Las herramientas de automatización que prometen ahorrar tiempo y conectar aplicaciones en segundos están siendo reaprovechadas por atacantes para meter phishing y malware en los buzones de correo. Según un informe reciente de los investigadores de Cisco Talos, grupos maliciosos han empezado a usar la plataforma de automatización n8n como un canal de envío para campañas que buscan tanto distribuir cargas dañinas como identificar quién abre un correo mediante huellas digitales remotas. El problema surge cuando servicios legítimos se convierten, sin querer, en una fachada confiable para actividades maliciosas. Puedes consultar el análisis de Talos en la página oficial de su blog para ver los detalles técnicos que describen este abuso: análisis de Cisco Talos.
Para entender lo que está pasando hay que recordar qué es n8n: es una plataforma de automatización de flujos que permite enlazar APIs, aplicaciones web y modelos de IA para ejecutar tareas repetitivas sin necesidad de montar servidores propios. Los desarrolladores pueden crear una cuenta gestionada y, sin coste adicional, obtener un servicio en la nube que asigna a cada usuario un dominio personalizado con un formato del tipo <nombre-de-cuenta>.app.n8n.cloud. Desde ahí se pueden crear webhooks, que son URLs que esperan recibir datos y, al hacerlo, disparan una secuencia de acciones automatizadas. La propia información sobre cómo funcionan estos webhooks está disponible en la documentación de n8n.
Los webhooks actúan como una especie de “API inversa”: en lugar de que una app consulte información, otra app empuja datos a la URL y provoca la ejecución de un flujo. Ese comportamiento permite retornar contenido HTML que el navegador del destinatario renderiza como si fuera una página normal. Los atacantes han aprovechado esa capacidad para que los navegadores descarguen ficheros maliciosos desde hosts externos, pero presentados como si procedieran del dominio confiable de n8n, lo que ayuda a sortear ciertos filtros de seguridad que confían en la reputación del dominio.
En las campañas observadas, las mismas URLs de webhook han sido colocadas en correos que simulan, por ejemplo, enlaces a documentos compartidos. Al pulsar, la víctima llegue a una página que muestra un CAPTCHA; cuando se completa, un script embebido inicia la descarga de un ejecutable o un instalador MSI alojado en otro servidor. Esa pieza maliciosa suele ser un instalador modificado de herramientas legítimas de gestión remota —se han mencionado variantes que imitan a soluciones conocidas en el mercado como las de Datto o ITarian— y su propósito final es crear persistencia y comunicación con servidores de mando y control.
Además de la entrega de malware, los atacantes usan n8n para obtener información sobre quién abre los correos. Insertando una imagen invisible o un píxel de seguimiento cuyo origen es una URL de webhook alojada en el dominio de n8n, el simple acto de abrir el mensaje genera una petición HTTP que revela parámetros rastreables —como la dirección de correo del destinatario o datos del cliente—. De esta forma, la automatización que debía ahorrar trabajo a desarrolladores se transforma en una herramienta para automatizar reconocimiento, seguimiento y entrega de amenazas.
Los datos de Talos son contundentes respecto a la tendencia: la presencia de esos enlaces en el correo identificado por sus sistemas ha crecido de forma notable en los periodos analizados, lo que indica que los atacantes han encontrado en n8n una plataforma eficiente para sus campañas. Este patrón no es exclusivo de n8n: en general, cualquier servicio en la nube que ofrezca URLs públicas y capacidad de ejecutar código o retornar HTML puede ser tentador para actores maliciosos que buscan camuflar sus acciones bajo la apariencia de infraestructura legítima.
Frente a este tipo de amenazas, la posición defensiva debe combinar medidas técnicas y organización: los equipos de seguridad necesitan revisar de forma crítica las reglas de filtrado y sandboxing, analizar el contenido HTML devuelto por dominios de confianza y elevar la protección en torno a herramientas de gestión remota, ya que son un objetivo recurrente para la persistencia. Del lado del usuario, mantener la desconfianza razonable ante enlaces inesperados, evitar habilitar descargas desde páginas no verificadas y no ingresar credenciales en formularios cuyo origen no está claro siguen siendo prácticas esenciales. Para recomendaciones específicas sobre cómo protegerse frente al phishing y otras campañas de ingeniería social, las guías de las agencias nacionales de ciberseguridad ofrecen pautas prácticas y actualizadas, como las de CISA: CISA – consejos sobre phishing.
También hay lecciones para los proveedores de plataformas low-code y los responsables de producto: limitar la exposición pública por defecto de webhooks, exigir verificaciones adicionales para endpoints que retornan HTML, aplicar análisis de comportamiento y mecanismos de rate limiting, y ofrecer opciones para validar la reputación de los dominios a los que apuntan las automatizaciones puede reducir el vector de abuso. La seguridad no debe ser una capa añadida a posteriori, sino parte del diseño de los servicios que facilitan la automatización.
Para organizaciones que utilizan herramientas de gestión remota o integran automatizaciones en su flujo de trabajo, es recomendable auditar las cuentas de servicio, rotar credenciales, monitorizar conexiones salientes atípicas y establecer controles para detectar instalaciones de software no autorizadas. Proveedores como Datto y otros vinculados al ecosistema RMM mantienen documentación y avisos sobre prácticas seguras; es recomendable revisar sus recursos oficiales para entender cómo se aprovechan estas soluciones cuando son manipuladas por actores maliciosos (por ejemplo, información pública en las web de proveedores como Datto o ITarian).
Al final, la historia es la de un equilibrio delicado: las plataformas de automatización ofrecen ventajas reales, pero su flexibilidad puede convertirse en un riesgo si no se adoptan controles adecuados. Usuarios, equipos de seguridad y proveedores deben colaborar para que las herramientas que prometen acelerar el trabajo no acaben facilitando el camino a los atacantes. La vigilancia continúa siendo la mejor defensa: revisar informes técnicos, seguir las recomendaciones de firmas especializadas como Cisco Talos y adoptar las buenas prácticas recomendadas por los cuerpos de seguridad ayudará a mantener esas plataformas como un activo y no como una puerta trasera.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...