Charles Proxy

 (charlesproxy.com)
2 puntos por GN⁺ 2025-12-21 | 1 comentarios | Compartir por WhatsApp
  • Herramienta de proxy de depuración web que permite analizar visualmente el tráfico HTTP y HTTPS, con la posibilidad de revisar solicitudes, respuestas e información de encabezados
  • Integra funciones de Reverse Proxy, SSL Proxy y HTTP Monitor, lo que permite a los desarrolladores rastrear con detalle la comunicación de red
  • La versión más reciente, Charles 5.0.3, corrige problemas de rendimiento en macOS e incluye mejoras menores
  • Las mejoras de UI, el soporte de modo oscuro y las mejoras de rendimiento se han añadido de forma continua desde la etapa beta de la serie 5.x
  • Es una herramienta emblemática de depuración web que se ha actualizado de forma constante desde mediados de los 2000, y se usa ampliamente también en entornos de desarrollo móvil, Flash e iOS

Resumen general

  • Charles es un proxy de depuración web que permite a los desarrolladores ver todo el tráfico HTTP y SSL/HTTPS entre su computadora e Internet
    • Muestra solicitudes (request), respuestas (response) y encabezados HTTP, incluidos cookies e información de caché
    • Ofrece de forma integrada funciones de HTTP Proxy, HTTPS Proxy, Reverse Proxy y HTTP Monitor

Tendencias recientes de desarrollo

  • 20 de septiembre de 2025: lanzamiento de Charles 5.0.3, con corrección de problemas de rendimiento en macOS y mejoras menores
  • 9 de agosto de 2025: lanzamiento de 5.0.2, con corrección de errores y mejoras menores
  • 12 de marzo de 2025: lanzamiento oficial de Charles 5
  • 24 de enero de 2024: publicación de la beta 13 de la versión 5, con mejoras de UI en Windows y soporte de modo oscuro
  • De abril a julio de 2023: en las versiones beta 9 a 11 se incorporaron mejoras de UI y rendimiento, nuevas funciones y correcciones de errores
  • Septiembre de 2022: lanzamiento de 4.6.3, con actualización a Java 11 y corrección de errores
  • Diciembre de 2021: aviso relacionado con la vulnerabilidad de log4j2 — Charles no usa log4j, por lo que no se vio afectado
  • 2019~2020: en las versiones 4.5~4.6 se añadieron soporte de Dark Mode, mejoras en certificados SSL y parches de vulnerabilidades de seguridad
  • Mayo de 2018: lanzamiento de Charles para iOS
  • 2016: lanzamiento de Charles 4 con soporte agregado para HTTP/2 e IPv6
  • 2006~2009: se añadió soporte para AMF, SOAP y JSON, junto con una gran mejora de la UI
  • 2005: incorporación de configuración automática de proxy para Firefox y funciones de análisis de Flash Remoting
  • 2003~2004: establecimiento de funciones clave como SSL, Reverse Proxy y SOCKS Proxy

Funciones principales

  • Monitoreo de tráfico HTTP/HTTPS: revisión en tiempo real de solicitudes, respuestas, encabezados, cookies e información de caché
  • SSL Proxy y Reverse Proxy: soporte para analizar comunicaciones cifradas y rastrear respuestas del servidor
  • Herramientas de análisis basadas en UI: comparación de solicitudes/respuestas, filtrado de tráfico y guardado de sesiones
  • Soporte para múltiples plataformas: funciona en macOS, Windows, iOS y más
  • Mejoras de rendimiento y estabilidad: correcciones continuas de errores y actualizaciones de firma de código

Reseñas externas y casos de uso

  • Andrew Bardallis: presentó cómo usar Charles con dispositivos móviles para observar y modificar tráfico
  • Tobias Sjösten: explicó casos de monitoreo y depuración con Charles
  • Dan Grigsby: usó Charles para analizar datos XML del App Store de iPhone
  • Gary Rogers: utilizó Charles para depurar conexiones HTTP de iPhone
  • MadeByPi, Frankie Loscavio, Darren Richardson, uberGeek y otros destacaron la eficiencia de depuración en entornos de desarrollo Flash y Flex

Evaluación general

  • Gracias a más de 20 años de actualizaciones continuas, se ha consolidado como una herramienta esencial de análisis de red para desarrolladores web y móviles
  • Su soporte para diversos protocolos y su UI intuitiva mejoran la eficiencia de depuración, mientras que las mejoras de seguridad, rendimiento y compatibilidad continúan de forma constante

Lecturas relacionadas

1 comentarios

 
GN⁺ 2025-12-21
Comentarios de Hacker News

  • Quiero mencionar sí o sí a Fiddler, una herramienta que realmente amé en su momento
    Cuando la probé por primera vez, hace casi 20 años, se sentía como una herramienta llegada del futuro. Recuerdo que entonces era más potente que Charles
    Originalmente era solo para Windows, pero estaban preparando builds para otras plataformas. Después la adquirieron, cambió la hoja de ruta y yo también dejé Windows
    Sitio oficial de Fiddler

    • Totalmente de acuerdo. A veces sigo hablando de los recuerdos de esa gran herramienta
      Me pregunto si alguna vez encontraste una alternativa para macOS. Yo todavía no he encontrado una realmente buena

  • Era una herramienta tipo joya escondida
    La alternativa gratuita más cercana es mitmproxy, pero sinceramente no se compara
    Claro, también está Wireshark, pero es demasiado generalista y tiene una curva de aprendizaje pronunciada
    Antes se podía usar sin suscripción y valía totalmente lo que costaba

    • En verano intenté hacer un clon de Charles Proxy. Lo armé con una estructura de iOS VPN → mitm → certificado raíz personalizado → logging
      Usé gomitmproxy para manejar el sniffing del tráfico y el re-cifrado
      Había subido el código fuente aquí, pero se rompió el servidor de git y no pude recuperarlo
      Me pregunto si hoy la IA podría convertir mi código improvisado en un clon completo de Charles
      Eso sí, me molesta que Apple exija una cuenta de desarrollador paga para acceder a la Packet Tunnel API. Perdí más de un día dándome contra la pared porque ni siquiera se puede probar en el simulador
    • Por ahí de 2016~17 usé muchísimo mitmproxy y mitmdump. Era potente y fácil de automatizar con scripts, así que para mis objetivos me resultaba mucho mejor que Charles
    • Antes, cuando hacía ingeniería inversa de extensiones de navegador o apps móviles, con mitmproxy me bastaba
    • Lo que me gusta de mitmproxy es que puedo correrlo directamente en el servidor, instalar un certificado confiable en mi teléfono y enrutar el tráfico por WireGuard, así puedo ver todo el tráfico desde la web
      Hoy en día muchas apps quedan bloqueadas por certificate pinning, pero en esos casos lo resuelvo con Frida
    • Burp también tiene una versión gratuita (Community Edition)
      Link de descarga de Burp

  • Burp Suite también ofrece funciones parecidas, pero va por otro lado
    Charles está más enfocado en observar y depurar tráfico HTTP(S), así que sirve muy bien para detectar problemas rápido
    En cambio, Burp está centrado en seguridad y se especializa en interceptación, reenvío, automatización y análisis de superficie de ataque
    Por eso, si solo necesito visibilidad uso Charles; si el objetivo es análisis de seguridad, uso Burp

    • Caido también vale la pena como alternativa. Es relativamente nuevo, pero está creciendo rápido, y varias funciones recientes de Burp en la práctica han sido inspiradas por Caido
    • Para mi caso de uso, Burp por sí solo basta. Incluso la versión comunitaria funciona bastante bien
    • Otra alternativa es ZAP (Zed Attack Proxy). Es completamente gratuito y de código abierto

  • Nunca necesité funciones complejas, así que usé Charles durante mucho tiempo, pero hace unos años me pasé a Proxyman y me resultó mucho más cómodo

    • Proxyman es un poco más caro, pero vale 100 veces más. La UI nativa, los atajos de teclado, el asistente de instalación de certificados y el editor de scripts son muchísimo mejores que en Charles
    • Yo también usé Charles por más de 10 años, pero si usas macOS, Proxyman se siente mucho más natural y cómodo
    • En un trabajo anterior, Charles no estaba en la lista de software aprobado, así que usé Requestly. Después volví a probar Charles, pero al final regresé a Requestly porque era más simple
    • Funcionalmente, Charles es casi perfecto, pero con una pequeña mejora de UI sería una herramienta redonda
      La estructura de menús es compleja y le faltan funciones relacionadas con DNS. También probé Proxyman, pero no me pareció claramente mejor, así que no compré otra licencia
    • Uso las dos herramientas en paralelo. Proxyman no tiene función de agrupación de sesiones, así que me cuesta dejar Charles por completo
      Gracias a ambos desarrolladores

  • Me sorprendió ver esto en la portada de Hacker News ahora mismo. Pensé que ya era una herramienta bastante conocida

    • Hubo gente que nunca había oído hablar de ella, así que les alegró verla presentada
    • Yo también estoy confundido. No ha habido actualizaciones recientes, así que no sé por qué volvió a llamar la atención

  • Para usos simples estoy usando la versión gratuita de HTTP Toolkit
    Como abre su propia ventana de Firefox para interceptar el tráfico, es cómodo porque no hace falta tocar la configuración del navegador de trabajo

  • Cuando empecé a desarrollar para iOS en 2011, Charles era imprescindible para la depuración de APIs HTTP
    Da gusto ver que todavía se sigue manteniendo de forma constante

  • Probé Charles Proxy por primera vez el año pasado y me pareció excelente
    También tiene una versión móvil que puedes usar cuando necesitas un proxy SSL para apps móviles

  • Sigo pensando que es uno de los mejores programas que existen
    Últimamente estoy usando Proxyman

    • Yo también me cambié de Charles a Proxyman. Incluso permite depuración remota, así que puedes conectar el iPhone por cable y revisar todo directamente

  • Yo soy usuario de Burp, pero últimamente Caido viene ganando terreno
    Es liviano y puede ejecutarse en modo headless. Sigue estando enfocado en seguridad, pero está diseñado para hacer proxy de todo el tráfico en un VPS o en contenedores

    • Soy cofundador de Caido. Gracias por mencionarlo; ahora también nos estamos expandiendo al área de DevSecOps