{"id":567,"date":"2026-04-15T18:33:56","date_gmt":"2026-04-15T18:33:56","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/15\/se-abusa-de-los-webhooks-n8n-desde-octubre-de-2025-para-distribuir-malware-a-traves-de-correos-electronicos-de-phishing-cyberdefensa-mx\/"},"modified":"2026-04-15T18:33:56","modified_gmt":"2026-04-15T18:33:56","slug":"se-abusa-de-los-webhooks-n8n-desde-octubre-de-2025-para-distribuir-malware-a-traves-de-correos-electronicos-de-phishing-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/15\/se-abusa-de-los-webhooks-n8n-desde-octubre-de-2025-para-distribuir-malware-a-traves-de-correos-electronicos-de-phishing-cyberdefensa-mx\/","title":{"rendered":"Se abusa de los webhooks n8n desde octubre de 2025 para distribuir malware a trav\u00e9s de correos electr\u00f3nicos de phishing \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Se ha observado que los actores de amenazas utilizan n8n, una popular plataforma de automatizaci\u00f3n de flujo de trabajo de inteligencia artificial (IA), para facilitar campa\u00f1as de phishing sofisticadas y entregar cargas \u00fatiles maliciosas o dispositivos de huellas dactilares mediante el env\u00edo de correos electr\u00f3nicos automatizados.<\/p>\n

\u00abAl aprovechar la infraestructura confiable, estos atacantes evitan los filtros de seguridad tradicionales y convierten las herramientas de productividad en veh\u00edculos de entrega para un acceso remoto persistente\u00bb, afirman los investigadores de Cisco Talos, Sean Gallagher y Omid Mirzaei. dicho<\/a> en un an\u00e1lisis publicado hoy.<\/p>\n

N8n es una plataforma de automatizaci\u00f3n del flujo de trabajo que permite a los usuarios conectar varias aplicaciones web, API y servicios de modelos de IA para sincronizar datos, crear sistemas agentes y ejecutar tareas repetitivas basadas en reglas.<\/p>\n

Los usuarios pueden registrarse para obtener una cuenta de desarrollador sin costo adicional para aprovechar un servicio administrado alojado en la nube y ejecutar flujos de trabajo de automatizaci\u00f3n sin tener que configurar su propia infraestructura. Sin embargo, al hacerlo, se crea un dominio personalizado \u00fanico que sigue el formato: .app.n8n.cloud: desde donde un usuario puede acceder a sus aplicaciones.<\/account><\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

La plataforma tambi\u00e9n admite la capacidad de crear webhooks<\/a> para recibir datos de aplicaciones y servicios cuando se activan ciertos eventos. Esto hace posible iniciar un flujo de trabajo despu\u00e9s de recibir ciertos datos. Los datos, en este caso, se env\u00edan a trav\u00e9s de una URL de webhook \u00fanica.<\/p>\n

Seg\u00fan Cisco Talos, son estos webhooks expuestos a URL los que utilizan el mismo *.app.n8n[.]subdominio de la nube: del que se ha abusado en ataques de phishing desde octubre de 2025.<\/p>\n

\u00abUn webhook, a menudo denominado ‘API inversa’, permite que una aplicaci\u00f3n proporcione informaci\u00f3n en tiempo real a otra. Estas URL registran una aplicaci\u00f3n como un ‘oyente’ para recibir datos, que pueden incluir contenido HTML extra\u00eddo mediante programaci\u00f3n\u00bb, explic\u00f3 Talos.<\/p>\n

\"\"<\/a><\/div>\n

\u00abCuando la URL recibe una solicitud, se activan los siguientes pasos del flujo de trabajo, devolviendo resultados como un flujo de datos HTTP a la aplicaci\u00f3n solicitante. Si se accede a la URL por correo electr\u00f3nico, el navegador del destinatario act\u00faa como la aplicaci\u00f3n receptora y procesa la salida como una p\u00e1gina web\u00bb.<\/p>\n

Lo que hace que esto sea significativo es que abre una nueva puerta para que los actores de amenazas propaguen malware mientras mantienen una apariencia de legitimidad al dar la impresi\u00f3n de que se originan en un dominio confiable.<\/p>\n

Los actores de amenazas no perdieron el tiempo aprovechando el comportamiento para configurar URL de webhook n8n para la entrega de malware y la toma de huellas digitales del dispositivo. Se dice que el volumen de mensajes de correo electr\u00f3nico que contienen estas URL en marzo de 2026 fue aproximadamente un 686% mayor que en enero de 2025.<\/p>\n

En una campa\u00f1a observada por Talos, se descubri\u00f3 que los actores de amenazas incrustaban un enlace de webhook alojado en n8n en correos electr\u00f3nicos que afirmaban ser un documento compartido. Al hacer clic en el enlace, el usuario accede a una p\u00e1gina web que muestra un CAPTCHA que, al finalizar, activa la descarga de una carga \u00fatil maliciosa desde un host externo.<\/p>\n

\u00abDebido a que todo el proceso est\u00e1 encapsulado dentro del JavaScript del documento HTML, al navegador le parece que la descarga proviene del dominio n8n\u00bb, se\u00f1alaron los investigadores.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

El objetivo final del ataque es entregar un ejecutable o un instalador MSI que sirva como conducto para versiones modificadas de herramientas leg\u00edtimas de administraci\u00f3n y monitoreo remoto (RMM) como Datto e ITarian Endpoint Management, y utilizarlas para establecer persistencia mediante el establecimiento de una conexi\u00f3n a un servidor de comando y control (C2).<\/p>\n

Un segundo caso frecuente se refiere al abuso de n8n para la toma de huellas dactilares. Espec\u00edficamente, esto implica incrustar en los correos electr\u00f3nicos una imagen invisible o un p\u00edxel de seguimiento alojado en una URL de webhook n8n. Tan pronto como la misiva digital se abre a trav\u00e9s de un cliente de correo electr\u00f3nico, env\u00eda autom\u00e1ticamente una solicitud HTTP GET a la URL n8n junto con par\u00e1metros de seguimiento, como la direcci\u00f3n de correo electr\u00f3nico de la v\u00edctima, lo que permite a los atacantes identificarla.<\/p>\n

\u00abLos mismos flujos de trabajo dise\u00f1ados para ahorrar horas de trabajo manual a los desarrolladores ahora se est\u00e1n reutilizando para automatizar la entrega de malware y dispositivos de huellas digitales debido a su flexibilidad, facilidad de integraci\u00f3n y automatizaci\u00f3n perfecta\u00bb, dijo Talos. \u00abA medida que continuamos aprovechando el poder de la automatizaci\u00f3n de c\u00f3digo bajo, es responsabilidad de los equipos de seguridad garantizar que estas plataformas y herramientas sigan siendo activos y no pasivos\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Se ha observado que los actores de amenazas utilizan n8n, una popular plataforma de automatizaci\u00f3n de flujo de trabajo de inteligencia artificial (IA), para facilitar campa\u00f1as de phishing sofisticadas y entregar cargas \u00fatiles maliciosas o dispositivos de huellas dactilares mediante el env\u00edo de correos electr\u00f3nicos automatizados. \u00abAl aprovechar la infraestructura confiable, estos atacantes evitan los […]<\/p>\n","protected":false},"author":1,"featured_media":422,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[883,1484,24,67,1749,1485,52,60,764,1845,36,365,76,1844],"class_list":["post-567","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-abusa","tag-correos","tag-cyberdefensa-mx","tag-desde","tag-distribuir","tag-electronicos","tag-los","tag-malware","tag-n8n","tag-octubre","tag-para","tag-phishing","tag-traves","tag-webhooks"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/567","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=567"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/567\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/422"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=567"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=567"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=567"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}