La plataforma de automatización n8n, ampliamente utilizada para orquestar servicios de IA e integrar aplicaciones web sin apenas programación, ha pasado a formar parte del arsenal de distintas campañas de phishing. De acuerdo con investigaciones de Cisco Talos, actores maliciosos están explotando la infraestructura en la nube de n8n para enviar correos fraudulentos, distribuir malware y recopilar información de los dispositivos de las víctimas, aprovechando la reputación de confianza de este tipo de servicios low-code.
Qué es n8n y por qué resulta atractiva para los ciberdelincuentes
n8n es una plataforma de automatización low-code/no-code que permite encadenar servicios web, API y modelos de IA mediante “workflows” o flujos de trabajo. El servicio gestionado en la nube ofrece a cada usuario una instancia propia bajo el subdominio <account-name>.app.n8n.cloud, desde la cual se pueden ejecutar procesos sin desplegar infraestructura propia. Esta flexibilidad y la facilidad de integración con servicios externos son precisamente los atributos que también la convierten en un objetivo interesante para el ciberdelito.
Una pieza clave del ecosistema de n8n son los webhooks. Un webhook es una URL especial que actúa como “API inversa”: cuando recibe una petición HTTP desde un servicio externo, desencadena la ejecución de un flujo de trabajo y devuelve un resultado en forma de respuesta web. Si esa URL se abre desde un correo electrónico, el navegador del usuario interpreta la respuesta como una página HTML legítima alojada en el dominio app.n8n.cloud, lo que dificulta su detección por filtros basados en reputación de dominios.
Campañas de phishing que abusan de los webhooks públicos de n8n
Cisco Talos ha observado que los webhooks públicos alojados en subdominios *.app.n8n.cloud se utilizan de forma intensiva en campañas de phishing al menos desde octubre de 2025. El volumen de correos que incluían URLs de webhooks de n8n en marzo de 2026 era aproximadamente un 686 % superior al registrado en enero de 2025, lo que indica una rápida adopción de esta técnica entre distintos grupos de amenazas.
Descarga de malware camuflada como documentos compartidos
En una de las campañas analizadas, los atacantes enviaban mensajes que simulaban notificaciones de uso compartido de documentos. El cuerpo del correo contenía un enlace a un webhook de n8n. Al hacer clic, el usuario era redirigido a una página que mostraba una supuesta CAPTCHA. Al completar esa verificación, se ejecutaba código JavaScript en segundo plano que descargaba un archivo malicioso desde un servidor externo, todo ello encapsulado en un HTML servido a través de la infraestructura de n8n.
La carga final incluía ejecutables o instaladores MSI que desplegaban versiones modificadas de herramientas legítimas de administración remota (RMM), como Datto o ITarian Endpoint Management. Este tipo de software, diseñado para el soporte y monitorización remota de sistemas, ofrece a los atacantes un canal “legítimo” para establecer acceso remoto persistente y comunicarse con sus servidores de mando y control (C2). El abuso de RMM comerciales ha sido destacado en múltiples informes de agencias como CISA y proveedores de seguridad, ya que dificulta la detección: el tráfico y los binarios parecen legítimos y a menudo están firmados digitalmente.
n8n como plataforma para tracking pixels y ‘device fingerprinting’
Otro escenario observado no busca la infección inmediata, sino el reconocimiento y la recopilación de información de los objetivos. En estos casos, los atacantes insertan en el correo un tracking pixel, es decir, una imagen de 1×1 píxel referenciada mediante la URL de un webhook de n8n. Al abrir el mensaje, el cliente de correo realiza automáticamente una petición HTTP GET a esa URL, enviando junto con ella metadatos técnicos.
Mediante parámetros incrustados y cabeceras HTTP, los atacantes pueden asociar esa petición a una dirección de correo concreta y extraer datos como el tipo de cliente, sistema operativo o incluso la IP de origen. Esta técnica de device fingerprinting permite validar qué destinatarios han abierto el correo, segmentar las listas según su interés estratégico y reservar ataques más invasivos (por ejemplo, con malware financiero o ransomware) para los perfiles más valiosos.
Riesgos de las plataformas low-code y abuso de servicios SaaS de confianza
Los casos de n8n encajan en una tendencia más amplia: el uso malicioso de plataformas low-code/no-code y servicios SaaS de alta reputación como infraestructura para campañas de phishing. Informes de distintos fabricantes de seguridad llevan años señalando el incremento del abuso de servicios cloud legítimos (almacenamiento, formularios, automatización de marketing, etc.) para alojar páginas de phishing o redireccionar a contenido malicioso. Los controles basados en listas blancas de dominios conocidos o en mera reputación de marca son cada vez menos eficaces frente a este tipo de tácticas.
Recomendaciones de ciberseguridad para organizaciones que usan plataformas low-code
Para mitigar los riesgos asociados al abuso de webhooks y servicios SaaS en campañas de phishing, resulta recomendable aplicar un enfoque de defensa en profundidad que combine controles técnicos y medidas organizativas:
- Reforzar la analítica y filtrado de URLs en los gateways de correo, incluyendo la inspección de dominios legítimos y la resolución de redirecciones encadenadas.
- Desplegar mecanismos de sandboxing para HTML adjunto y enlaces sospechosos, de forma que se pueda observar comportamiento dinámico como descargas ocultas o instalación silenciosa de RMM.
- Configurar los clientes de correo corporativo para bloquear por defecto la carga de imágenes remotas y tracking pixels, permitiéndola solo en dominios y remitentes validados.
- Implementar monitorización basada en comportamiento en los endpoints, con reglas específicas para detectar instalación y uso anómalo de herramientas de administración remota.
- Establecer una gobernanza clara sobre el uso de plataformas low-code/no-code, inventariando flujos críticos, revisando integraciones externas y aplicando el principio de mínimo privilegio en tokens y credenciales.
- Intensificar la formación en concienciación para que el personal no asuma que un enlace es seguro solo porque apunta a un dominio conocido o a un servicio de automatización popular.
A medida que las organizaciones adoptan plataformas low-code e IA para ganar eficiencia, la misma automatización se convierte en un arma al alcance de los atacantes. Revisar las políticas de confianza hacia la infraestructura en la nube, aplicar controles de seguridad específicos sobre integraciones y flujos automatizados, y mantener una vigilancia continua sobre el uso de servicios SaaS son pasos esenciales para reducir la superficie de ataque. Profundizar en la formación y en la madurez de la ciberseguridad ayudará a que estas herramientas sigan siendo un acelerador del negocio y no un canal silencioso para el phishing, el malware y el espionaje digital.
