Integración de backend, depuración móvil, pruebas de seguridad, pruebas de carga, desarrollo de protocolos, captura y descifrado, y más: cada tarea tiene su propia solución
Backend e integración
La app conecta directo y se salta el proxy, el HTTPS es un muro de galimatías cifrado, y frontend y backend se echan la culpa por un campo, comparando peticiones a ojo.
Captura el tráfico directo por tarjeta de red → descifra automáticamente → compara dos peticiones línea por línea para distinguir un problema de datos de uno de presentación → genera código y pégalo de vuelta en el proyecto.
Depuración de apps móviles
El HTTPS de la app es todo cifrado, un certificado fijado bloquea el cuerpo, e instalar un certificado falla una y otra vez en iOS y en los Android recientes.
Lee el texto claro desde dentro de la app → iOS sin jailbreak, Android sin instalar certificados → la fijación ya no bloquea, el cuerpo está ahí mismo.
Integración de API sin documentación
Estás integrando un servicio de terceros sin documentación de API, sin saber qué enviar ni qué llega de vuelta.
Captura el tráfico real y descífralo → lee cada campo de la petición y la respuesta → conviértelo en una especificación OpenAPI y genera el código cliente.
Trabajo con protocolos privados / binarios
Un dispositivo o servicio habla un protocolo binario privado, y la captura es un muro de ruido sin estructura de trama visible.
Escribe un breve script para declarar el entramado → el protocolo privado se restaura en campos estructurados → revisa la implementación trama a trama.
Pruebas de seguridad de API
Necesitas ver si una app o un cliente envía datos sensibles en claro, y si el servidor acepta parámetros manipulados.
Intercepta en medio → cambia la petición en un punto de interrupción y observa cómo responde el servidor → lee el dossier del host para la nota del certificado y la pila tecnológica, y mapea los riesgos.
Mapeo de activos y reconocimiento
Solo tienes un dominio o una IP, muy poco para saber qué servicios hay detrás.
Dossier del host para la titularidad, una nota de certificado A–F y la pila tecnológica → descubrimiento de subdominios más escaneo de puertos → completa la superficie de activos.
Pruebas de carga y rendimiento de API
Captura y prueba de carga son dos herramientas distintas, y las API firmadas o con marca de tiempo no se pueden probar directamente.
Clic derecho «Probar esta petición en carga» → firmas y marcas de tiempo se recalculan a partir de valores dinámicos para correr directamente → cifras honestas de latencia de cola.
Pruebas de red débil y casos límite
Quieres ver cómo se comporta la app en 2G, con pérdida de paquetes o alta latencia, pero ese entorno es un fastidio de montar.
Perfiles de red débil de un clic → añade latencia, limita el ancho de banda, descarta paquetes → mira cómo reacciona la app de verdad en una conexión mala.
Diagnóstico de red y operaciones
Tiempos de espera agotados, pérdida de paquetes, velocidad que va y viene, y los registros no muestran dónde está el problema.
Lee los handshakes y las retransmisiones paquete a paquete → el árbol de protocolo señala el DNS, el TCP o la capa de aplicación → la tabla de conexiones muestra qué proceso conecta a dónde.
Captura de sistema y apps testarudas
Una app de sistema o una testaruda no deja entrar al proxy y bloquea la inyección, dejando solo cifrado en el cable.
La captura a nivel de sistema lee el texto claro desde abajo → o captura solo un programa objetivo por su cuenta → lo que otras herramientas no alcanzan, ella sí.