Investigadores de **Cisco Talos**, Sean Gallagher y Omid Mirzaei, revelaron en un análisis reciente que los actores de amenazas están utilizando n8n para facilitar campañas de phishing y entregar payloads maliciosos. La capacidad de la plataforma para automatizar tareas y conectar diversas aplicaciones web, APIs y servicios de modelos de IA está siendo abusada para obtener acceso remoto persistente. ### N8n: Una Espada de Doble Filo n8n es una plataforma de automatización de flujos de trabajo diseñada para permitir a los usuarios conectar aplicaciones web y APIs, sincronizar datos y automatizar tareas repetitivas. Los usuarios pueden crear una cuenta de desarrollador para utilizar un servicio administrado alojado en la nube. Este servicio crea un dominio personalizado único en el formato `<nombre de cuenta>.app.n8n.cloud`, que permite a los usuarios acceder a sus aplicaciones. ### Webhooks: El Punto de Entrada para los Atacantes La plataforma admite la creación de webhooks para recibir datos de aplicaciones y servicios cuando se activan ciertos eventos. Estos webhooks utilizan el subdominio `*.app.n8n[.]cloud` y han sido explotados en ataques de phishing desde al menos octubre de 2025, según **Cisco Talos**. Los webhooks, a menudo denominados 'APIs inversas', permiten el intercambio de información en tiempo real entre aplicaciones. Estas URLs registran una aplicación como un 'escuchador' para recibir datos, que pueden incluir contenido HTML extraído programáticamente.  Cuando una URL de webhook recibe una solicitud, se activan los pasos posteriores del flujo de trabajo, devolviendo los resultados como un flujo de datos HTTP. Si la URL se accede a través de correo electrónico, el navegador del destinatario procesa la salida como una página web, creando un vector de ataque que parece originarse desde un dominio de confianza. ### Explotación en la Naturaleza Los actores de amenazas están utilizando activamente las URLs de webhook de n8n para la entrega de malware y la huella digital de dispositivos. El volumen de mensajes de correo electrónico que contienen estas URLs experimentó un aumento significativo, con marzo de 2026 mostrando un aumento del 686% en comparación con enero de 2025. En una campaña observada, los atacantes incrustan un enlace de webhook alojado en n8n en correos electrónicos disfrazados de documentos compartidos. Hacer clic en el enlace redirige al usuario a una página web protegida por CAPTCHA. Una vez completado, se descarga un payload malicioso desde un host externo. Debido a que todo el proceso está encapsulado dentro del JavaScript del documento HTML, la descarga parece originarse desde el dominio de n8n. ### Entrega de Malware y Huella Digital de Dispositivos El objetivo final de estos ataques es entregar un ejecutable o un instalador MSI que actúa como conducto para versiones modificadas de herramientas legítimas de Monitoreo y Administración Remota (RMM) como **Datto** e **ITarian Endpoint Management**. Estas herramientas se utilizan luego para establecer persistencia conectándose a un servidor de comando y control (C2). Otra táctica común implica el uso de n8n para la huella digital de dispositivos. Los atacantes incrustan una imagen invisible o un píxel de seguimiento, alojado en una URL de webhook de n8n, en los correos electrónicos. Cuando se abre el correo electrónico, se envía una solicitud HTTP GET a la URL de n8n, junto con parámetros de seguimiento como la dirección de correo electrónico de la víctima, lo que permite a los atacantes identificar al destinatario. ### Un Llamado a la Vigilancia "Los mismos flujos de trabajo diseñados para ahorrar a los desarrolladores horas de trabajo manual ahora están siendo reutilizados para automatizar la entrega de malware y la huella digital de dispositivos debido a su flexibilidad, facilidad de integración y automatización perfecta", declararon los investigadores de **Talos**. Los equipos de seguridad deben asegurarse de que estas plataformas sigan siendo activos en lugar de pasivos a medida que la automatización de bajo código continúa creciendo.