de certificados integrado; instálalo una vez para un descifrado continuo.
- Instalación de cobertura completa de certificados: con un clic cubre el certificado del sistema en todas partes. Los programas de Java, Python y similares, que los proxies ordinarios no pueden descifrar ni con el certificado del sistema instalado, aquí también se descifran.
- Eliminar la fijación de certificado (quitar el pinning): para las aplicaciones que usan pinning y que normalmente rechazarían la conexión con un error sin más, con un clic se elimina su validación de certificado y el descifrado continúa.
- Lista blanca / lista de permitidos / lista de bloqueo: la lista blanca descifra solo los dominios indicados y deja pasar el resto directamente; la lista de permitidos deja pasar tal cual, sin descifrar, los sitios con validación estricta para evitar errores; la lista de bloqueo descarta sin más los dominios que no quieres dejar pasar.

5. Múltiples sesiones / múltiples proxies en paralelo
Sección titulada «5. Múltiples sesiones / múltiples proxies en paralelo»- Abre varias sesiones de captura a la vez; cada una es una pestaña independiente que se puede iniciar/detener/cambiar por su cuenta.
- Las sesiones están completamente aisladas: listas de flujos, detalles, estado de selección y configuración independientes; múltiples sesiones de proxy pueden escuchar cada una en un puerto distinto y funcionar al mismo tiempo.
- El proxy, la captura directa por NIC, la captura transparente y la conexión directa móvil se pueden ejecutar a la vez y combinar por escenario sin afectarse entre sí.
6. Soporte completo de protocolos
Sección titulada «6. Soporte completo de protocolos»| Protocolo | Capacidad soportada |
|---|---|
| HTTP / HTTPS | Análisis completo de solicitud-respuesta, visualización en texto plano |
| HTTP/2 | Análisis nativo, experiencia de visualización consistente con HTTP/1.1 |
| HTTP/3 (QUIC) | Tres niveles a elegir: captura degradada / paso fiel / descifrado real (ver arriba) |
| WebSocket | Muestra trama a trama los mensajes enviados y recibidos (texto/binario/ping/pong, con la dirección etiquetada) |
| Server-Sent Events (SSE) | Flujos de eventos mostrados evento por evento |
| gRPC / protobuf | Resuelve la estructura de los campos sin necesidad del .proto |
| TCP / UDP en crudo | Captura los datos en crudo incluso para protocolos propios que no son HTTP |
| SOCKS5 | Comparte el mismo puerto para el acceso; se admiten tanto CONNECT como UDP ASSOCIATE, y el tráfico SOCKS también se puede descifrar / dejar pasar |
7. Observación de alta fidelidad: no perturbar el objetivo, no cambiar las características del tráfico
Sección titulada «7. Observación de alta fidelidad: no perturbar el objetivo, no cambiar las características del tráfico»Un proxy intermediario ordinario cambia las características de las solicitudes de red, y el resultado es que lo que observas ya no es el tráfico real de la aplicación, y puede afectar al comportamiento normal de la aplicación objetivo. Para las aplicaciones sensibles a las características del tráfico (como los servicios que se basan en huellas de datos de las solicitudes de red para comprobaciones de consistencia), esto perturba el objetivo y distorsiona el análisis a la vez.
Trace Eagle ofrece múltiples niveles de fidelidad para mantener el proceso de captura lo más “transparente” y lo más cercano posible al enlace real: observación fiel (observar de la forma más cercana a un cliente real, minimizando los cambios en las características del tráfico), reconstrucción de huella (mantener una huella de cliente consistente incluso cuando hay que reescribir el tráfico) y perfil de cliente fijo (restaurar las características del tráfico a las de un cliente estándar: Chrome / Firefox / Safari de escritorio, Safari móvil, o un perfil aleatorio). Combinado con “H3 Ignorar (paso fiel)”, incluso para las aplicaciones sensibles a las características del tráfico puedes capturar y analizar con fidelidad sin perturbar su funcionamiento normal.
8. Atribución de proceso y filtrado preciso
Sección titulada «8. Atribución de proceso y filtrado preciso»- Ver de un vistazo quién lo envió: cada flujo va etiquetado con su aplicación/proceso de origen, de modo que identificas rápidamente el objetivo en un entorno concurrido, algo que las herramientas ordinarias, que solo muestran IP/dominio, no pueden darte.
- Capturar solo lo que te importa: combínalo con el proxy transparente para acotar con precisión la captura por aplicación/proceso y dejar fuera el ruido.

9. Capacidades complementarias más potentes (cada una con su propio artículo)
Sección titulada «9. Capacidades complementarias más potentes (cada una con su propio artículo)»Una vez capturado, “comprender, rastrear, reescribir, reenviar, probar la carga” da mucho de sí, así que se detallan en artículos aparte:
| Capacidad | En una frase | Detalles |
|---|---|---|
| Inspeccionar y decodificar | 5 modos de visualización + descompresión/reconocimiento/embellecido automáticos + previsualización de medios en línea + decodificación de protocolos propios por tramado/script | Inspeccionar y decodificar |
| Detalles del host | Haz clic en cualquier host para ver la atribución (ASN/organización/registro) + mapa geográfico + DNS + verificación del certificado TLS + pila tecnológica web | Detalles del host |
| Reglas de reescritura e interceptación con puntos de interrupción | Reglas sencillas para editar solicitudes apuntando y haciendo clic, sin necesidad de scripts + los puntos de interrupción editan cada una a mano + scripts/plugins como recurso para escenarios complejos | Reglas de reescritura e interceptación con puntos de interrupción |
| Composición y reenvío de solicitudes | Reenvío con un clic/editar y reenviar + compositor de solicitudes + firma de valores dinámicos + colecciones/entornos + generación de código | Composición y reenvío de solicitudes |
| Comparación de solicitudes (Diff) | Compara dos solicitudes/respuestas lado a lado línea a línea, entre sesiones y orígenes, para ver de un vistazo en qué se diferencian | Comparación de solicitudes |
| Reproducción de sesiones y pruebas de carga | Reproduce una serie de solicitudes en orden por lotes; haz clic derecho en una sola para “probar la carga de esta solicitud”, con rendimiento en tiempo real y percentiles de latencia | Reproducción de sesiones y pruebas de carga |
También hay una capacidad ligera pero muy práctica:
- Huella de conexión (JA3 / JA4): para cualquier conexión HTTPS, consulta su huella TLS de cliente (JA3 con cadena en crudo, JA4, copia con un clic). No cambia con la IP/UA y se usa para identificar el tipo de cliente y ayudar en el rastreo de tráfico y el análisis de seguridad.
10. Casos de uso típicos
Sección titulada «10. Casos de uso típicos»- Depuración de integración de API: simula para producir datos; reenvía un endpoint de producción a un entorno local/de pruebas.
- Captura móvil: captura las solicitudes HTTPS de una aplicación de teléfono para analizar endpoints y solucionar problemas.
- Abordar los casos difíciles: programas que ignoran el proxy, usan fijación de certificado o están escritos en Java / Python; manéjalos con el proxy transparente + quitar el pinning + cobertura completa de certificados.
- Análisis de protocolos propios: resuelve la estructura de protocolos binarios/propios con reglas de tramado o scripts.
- Solución de fallos: ve con claridad qué envió la solicitud y qué devolvió el servidor, para localizar problemas de parámetros/retorno/origen cruzado.
- Pruebas en red débil / pruebas de carga: usa reglas para simular una red mala; usa las pruebas de carga para evaluar la capacidad de un endpoint.
- Auditoría de seguridad / inventario de activos: revisa las comunicaciones salientes, comprueba si hay fugas de información sensible, verifica certificados y usa los perfiles de host para averiguar la atribución del interlocutor.
- Análisis de alta fidelidad: para las aplicaciones sensibles a las características del tráfico, captura y analiza con fidelidad manteniendo el tráfico tal cual y sin perturbar su comportamiento.
La captura por proxy forma parte de las capacidades de recolección de datos de Trace Eagle. Además del método de proxy, el producto también admite la captura directa por NIC, la conexión directa de dispositivos móviles y otros métodos de captura, que se pueden combinar de forma flexible según el escenario.