Proxyman en iPhone: guía completa para depurar y simular tráfico HTTP/HTTPS

Si trabajas con apps para iPhone o iPad, tarde o temprano vas a necesitar espiar y entender todo el tráfico HTTP y HTTPS que generan tus aplicaciones. Ahí es donde entra en juego Proxyman, una herramienta que se ha convertido en una especie de navaja suiza para depurar redes en el ecosistema Apple, tanto en macOS como directamente en iOS.

En lugar de fiarte a ciegas de lo que hace tu app cuando habla con el servidor, Proxyman te permite ver cada petición y cada respuesta en texto plano, jugar con ellas, simular datos, romper cosas a propósito y comprobar cómo reacciona la aplicación. Y lo mejor: puedes hacerlo tanto desde el Mac como directamente en tu iPhone, con una app nativa que está bastante bien pensada para pantallas táctiles.

Qué es Proxyman y por qué es tan útil en iPhone

Proxyman es un proxy de depuración de red moderno, diseñado para capturar, analizar y modificar tráfico HTTP y HTTPS. Nació como app nativa para macOS, pero hoy en día cuenta también con versiones para iOS, iPadOS, Windows, Linux y Android, lo que lo hace muy versátil para entornos de desarrollo mixtos.

Su función principal es situarse como intermediario entre tus apps y los servidores. Actúa como un “man-in-the-middle” controlado por ti: recibe las peticiones de la app, las reenvía al servidor, y te enseña el contenido de ida y vuelta con todo lujo de detalles (URLs, cabeceras, cuerpos, cookies, códigos de estado, etc.).

En iPhone esto es especialmente interesante porque muchas veces la app real se comporta de forma distinta al simulador. Hay más tráfico en segundo plano, servicios del sistema, notificaciones push, analítica, actualizaciones silenciosas… Con una herramienta tipo Proxyman puedes separar el grano de la paja y centrarte en lo que hace tu aplicación concreta.

Además de inspeccionar tráfico, Proxyman destaca por ofrecer herramientas avanzadas como breakpoints de red, Map Local, Map Remote o scripting. Gracias a estas funciones puedes modificar las peticiones y respuestas sobre la marcha, simular errores de servidor, cambiar cabeceras, trabajar con JSON o incluso con formatos binarios como Protobuf o FlatBuffer.

Proxyman para iOS: características clave en iPhone y iPad

La app de Proxyman para iOS está pensada para que puedas depurar tráfico directamente en el propio dispositivo, sin necesidad de tener el Mac delante. Es una app nativa para iPhone y iPad, con interfaz adaptada a modo vertical y horizontal, e incluso con diseño de dos columnas en iPad para aprovechar mejor el espacio.

Una de las grandes diferencias respecto a otras soluciones es que Proxyman para iOS puede capturar tráfico HTTP/HTTPS del propio dispositivo sin depender de un Mac. Para lograrlo crea una VPN local, y a través de ella redirige todas las conexiones a un servidor de tipo man-in-the-middle que corre en el mismo iPhone o iPad.

Entre las funciones más destacadas de Proxyman en iPhone e iPad están las siguientes características, muy pensadas para el día a día del desarrollador:

• Captura directa de HTTP/HTTPS de todo el sistema iOS/iPadOS (Wi‑Fi y datos móviles) usando una VPN local.
• Desencriptado de tráfico TLS usando un certificado raíz propio instalado y confiado en el dispositivo.
• Visualización detallada de peticiones y respuestas con vista en crudo, vista formateada y resaltado de sintaxis para JSON.
• Diseño adaptado a iPhone y iPad, con soporte para orientación horizontal y layouts de varias columnas.
• Sincronización y compartición de tráfico con Proxyman para macOS para inspeccionar con más comodidad en la pantalla grande.
• Fijar dominios importantes (pin) y ocultar ruido de fondo para centrarte en las conexiones que te interesan.
• Filtros rápidos por URL, cabeceras, cuerpo y tipo de contenido (JSON, formulario, HTML, CSS, documentos, etc.).
• Previsualizaciones avanzadas con varias columnas, árbol JSON, vista de cookies y comparativas de respuestas.
• Bloqueo seguro con Face ID, Touch ID o código para proteger redes y datos sensibles.
• Herramientas avanzadas de depuración como SSL Proxying, listas de bloqueo, Map Local, puntos de ruptura, etc.

El flujo habitual en iOS consiste en activar la VPN local de Proxyman, dejar que el sistema redirija todo el tráfico, y a partir de ahí explorar dominios, aplicar filtros y ampliar detalles de cada petición. De forma nativa verás los cuerpos en JSON bien estructurados, con colores y sangrías, lo que agiliza bastante el análisis.

Cuando necesitas algo más de comodidad, siempre puedes aprovechar la opción de compartir sesiones de tráfico con la versión de macOS. Así trabajas con el iPhone capturando tráfico, pero inspeccionas y editas desde el Mac, lo que suele ser más productivo cuando hay grandes volúmenes de datos o cuando vas a hacer mocking complejo.

Cómo funciona Proxyman en iPhone: VPN local y MITM

Para poder interceptar tráfico HTTPS en iOS, Proxyman configura una VPN local que no sale de tu propio dispositivo. No se trata de enviar tus datos a servidores remotos, sino de utilizar el mecanismo de VPN del sistema para redirigir todo el tráfico a un servidor MITM que corre en el propio iPhone.

Mientras esa VPN está activa, todas las conexiones de apps y del sistema pasan por el proxy de Proxyman, lo que permite capturar tanto tráfico Wi‑Fi como por datos móviles. Esta aproximación tiene la ventaja de que no dependes de un Mac cercano ni de estar en la misma red local.

Para desencriptar HTTPS, Proxyman genera un certificado raíz autosignado en el propio dispositivo. Ese certificado se instala de forma local y se marca como confiable, de manera que iOS acepte las conexiones “firmadas” por ese certificado como si vinieran de un servidor legítimo.

Una vez que la cadena de confianza está configurada, Proxyman puede interceptar, descifrar y mostrar peticiones y respuestas en texto claro. Aun así, el diseño está pensado para que el control de la privacidad se quede siempre en el dispositivo: no hay servidores externos ni certificados precompartidos, todo se genera en local.

Este enfoque también significa que, para ciertos tipos de tráfico especialmente sensibles o reforzados (como algunas apps bancarias, servicios con Pinning de certificados o flujos protegidos a nivel de hardware), es posible que el dispositivo o la app rechacen la intervención del proxy. En esos casos no es un fallo de Proxyman, sino una capa extra de seguridad que impide el MITM, incluso cuando tú lo has configurado a propósito.

Privacidad y seguridad de los datos capturados

Una preocupación habitual cuando se habla de proxies de depuración es qué pasa con los datos capturados. En el caso de Proxyman, el enfoque es bastante claro: todo sucede en tu máquina o en tu dispositivo, sin intervención de servidores externos.

El certificado raíz que se usa para realizar el MITM es autosignado y se genera de forma local en tu Mac o en tu iPhone/iPad. No se trata de un certificado precreado compartido entre usuarios, ni se almacena en la nube. Esto reduce notablemente la superficie de ataque y evita compartir claves sensibles.

Todas las peticiones que se ven en la interfaz de Proxyman se guardan y gestionan únicamente en tus dispositivos. La aplicación no sube el tráfico interceptado a servidores de la empresa ni a servicios de terceros. Lo que ves en tu Mac o iPhone se queda ahí.

En la app de iOS se ha añadido, además, una capa de protección adicional con bloqueo por Face ID, Touch ID o código. Esto es útil si vas a capturar tráfico con datos personales, tokens de autenticación o información de entornos de producción y no quieres que nadie pueda abrir la app y curiosear.

Obviamente, como desarrollador o analista de seguridad, eres tú quien decide qué capturar, durante cuánto tiempo y en qué entorno. Tiene sentido limitar el uso de este tipo de herramientas a entornos controlados de pruebas y debugging, y evitar en lo posible interceptar datos de usuarios finales sin su consentimiento ni una base legal sólida.

Proxyman para macOS: el compañero perfecto del iPhone

Aunque la app de iOS es muy potente por sí sola, Proxyman brilla especialmente cuando combinamos el iPhone físico con la versión de macOS. En Mac, Proxyman es una aplicación nativa optimizada para Apple Silicon y preparada para las últimas versiones de macOS, con un diseño pulido y rendimiento muy alto.

En macOS, Proxyman puede transformarse automáticamente en proxy por defecto del sistema. Si ya usas otros proxies (por ejemplo, para VPNs o herramientas tipo Charles/Burp), es recomendable desactivarlos antes de activar Proxyman, para evitar conflictos raros y que el tráfico no se redirija bien.

La interfaz para escritorio ofrece un entorno muy cómodo para trabajar en sesiones largas: puedes personalizar la barra de herramientas, las columnas, las pestañas, los paneles laterales, etc. Además, cuenta con un previsualizador de primer nivel que te deja ver cabeceras, cuerpos, cookies y distintas representaciones de la misma respuesta lado a lado.

Otro punto a destacar es que la versión de macOS permite anclar dominios, organizar sesiones, crear filtros avanzados y aplicar reglas complejas de scripting, Map Local, Map Remote o no-cache de forma muy granular. Esto hace que, a la hora de depurar una app de iPhone real conectada a tu red, puedas clasificar y manipular tráfico de forma muy fina.

La propia empresa ofrece licencias de Proxyman para macOS y posibilidad de activar funciones premium en iOS usando una licencia de escritorio. Un asiento de macOS se puede canjear para dos dispositivos iOS, lo que facilita tener un ecosistema de depuración completo multiplataforma en tu día a día.

Instalación de certificados y configuración con iPhone

Para poder ver tráfico HTTPS descifrado desde un iPhone en el Mac, necesitas instalar y confiar el certificado raíz de Proxyman tanto en macOS como en el dispositivo iOS. El propio programa guía bastante bien por el proceso, pero conviene entender qué hace cada paso.

Desde la barra de menús en macOS puedes ir a la sección de certificados y seleccionar la opción de “Install Certificate on iOS” para dispositivo físico. Si aún no has instalado el certificado en macOS, Proxyman te llevará primero por ese proceso, y después te mostrará los datos necesarios (IP local y puerto) para configurar el iPhone.

Los pasos típicos serían:

1. Instalar el certificado raíz de Proxyman en tu Mac y marcarlo como confiable en el llavero del sistema.
2. Ir a los ajustes de red del iPhone y configurar el proxy HTTP manual con la IP local y el puerto que muestra Proxyman en el Mac.
3. Desde Safari u otro navegador en el iPhone, acceder a https://cert.proxyman.io a través de ese proxy para descargar el perfil de certificado.
4. Ir a Ajustes > General > Perfiles (o similar) para instalar el certificado, y después a Ajustes > General > Información > Ajustes de confianza de certificados para activar la confianza total en el certificado raíz.

Durante este proceso hay que tener en cuenta varios detalles que pueden darte guerra si se pasan por alto: el dispositivo iOS debe ejecutar una versión compatible del sistema, estar conectado a la misma red Wi‑Fi que el Mac, y no usar otras VPNs o proxies que interfieran.

También es importante que el certificado se descargue a través del proxy de Proxyman. Si por lo que sea no salta la descarga, es buena idea probar desde una ventana de navegación privada del navegador o repetir el proceso desde cero. Una vez que hayas configurado el proxy en el iPhone, aunque todavía no hayas confiado el certificado, deberías empezar a ver las peticiones del dispositivo aparecer en la barra lateral de Proxyman en Mac.

Captura e identificación de tráfico de apps en iPhone

Una vez que todo está configurado, el siguiente reto es identificar qué peticiones pertenecen a tu app. A diferencia de lo que ocurre cuando depuras una web en el navegador, en un iPhone real se generan montones de conexiones de fondo, tanto del sistema como de otras apps.

Proxyman, por diseño, organiza las peticiones por dominios (hosts) en lugar de por aplicaciones. Esto tiene sentido para el análisis de red en general, pero obliga a hacer un poco de trabajo detectivesco cuando quieres aislar el tráfico de una app concreta descargada de la App Store.

Un truco muy práctico consiste en hacer un “cold start” de la app: ciérrala por completo (deslizando hacia arriba en el selector de apps recientes) y vuelve a abrirla con Proxyman activo. Al hacerlo, podrás ver claramente qué dominios empiezan a generar tráfico justo en el momento en que la app se inicia.

Al repetir esa maniobra varias veces, irás identificando con más certeza qué hosts están vinculados a la app que estás analizando y cuáles pertenecen al sistema o a otros procesos en segundo plano. Una vez localizados, puedes fijarlos (pin), filtrarlos o crear reglas específicas para controlar mejor la sesión.

Cuando la conexión usa SSL/TLS, como ocurre en la gran mayoría de servicios modernos, debes activar la opción de “SSL Proxying” para esos dominios dentro de Proxyman. Los usuarios de la versión Pro pueden hacerlo sin límite de hosts, mientras que en la versión de prueba solo se pueden descifrar dos conexiones SSL simultáneas (aunque siempre puedes ir cambiando cuáles).

Ver tráfico HTTPS desencriptado y trabajar con los datos

Tras habilitar el análisis HTTPS para un dominio, conviene volver a hacer un cold start de la app para que establezca de nuevo las conexiones teniendo en cuenta el certificado MITM. A partir de ese momento, si todo está bien configurado, verás un icono de candado particular junto a las entradas que indican que la capa SSL se ha descifrado correctamente.

En ese punto ya puedes examinar cada petición y cada respuesta en detalle: métodos HTTP, códigos de estado, cabeceras, parámetros de consulta, cuerpos JSON, formularios, cookies, tiempos de respuesta, etc. El visor de Proxyman resalta especialmente los cuerpos en JSON, aplicando formateo y coloreado de sintaxis para que sea más cómodo de leer.

Esta visión completa del tráfico es el paso previo imprescindible para todo lo que viene después: mockear datos, reproducir bugs, simular errores de servidor, comprobar qué envía realmente la app cuando el usuario realiza una acción concreta, o incluso aprender cómo se comunican apps de terceros con sus APIs.

En un contexto de análisis más profundo, puedes combinar esta información con herramientas adicionales como breakpoints de red para pausar peticiones, inspeccionar o modificar el contenido antes de reenviarlo y ver cómo reacciona la app a ese cambio.

Esta forma de depuración “a mitad de camino” entre la app y el backend recuerda a los puntos de ruptura del IDE en el código fuente, pero aplicada al mundo de la red. Es especialmente útil cuando no tienes acceso directo al servidor o a la base de código de la app que estás estudiando.

Mock de datos con Map Local y otras funciones avanzadas

Una de las funcionalidades estrella de Proxyman es la posibilidad de simular respuestas de servidor sin tocar el código de la app. Esto se consigue principalmente con la herramienta Map Local, que permite interceptar peticiones concretas y devolver en su lugar un archivo local preparado por ti.

El flujo típico sería localizar en el listado de tráfico la petición que quieres manipular, hacer clic derecho sobre ella y escoger “Tools → Map Local”. Se abrirá un panel de configuración donde puedes definir con precisión qué URL quieres interceptar, qué métodos HTTP se verán afectados (GET, POST, PUT, etc.) y qué fichero local va a devolver Proxyman en respuesta.

En el caso de respuestas JSON, Proxyman puede cargar automáticamente la última respuesta real que vio para esa petición como plantilla. A partir de ahí, solo tendrías que editar el contenido: cambiar campos, añadir o quitar propiedades, introducir valores extremos o escenarios límite, etc.

El editor de Proxyman ofrece resaltado de sintaxis, formateo y validaciones básicas para reducir errores tontos a la hora de manipular JSON. Los archivos modificados se quedan guardados en tu máquina, de modo que puedes reutilizar reglas de Map Local entre sesiones y proyectos.

Además de JSON, Proxyman también sabe manejar formatos binarios como Protocol Buffers (Protobuf), siempre que proporciones el esquema adecuado para codificar y decodificar. Esto permite editar datos complejos que, de otro modo, serían poco manejables en bruto. Del mismo modo, puedes sustituir respuestas por imágenes u otros binarios, o jugar con códigos de estado HTTP y cabeceras personalizadas para simular diversos escenarios de red.

Casos de uso reales en iPhone: reproducir bugs y experimentar

En la práctica, herramientas como Proxyman resultan especialmente útiles cuando un comportamiento de una app solo se dispara con una combinación muy concreta de datos. Imagina que estás usando una app de iPhone que, en un momento dado, muestra una interfaz especial al recibir cierto conjunto de valores del servidor, pero no consigues que vuelva a ocurrir.

Con Proxyman puedes capturar en detalle la comunicación entre la app y la API, identificar qué respuesta exacta provocó ese efecto y guardar esa carga útil como base de tu mock. Después, con Map Local o con breakpoints y edición manual, puedes forzar que la app reciba siempre esos mismos datos simulados hasta entender a fondo la lógica que se esconde detrás.

Este enfoque es válido tanto para apps de terceros como para tus propias aplicaciones en desarrollo. Para tus proyectos internos, Proxyman se convierte en un aliado perfecto para probar estados imposibles o difíciles de reproducir: errores de red, tiempos de respuesta muy largos, datos corruptos, versiones antiguas del esquema, etc.

En el día a día, muchos desarrolladores combinan el uso de peticiones repetidas (“repeat”) con la generación automática de código que ofrece Proxyman. Con esto, una vez que has afinado una petición concreta hasta que funciona como quieres, puedes transformarla directamente en código cliente en distintos lenguajes, lo que acelera bastante la implementación.

También se han documentado casos en los que, gracias a la inspección detallada con Proxyman y al análisis de formatos menos habituales como FlatBuffer, se ha conseguido trasladar funcionalidades exclusivas de determinadas apps de iPhone al entorno de macOS, aprovechando el conocimiento extraído del tráfico para reproducirlas desde cero.

Limitaciones y escenarios donde Proxyman no puede ayudar

Por muy potente que sea una herramienta de proxy y MITM, hay situaciones en las que sencillamente no puede hacer milagros. Un ejemplo claro es intentar usar Proxyman para saltarse el Bloqueo de Activación de un iPhone.

El bloqueo de activación depende de la infraestructura de seguridad de Apple y de su comunicación con los servidores de activación. Aunque en teoría se podría pensar en interceptar o modificar esas peticiones, en la práctica el dispositivo exige certificados válidos y un estado de confianza que no se puede falsificar únicamente con un proxy de red.

En un escenario donde el iPhone está atascado en la app de configuración inicial (Setup.app), ni siquiera tienes la posibilidad de instalar el certificado raíz de Proxyman en el sistema. Sin ese paso, el dispositivo rechazará cualquier intento de MITM y no enviará tráfico que Proxyman pueda manipular de forma útil.

Así que, por mucho que nos gustaría, Proxyman no sirve para eludir bloqueos de activación, medidas anti-robo o mecanismos similares. Es una herramienta de depuración, no un método para saltarse la seguridad de iOS. Conviene tenerlo muy presente y usarla siempre dentro de marcos legales y éticos.

Otra limitación importante aparece con apps que hacen pinning estricto de certificados o que usan canales cifrados adicionales a nivel de aplicación. En esos casos, aunque el sistema iOS confíe en el certificado MITM, la app puede detectar que la cadena de confianza no es la esperada y negarse a funcionar cuando hay un proxy en medio.

Aspectos prácticos, compatibilidad y modelo de pago

En cuanto a compatibilidad, la app de Proxyman para iOS está orientada a versiones recientes del sistema operativo. Requiere iOS 17 o posterior en iPhone y iPadOS 17 o posterior en iPad, además de compatibilidad con visionOS en dispositivos de realidad mixta de Apple.

En macOS, Proxyman está optimizado para equipos modernos con Apple Silicon y versiones actuales de macOS, aprovechando al máximo la aceleración y las nuevas APIs gráficas. La interfaz para escritorio incorpora detalles de diseño propios de las últimas generaciones de macOS, con barras laterales nativas y efectos visuales tipo “Liquid Glass”.

El modelo de negocio combina opciones de suscripción mensual, suscripción anual y compra de licencia de por vida para la parte premium, incluyendo ocasiones especiales con descuentos como ofertas puntuales. Además, la licencia de macOS puede usarse para desbloquear la versión premium en dispositivos iOS, lo que resulta bastante conveniente para quien trabaja de forma intensiva con ambas plataformas.

En el caso de la app de iOS, la activación premium consiste en descargarla desde la App Store, ir a la pestaña de opciones (More), entrar en la sección de Face ID & Passcode y usar tu clave de licencia para desbloquear funciones avanzadas. Un asiento de macOS suele permitir activar dos dispositivos iOS, lo que cubre sin problema un iPhone personal y un iPad de pruebas.

El proveedor oficial es Proxyman LLC, con soporte centralizado a través de su página web, política de privacidad y términos de uso publicados, y datos de contacto empresariales claros para cualquier consulta técnica o legal relacionada con el uso de la herramienta.

Con todo lo anterior sobre la mesa, Proxyman se consolida como una de esas herramientas que, una vez integradas en tu flujo de trabajo, cuesta muchísimo dejar de usar: facilita entender qué pasa entre tus apps de iPhone y sus servidores, ayuda a reproducir fallos esquivos, permite experimentar con datos simulados y ofrece un ecosistema muy sólido tanto en macOS como en iOS, siempre con un enfoque fuerte en privacidad, seguridad y calidad de la experiencia de depuración.