Burp Suite vs Caido: el proxy nuevo que de verdad es rápido.
Un aspirante construido en Rust, pensado para la velocidad y con una interfaz nativa de navegador. Dónde Caido le sigue el ritmo al veterano, y dónde su escáner todavía no llega.
Burp Suite lleva más de una década siendo el proxy web por defecto. Caido es el aspirante serio más reciente a ese trono: una reconstrucción desde cero en Rust que cambia los veinte años de ecosistema de extensiones de Burp por un núcleo más ligero y más rápido. La pregunta no es si Caido impresiona. Lo hace. La pregunta es qué es lo que todavía no puede hacer.
La respuesta corta
- Velocidad y memoria: Caido gana con claridad. El backend en Rust se mantiene ligero durante sesiones largas donde el heap de Java de Burp va creciendo.
- Flujo de trabajo manual del proxy: prácticamente un empate. Interceptar, repetir y manipular están todos presentes en Caido, con una interfaz más limpia.
- Escaneo automático y extensiones: Burp sigue ganando por un margen amplio — esta es la brecha real.
- Precio: Caido gana con claridad, tanto si comparas los niveles gratuitos como los de pago.
Arquitectura: Rust frente a Java
Caido está construido desde cero en Rust y expone una interfaz web que corre en el navegador, ya sea en local o alojada en un servidor para acceso remoto. Burp Suite es una aplicación de escritorio en Java, atada a la máquina donde la instalaste. En la práctica esto se nota sobre todo en auditorías largas: el consumo de memoria de Caido se mantiene bajo durante una sesión de varias horas, mientras que el de Burp —sobre todo con el escáner automático activo— tiende a subir.
La entrega vía navegador también significa que Caido funciona igual en Linux, macOS y Windows sin las rarezas habituales del runtime de Java, y es genuinamente más fácil ejecutarlo sin interfaz en un servidor remoto y conectarte desde un portátil.
Interfaz y flujo de trabajo
El bucle principal —interceptar una petición, inspeccionarla, repetirla con modificaciones, observar la respuesta— es la misma memoria muscular en ambas herramientas. Caido lo cubre con una interfaz más rápida y limpia que la de Burp, y quienes han usado ambas describen sistemáticamente a Caido como más ligero y más intuitivo en sesiones largas, sobre todo en el visor de petición/respuesta y el panel de repetición.
Donde Caido añade algo genuinamente nuevo es en Workflows: un editor de automatización basado en nodos para encadenar pasos de procesamiento —transformar una petición, detectar un patrón, reaccionar a una respuesta— sin escribir una extensión en Java al estilo Burp. Es un punto de entrada más bajo para construir automatización personalizada que la API de extensiones de Burp, aunque todavía no alcanza el mismo techo.
Gestión de proyectos: la sorpresa del nivel gratuito
Es una función pequeña con un efecto práctico desproporcionado. El nivel gratuito de Caido incluye soporte multi-proyecto: historial, alcance y hallazgos separados por objetivo, sin coste. Burp Suite Community Edition te limita a un único proyecto. Para cualquiera que lleve más de una auditoría a la vez en el nivel gratuito, eso ya es motivo para abrir Caido primero.
Dónde Burp sigue ganando
Dos carencias mantienen a Burp Suite Professional como opción por defecto en consultoras que se dedican a esto a tiempo completo:
- Escaneo automático. El escáner de Burp corre en tres modos —Crawl and Audit, solo Crawl, y escaneo solo de API (contra una definición de API proporcionada)— y la combinación de rastreador más auditoría sigue siendo más madura que cualquier cosa que ofrezca Caido hoy.
- Extensiones. La BApp Store de Burp reúne cerca de 250 extensiones construidas a lo largo de más de una década. El sistema Workflows de Caido es una respuesta genuinamente útil a parte de eso, pero todavía no iguala la profundidad de la BApp Store ni su ecosistema consolidado de herramientas específicas (Autorize, JWT Editor, Param Miner, y similares).
Si tu trabajo depende mucho de cualquiera de las dos —rastreos automáticos profundos sobre grandes superficies de ataque, o una extensión concreta de Burp de la que dependa tu flujo— esa brecha sigue siendo el factor decisivo.
Precios (2026)
| Caido | Burp Suite | |
|---|---|---|
| Nivel gratuito | Basic — flujo de proxy completo, multi-proyecto | Community Edition — limitado, un solo proyecto, sin extensiones |
| De pago (individual) | 200 $/año (plan Individual) | 475 $/usuario/año (Professional, tras la subida de precio de PortSwigger de enero de 2026) |
| Precio por equipo | 30 $/mes por usuario | Solo bajo presupuesto (Enterprise / DAST) |
| Estudiantes/docentes | Plan educativo gratuito de 1 año | Sin nivel gratuito dedicado para estudiantes |
Incluso en su nivel de pago, Caido cuesta menos de la mitad que una sola licencia de Burp Suite Professional al año. Esa diferencia es real y merece la pena tenerla en cuenta, pero no es toda la decisión — revisa antes la brecha de escaneo y extensiones antes de dejar que el precio decida solo.
La recomendación
Si eres cazarrecompensas de bugs o pentester independiente haciendo sobre todo testing manual, quieres una herramienta rápida y moderna que no le pelee al ventilador de tu portátil, y no dependes de extensiones exclusivas de Burp — Caido es la mejor opción por defecto en 2026, y la diferencia de precio hace la decisión más fácil.
Si trabajas en una consultora que ejecuta escaneos automáticos profundos sobre alcances grandes, o tu flujo depende de una extensión concreta de la BApp Store, Burp Suite Professional sigue siendo la opción más segura — la brecha en escaneo y extensiones es real, no marketing.
Si estás empezando en testing web, cualquiera de las dos es un punto de partida razonable; el menor coste y la curva de aprendizaje más suave de Caido lo hacen más fácil como primera herramienta, y el flujo principal —interceptar, repetir, manipular— se traslada limpiamente si más adelante pasas a Burp.